记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Graboid:首例在Docker Hub映像中发现的加密劫持蠕虫

概要Unit 42的研究人员发现了一种名为“Graboid”的新型加密劫持蠕虫,该病毒能通过恶意Docker镜像传播,现已感染2,000多个Docker主机。这也是首次发现使用Docker Engine(社区版)中的容器传播的加密劫持蠕虫。由于大多数传统的端点保护软件都不检查容器内的数据和活动,因此这种恶意活动可能很难检测到。最初的立足点由攻击者通过不安全的Docker守护进程获得,在守护进程中首先安装Docker映像以在受感染的主机上运行,用于挖掘加密货币的恶意软件从C2服务器下载,恶意软件能定期从C2查询新的易受损主机,并随机选择下一个目标传播。分析显示,平均每个矿工的活动时间为63%,每个采矿周期持续250秒。蠕
发布时间:2019-10-18 13:10 | 阅读:8462 | 评论:0 | 标签:系统安全 docker Graboid 加密劫持 加密

ClamAV+Falco,助你高效检测挖矿Docker

近日,深信服安全团队接到客户反馈,发现虚拟机的连接session数突增,很不正常,担心造成网络的拥堵,需要进行排查。远程到问题主机上,发现进程中有许多xmrig进程,这就说明问题了:主机运行了挖矿进程,所以导致主机的session数过高。那么按照惯例,接下来就是杀进程删文件排查有无定时任务之类的,但是,这些挖矿进程的父进程都是docker,这就奇怪了,难道这些docker有问题?百度了一通,发现还真有利用docker挖矿的先例,有些黑客故意将挖矿程序打包成一个恶意镜像,上传到docker hub中,当用户pull下来运行使用时,挖矿进程就在背后偷偷的挖矿。查看该主机的docker镜像,原来挖矿的镜像为patsisson
发布时间:2019-08-22 13:10 | 阅读:27683 | 评论:0 | 标签:系统安全 docker

受感染的容器攻击暴露API的Docker主机,并使用Shodan来发现更多受害者

为了监控针对容器的恶意活动,研究人员搭建了一个模拟暴露API的Docker主机作为蜜罐系统,而暴露的API是基于容器的威胁的最常见目标。研究人员的目标是监控蜜罐系统以检测是否有攻击者发现该系统并用它来应用不想要的容器,然后可以追踪溯源。研究人员通过检查蜜罐系统的状态发现容器的单独镜像已经在环境中应用了。通过分析进出蜜罐的日志和流量数据,研究人员发现容器来自于一个名为zoolu2的Docker Hub库。检查和下载库中的内容,研究人员发现其中含有9个包含定制shell、python脚本、配置文件、Shodan和加密货币挖矿软件二进制文件的9个镜像文件。zoolu2库的所有的镜像文件都含有Monero (XMR)加密货币挖
发布时间:2019-06-06 12:25 | 阅读:45931 | 评论:0 | 标签:恶意软件 docker

Docker容器构建过程的安全性分析

DevOps概念的流行跟近些年微服务架构的兴起有很大关系,DevOps是Dev(Development)和Ops(Operations)的结合,Dev负责开发,Ops负责部署上线,Docker出现之前,公司需要搭建一个数据库环境,有了Docker之后,只需在一些开源的基础镜像上构建出公司自己的镜像即可。因此目前大多数DevOps设置都在CI管道中的某处设置了Docker,这就意味着你所看到的任何构建环境都将使用Docker等容器解决方案。由于这些构建环境需要接受不可信的用户提供的代码并进行执行,因此探讨如何将这些代码安全地装入容器就显得非常有意义。在这篇文章中,我将探讨在构建环境中非常小的错误配置是如何产生严重的安全风
发布时间:2018-03-14 17:20 | 阅读:91255 | 评论:0 | 标签:Web安全 docker

暗网系列之:利用Dark Web Report + EyeWitness+ TorGhost +Docker,自动化获取暗网站点的信息

简介 Justin Seitz(推特账号@jms_dot_py)从事Python和OSINT研究工作,很早之前他就开始通过一个名为@Hunchly的推特账号,每天推送一些新发现的Tor网站站点,如下图所示: 点击“buff.ly”开头的短链接,会获取一XLSX文件(Justin分享到其Dropbox上的),这是一份最新发现的暗网上的站点清单,如下图所示:整理后的信息(示例): 其中,上图中“A”列的“*.onion”数据是我们感兴趣的,接下来,计划以一种高效的方式评估一些这些web站点的运行状态。 Plan A:(Dark Web Report+Bash Shell) 首先将XLSX文件中“A”列的信息转存到一个文本文件中,这里我将其命名为 hunchly_dark.txt。 在Linux系统上,从一个B
发布时间:2017-10-27 01:20 | 阅读:143643 | 评论:0 | 标签:技术控 Dark Web Report Docker EyeWitness TorGhost 暗网站点搜索 自动化

