文章目录一、事件简介二、事件分析2.1 Kubernetes简介2.2 入侵方式/横向移动2.3 窃密与C&C通信2.4 对抗检测与取证三、总结四、IOC引用关于伏影实验室阅读: 1一、事件简介TeamTNT是一个主要入侵在线容器并通过挖矿和DDoS进行牟利的攻击团伙。2021年年初,该团伙被发现入侵了某Kubernetes集群,通过结合脚本和现有工具,最终在容器内植入挖矿木马。当今,由于环境部署便利性的需求日益旺盛,使得容器技术和容器管理技术应用得越来越多。同时,对服务器负载均衡及高并行的需求,又使得集群技术得以发展壮大。
Overview
In 2018 we blogged about a scanning&mining botnet family that uses ngrok.io to propagate samples: "A New Mining Botnet Blends Its C2s into ngrok Service
", and since
版权
版权声明:本文为Netlab原创,依据CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。
概述
2018年我们公开过一个利用ngrok.io传播样本的扫描&挖矿型botnet家族: "利用ngrok传播样本挖矿",从2020年10月中旬开始,我们的BotMon系统检测到这个家族的新变种再次活跃起来,并且持续至今。相比上一次,这次来势更加凶猛,截至2021年2月6号,我们的Anglerfish蜜罐共捕获到11864个scanner样本,1754个miner样本,3232个ngrok.io临时域名。
通告信息
2020年12月01日,安识科技A-Team团队监测到containerd 官方发布安全更新,修复了Docker容器逃逸漏洞(CVE-2020-15257)。Containerd 是一个控制守护进程,提供命令行客户端和API,用于在一个机器上管理容器。该漏洞的本质是满足特定条件的容器可以绕过访问权限访问containerd的控制API进而导致权限提升,但无法获得宿主主机和服务器控制权限。安识科技建议广大用户及时升级containerd至最新版本,以免遭受此漏洞攻击。
漏洞概述
Containerd是一个控制守护进程,提供命令行客户端和API,用于在一个机器上管理容器。
Docker险遭开源限制?开源软件 Docker,是一个用于开发、交付和运行应用的开放平台。它作为目前最流行的 Linux 容器解决方案之一,已凭借着便捷性、高效性等优势成为开发者常用的工具之一。8 月 13 日,Docker 更新了《服务条款》并于当日生效,禁止所有美国禁运国家和被列入【美国财政部指定国民清单】、【美国商务部实体清单】【被拒绝人清单】、【未核实清单】和【美国州界防扩散制裁清单】(统称为【指定国民清单】)的个人或实体使用带有该服务协议链接的 Docker 网站以及所有相关网站。条款中 1.2 指明:美国【被拒绝人清单】和【被拒绝贸易方清单】中的人或组织禁止使用此服务。
发布时间:
2020-10-27 18:01 |
阅读:14263 | 评论:0 |
标签:
Docker
资产侦察灯塔系统下载:
https://github.com/TophantTechnology/ARL
在docker pull,并部署后,登录系统报错 timeout of 12000ms exceeded错误
备注学习:
杀死所有
背景动机
之前有一段工作是跟漏扫相关的,在开发漏扫时有DNSLOG这么一个需求,当时考虑到时间成本没有自己做。虽然现有市面上DNSLOG不少,我还是重复造了一个轮子, 有多个原因。现有的开源DNSLOG体验没有一些知名闭源的DNSLOG平台好,站在甲方的立场自建的服务总归是比使用公共服务好一些,毕竟没有多少人愿意把自己的漏洞情况让第三方知道。此外现有DNSLOG平台IP已经上了威胁情报名单,在不少环境这些IP直接就被干掉了,特别是在公有云环境下。所以甲方自建DNSLOG服务非常有必要。
概要Unit 42的研究人员发现了一种名为“Graboid”的新型加密劫持蠕虫,该病毒能通过恶意Docker镜像传播,现已感染2,000多个Docker主机。这也是首次发现使用Docker Engine(社区版)中的容器传播的加密劫持蠕虫。由于大多数传统的端点保护软件都不检查容器内的数据和活动,因此这种恶意活动可能很难检测到。最初的立足点由攻击者通过不安全的Docker守护进程获得,在守护进程中首先安装Docker映像以在受感染的主机上运行,用于挖掘加密货币的恶意软件从C2服务器下载,恶意软件能定期从C2查询新的易受损主机,并随机选择下一个目标传播。
