黑客借助Metasploit Shellcode攻击暴露的Docker API
发布时间:2022-07-11 15:12:19 所属栏目:安全 来源:互联网
导读:Trendmicro研究人员近日发现有攻击者利用Metasploit Framework (MSF)的payload来攻击暴露的Docker API。攻击可以引发DDoS攻击、远程代码执行漏洞、非授权的加密货币挖矿活动。 技术分析 研究人员发现攻击者在攻击活动中使用了alpine:latest作为基准容器镜像
|
Trendmicro研究人员近日发现有攻击者利用Metasploit Framework (MSF)的payload来攻击暴露的Docker API。攻击可以引发DDoS攻击、远程代码执行漏洞、非授权的加密货币挖矿活动。 技术分析 研究人员发现攻击者在攻击活动中使用了“alpine:latest”作为基准容器镜像。Snyk 并不能检测到镜像中的安全漏洞。 进一步分析表明payload 并不是用高级编程语言实现的,而是用纯汇编代码实现的。此外,没有其他需要处理的指令,这就只需要非常小的base64编码来执行必要的工作来执行代码。 部署的payload 首先分配一个4096字节的含有“PROT_READ”、“PROT_WRITE” 和“PROT_EXECUTE”保护标记的内存页。这些标记允许攻击者在内存区域内执行代码。 在系统内会打开TCP socket,然后初始化到C2 服务器的连接,这是通过硬编码的“sockaddr” 结构来实现。 “read syscall”会在开放的socket descriptor上执行,然后从C2 服务器读取126字节的内容。这是保存在之前没有提到的分配的内存区域中的,然后执行。 研究人员分析发现ELF 文件是一个编译的Metasploit reverse_tcp shellcode。这是一个简单的x64 ELF文件,其中攻击者IP和Port都硬编码在二进制文件中。尽管没有混淆,目前在在线威胁平台上还找不到文件的哈希值。 结论 目前,暴露的Docker API越来越多地成为攻击者的目标,攻击者通过攻击暴露的Docker API来在目标主机上用root 权限执行恶意代码。在最近的攻击活动中,研究人员还发现了越来越多的静默攻击技术进入了威胁场景中。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号