暴露的Docker API现在仍可被攻击者利用来创建执行加密攻击的新容器。

Docker容器部署在名为Docker Engine的平台上，并与部署到系统的其他容器一起在后台运行。 如果Docker Engine没有得到妥善的保护，攻击者可以远程利用Docker Engine API来部署自己创建的容器，并在不安全的系统上启动它们。

最近，趋势科技发现一名攻击者正在扫描暴露的Docker Engine API并利用它们来部署容器，下载并执行挖矿恶意程序CoinMiner。

部署并激活容器后，它将启动auto.sh脚本，该脚本将下载Monero挖矿程序并将其配置为自动启动。 该脚本还将下载端口扫描软件，该软件将扫描端口2375和2376上其他易受攻击的Docker Engine平台，并尝试进一步传递到这些平台上。

对于开放端口2375和2376，扫描从主机看到的所有网络，扫描速率为每秒50,000个数据包; 结果保存在local.txt（匿名/ defanged）：

masscan “$@” -p2375,2376 –rate=50000 -oG local.txt;

通过感染或滥用先前侦察中发现的更多主机进行内网漫游：

sudo sed -i ‘s/^Host: \([0-9.]*\).*Ports: \([0-9]*\).*$/\1:\2/g’ local.txt;
sudo sh test3.sh local.txt;

使用这种方法，攻击者可以操控大量的Docker Engine容器进行挖矿。

加固Docker Engine服务器

Docker Engine API滥用存在已久，这一问题仍未解决，因为有的管理员没有正确加固其系统。 为防止攻击者利用不安全的Docker Engine发动恶意行为，趋势科技建议管理员采取以下安全措施：

加强安全态势。 互联网安全中心（CIS）帮助系统管理员和安全团队建立一个基准来保护他们的Docker引擎。

确保对容器镜像进行身份验证、签名，确保容器镜像来自受信任的注册表（受Docker信任的注册表）。 使用自动镜像扫描工具帮助加快发现系统脆弱性。

实施最小权限原则。 例如，限制对守护进程的访问并对连接到网络的通信协议进行加密。 Docker有关于如何保护守护进程socket的指南。

正确配置容器允许使用的资源量（控制组和命名空间）。

启用Docker的内置安全功能，以帮助抵御威胁。 Docker有几个关于如何安全地配置基于Docker的应用程序的指南。

原文链接：https://www.bleepingcomputer.com/news/security/exposed-docker-apis-continue-to-be-used-for-cryptojacking/