近日,深信服安全团队接到客户反馈,发现虚拟机的连接session数突增,很不正常,担心造成网络的拥堵,需要进行排查。远程到问题主机上,发现进程中有许多xmrig进程,这就说明问题了:主机运行了挖矿进程,所以导致主机的session数过高。那么按照惯例,接下来就是杀进程删文件排查有无定时任务之类的,但是,这些挖矿进程的父进程都是docker,这就奇怪了,难道这些docker有问题?百度了一通,发现还真有利用docker挖矿的先例,有些黑客故意将挖矿程序打包成一个恶意镜像,上传到docker hub中,当用户pull下来运行使用时,挖矿进程就在背后偷偷的挖矿。
发布时间:
2019-08-22 13:10 |
阅读:71710 | 评论:0 |
标签:
系统安全 docker
为了监控针对容器的恶意活动,研究人员搭建了一个模拟暴露API的Docker主机作为蜜罐系统,而暴露的API是基于容器的威胁的最常见目标。研究人员的目标是监控蜜罐系统以检测是否有攻击者发现该系统并用它来应用不想要的容器,然后可以追踪溯源。研究人员通过检查蜜罐系统的状态发现容器的单独镜像已经在环境中应用了。通过分析进出蜜罐的日志和流量数据,研究人员发现容器来自于一个名为zoolu2的Docker Hub库。检查和下载库中的内容,研究人员发现其中含有9个包含定制shell、python脚本、配置文件、Shodan和加密货币挖矿软件二进制文件的9个镜像文件。
发布时间:
2019-06-06 12:25 |
阅读:81477 | 评论:0 |
标签:
恶意软件 docker
DevOps概念的流行跟近些年微服务架构的兴起有很大关系,DevOps是Dev(Development)和Ops(Operations)的结合,Dev负责开发,Ops负责部署上线,Docker出现之前,公司需要搭建一个数据库环境,有了Docker之后,只需在一些开源的基础镜像上构建出公司自己的镜像即可。因此目前大多数DevOps设置都在CI管道中的某处设置了Docker,这就意味着你所看到的任何构建环境都将使用Docker等容器解决方案。由于这些构建环境需要接受不可信的用户提供的代码并进行执行,因此探讨如何将这些代码安全地装入容器就显得非常有意义。
发布时间:
2018-03-14 17:20 |
阅读:129250 | 评论:0 |
标签:
Web安全 docker
简介
Justin Seitz(推特账号@jms_dot_py)从事Python和OSINT研究工作,很早之前他就开始通过一个名为@Hunchly的推特账号,每天推送一些新发现的Tor网站站点,如下图所示:
点击“buff.ly”开头的短链接,会获取一XLSX文件(Justin分享到其Dropbox上的),这是一份最新发现的暗网上的站点清单,如下图所示:整理后的信息(示例):
其中,上图中“A”列的“*.onion”数据是我们感兴趣的,接下来,计划以一种高效的方式评估一些这些web站点的运行状态。
Docker——被称为容器的操作系统级虚拟化实例平台,已成为超级流行的基础设施技术。灵活的容器化,完全改变了我们大规模部署和维护应用的方式,其中大企业市场是关键驱动因素。4月底,Docker首席执行官本·格鲁布在DockerCon大会上发言,分析用户体验和经验教训,庆祝该平台巨大的成功。如今,所有容器开发中有1/3都在生产环境中完成,大多以成百上千台主机上线的形式呈现。事实上,涉及容器化,大公司往往身先士卒;云监视公司Datadog发现,过去1年里Docker采用率上升了40%。今天不断变化的技术格局里,除了积极面与成长势头,我们不能忘记的一个核心重点是:信息安全。
介绍
Docker是目前世界上最为先进的应用软件容器平台,Docker允许我们为每一种渗透测试任务创建不同的测试环境。在应用容器的帮助下,我们既可以将每一种测试环境存储在U盘中以方便携带,我们也可以将其保存在云端以便随时随地进行访问。比如说,你可以直接从云端下载测试环境,或者将测试环境直接拷贝到本地计算机中,而无需再花时间进行环境搭建了。没错,这一切Docker都可以帮你完成!
Live CD与容器
在此之前,很多测试人员会将各种不同的测试环境以LiveCD的形式进行存储,但LiveCD的使用则需要我们进行额外的配置。
* 本文原创作者:MyKings,本文属FreeBuf原创奖励计划,未经许可禁止转载
由于一直在做 Web 漏洞扫描器的开发, 那么就必然少不了 Web 的漏洞测试环境, 其中就包括 bWAPP、DVWA、OWASP WebGoat 等这些国际品牌。
这些漏洞环境一般搭建比较繁琐, 而且出问题后有不能像 git 那样方便的’回滚’操作, 当然你可以使用 esxi 来管理, 不过虚拟机仍然会存在定期快照、回滚操作较长等繁重操作。
准备
win10 x64(开启hper-v 与虚拟化)
Kitematic (docker GCL桌面管理器)
镜像ubuntu-upstart (默认设置好端口转发,并安装好vi)
步骤
国外镜像源pull太慢的话可以
给你的Linux系统打上脏牛补丁的另一种原因,就是这个漏洞可以用来逃避Docker。有句话值得再次强调:容器化并不意味着保护,它只是一种管理功能。
“脏牛”是一种内存访问的竞争环境,由于Linux内核的内存子系统使用专有映射,来处理“写入时复制(Copy-On-Write)”时产生,本地用户可用来提权。这个漏洞在Linux内核中已经存在了9年。但最新的研究显示,除了提权之外,Docker之类的容器是拿它没办法的。
虚拟动态共享对象(vDSO)是内核自动映射到所有“用户空间”应用程序地址空间的,一个小型共享库。vDSO的存在是为了非常频繁使用的系统调用,在无需影响性能的情况下被激活。
通常,新技术都会引发安全顾虑。然而,有两份报告都宣称,在容器内运行应用程序比在容器外更安全。
任何新技术进入人们视线的时候,安全问题通常都是人们接纳的障碍。但是,对于Docker容器,有2家公司就认为,安全应该是促使人们采纳这一技术的驱动力。
分析公司Gartner和网络安全专家 NCC Group 发布了研究报告,详细说明容器安全现状。Docker公司安全总监内森·麦考利说:“重点在于,Gartner认为应用程序在Docker容器内运行更安全,并且将这一观点推送给了他们的企业用户。再结合上 NCC Group 确认Docker在容器安全领域领袖地位的报告,就更具重磅意义了。
阿里云的VPS,安装的是镜像市场中的Docker运行环境(Ubuntu 64位)系统,用docker pull镜像的时候会报错,具体错误如下:
Unable to find image ‘busybox&
Docker是世界领先的软件集装化平台,针对不同的渗透测试类型,我们完全可以使用Docker创建相应的环境。有了Docker容器,你可以把测试环境放到U盘或者云端。Docker是什么Docker是一个开源的技术,在软件容器中,你可以创建、运行、测试和部署应用程序。Dcoker可以让你在任何环境中快速、可靠、稳定地部署应用程序。容器具有可移植、方便、快速的优点。使用Docker,我们可以创建一个映像,在这个映像的基础上再创建其它环境。比如,我们下载了Kali Linux作为基础容器,这里面没装我们需要的工具。我们将它看做基础容器,在上面安装需要的工具,然后保存成一个新的映像,不会影响原始的映像。
Metasploit Framework是一款强大的开源渗透测试工具。不管你是用它来工作还是只是感兴趣想实验一下,你都可以在docker容器中运行Metasploit Framework,这样可以绕开安装代码和依赖的痛苦。Docker镜像“remnux/metasploit”已经可以使用了,作为REMnux collection的一部分,感谢Jean Christophe Baptiste在配置上做的工作。下面的说明和例子将会演示如何在一个公共服务器上使用Metasploit docker容器。这个容器提供了Metasploit Framework版本工具的命令行。
原称Nautilus项目的Docker安全扫描,如今已可作为容器安全提升器使用了。Docker公司2015年11月DockerCon欧洲大会上放出的几条重磅好料中,就有用以扫描Docker资源库安全漏洞的Nautilus项目。如今,6个月过去了,该公司以Docker安全扫描这一产品名,让Nautilus项目切实可用了。而且,该新安全产品还作为更新补充到了 Docker Bench 这个容器安全工具最佳实践中,进一步改善了Docker的整体安全工具配备。
本文是关于一款Docker安全扫描器的一般性使用介绍,其原名为Project Nautilus。它可以作为Docker云私有仓库或者Docker Hub官方仓库的扩展服务,安全扫描会为你的Docker镜像提供主动的风险管理和软件合规管理的详细安全配置信息。Docker安全扫描在你部署之前可以对你的镜像进行二进制层面的扫描,并提供一个详细的材料清单(BOM)列出所有的层级和组件,不断监控新的漏洞,在新的漏洞出现时推送通知。
TenxCloud 时速云是国内最早的容器云平台之一(Container as a Service)。以Docker为代表的容器技术正在成为应用交付的全新标准,而基于容器技术的云平台势必会成为下一代云计算的核心。
TenxCloud致力于推动以Docker为代表的容器技术在中国的发展,并为用户提供一个能最大限度的优化互联网应用开发、部署、运维、交付的容器云平台。
TenxCloud时速云新一代的Docker容器云平台宣布在6月10日正式发布,提供容器服务,持续集成,镜像构建及主机管理等功能。
你可以通过Codetainer创建基于浏览器的代码运行沙箱,可以方便地嵌入到你的Web 应用中。你可以把它当成是 codepicnic.com 的开源克隆版。Codetainer以一个Web 服务运行,并且它还提供 API,你可以在HTML页面终端实时完成来创建、查看和附加代码到沙箱的这些操作。Codetainer后端基于 Docker以及其API来完成这一系列主要功能。
起因
环境因素影响,我他么路由器映射端口 msf就是反弹不回来session,在跟大牛交流后,大牛说服务器装个kali就行了,我以为是叫idc那边直接安装,但是因为这个系统特殊,很多 idc不允许安装这个的,不过很多国外的idc倒是允许自行上传iso镜像,自行安装。
Docker简介
Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口(类似 iPhone 的 app)。几乎没有性能开销,可以很容易地在机器和数据中心中运行。
介绍相信很多开发者都默认Docker这样的容器是一种沙盒(sandbox)应用,也就是说他们可以用root权限在Docker中运行随便什么应用,而Docker有安全机制能保护宿主系统。比如,有些人觉得Docker容器里面的进程跟虚拟机里面的进程一样安全;还有的人随便找个源就下载没有验证过的Docker镜像,看都不看内容就在宿主机器上尝试、学习和研究;还有一些提供PaaS服务的公司竟然允许用户向多租户系统中提交自己定制的Docker镜像。请注意,上述行为均是不安全的。本文将介绍Docker的隔离性和安全性,以及为什么它在隔离和安全性上不如传统的虚拟机。
发布时间:
2015-06-12 18:50 |
阅读:168806 | 评论:0 |
标签:
系统安全 Docker