在Docker上部署容器时应考虑的安全风险

Docker——被称为容器的操作系统级虚拟化实例平台,已成为超级流行的基础设施技术。灵活的容器化,完全改变了我们大规模部署和维护应用的方式,其中大企业市场是关键驱动因素。4月底,Docker首席执行官本·格鲁布在DockerCon大会上发言,分析用户体验和经验教训,庆祝该平台巨大的成功。如今,所有容器开发中有1/3都在生产环境中完成,大多以成百上千台主机上线的形式呈现。事实上,涉及容器化,大公司往往身先士卒;云监视公司Datadog发现,过去1年里Docker采用率上升了40%。今天不断变化的技术格局里,除了积极面与成长势头,我们不能忘记的一个核心重点是:信息安全。想要保护你的容器部署,以下5个潜在威胁和策略可以参考。容器的顾虑1. 恶意及脆弱镜像Docker Hub 注册表托管着超过10万个公共容器资源库,免
发布时间:2017-07-18 15:30 | 阅读:107839 | 评论:0 | 标签:术有专攻 Docker 安全风险 容器

手把手教你如何使用Docker进行Web渗透测试

介绍 Docker是目前世界上最为先进的应用软件容器平台,Docker允许我们为每一种渗透测试任务创建不同的测试环境。在应用容器的帮助下,我们既可以将每一种测试环境存储在U盘中以方便携带,我们也可以将其保存在云端以便随时随地进行访问。比如说,你可以直接从云端下载测试环境,或者将测试环境直接拷贝到本地计算机中,而无需再花时间进行环境搭建了。没错,这一切Docker都可以帮你完成! Live CD与容器 在此之前,很多测试人员会将各种不同的测试环境以LiveCD的形式进行存储,但LiveCD的使用则需要我们进行额外的配置。比如说,我们必须创建一个闪存驱动器或可启动的CD,甚至有时还需要使用到VirtualBox这样的虚拟机。 但是当我们使用Docker容器时,我们唯一要做的就是下载并安装Docker,而这个过程是
发布时间:2017-05-05 09:00 | 阅读:155656 | 评论:0 | 标签:WEB安全 Docker web渗透测试

使用Docker搭建Web漏洞测试环境

* 本文原创作者:MyKings,本文属FreeBuf原创奖励计划,未经许可禁止转载 由于一直在做 Web 漏洞扫描器的开发, 那么就必然少不了 Web 的漏洞测试环境, 其中就包括 bWAPP、DVWA、OWASP WebGoat 等这些国际品牌。 这些漏洞环境一般搭建比较繁琐, 而且出问题后有不能像 git 那样方便的’回滚’操作, 当然你可以使用 esxi 来管理, 不过虚拟机仍然会存在定期快照、回滚操作较长等繁重操作。 那有没有轻量级的能够快速搭建 Web 漏洞的测试环境呢? 答案是有的, 那就是 docker! 接下来我们就使用 docker 进行环境搭建。这里所涉及的项目已经创建在了 github(docker-vulnerability-environme
发布时间:2016-12-27 21:25 | 阅读:165346 | 评论:0 | 标签:WEB安全 工具 Docker 测试环境搭建 漏洞

Docker for win10下使用ubuntu安装DVWA-1.9

准备 win10 x64(开启hper-v 与虚拟化) Kitematic (docker GCL桌面管理器) 镜像ubuntu-upstart (默认设置好端口转发,并安装好vi) 步骤 国外镜像源pull太慢的话可以设置为国内的加速器,在docker daemon 的”registry-mirrors”:[“https://stx13k4e.mirror.aliyuncs.com“] 数组里添加国内阿里云镜像加速器 先更换ubuntu更新源为国内源(推荐阿里云的源) vi /etc/apt/sources.list deb http://mirrors.aliyun.com/dhf2hr23yeh/ trusty main multiverse re
发布时间:2016-12-22 04:35 | 阅读:173088 | 评论:0 | 标签:Web安全 Docker DVWA-1.9 Ubuntu win10

还没给你的Docker打上脏牛补丁?坏消息来了

给你的Linux系统打上脏牛补丁的另一种原因,就是这个漏洞可以用来逃避Docker。有句话值得再次强调:容器化并不意味着保护,它只是一种管理功能。 “脏牛”是一种内存访问的竞争环境,由于Linux内核的内存子系统使用专有映射,来处理“写入时复制(Copy-On-Write)”时产生,本地用户可用来提权。这个漏洞在Linux内核中已经存在了9年。但最新的研究显示,除了提权之外,Docker之类的容器是拿它没办法的。 虚拟动态共享对象(vDSO)是内核自动映射到所有“用户空间”应用程序地址空间的,一个小型共享库。vDSO的存在是为了非常频繁使用的系统调用,在无需影响性能的情况下被激活。 利用vDSO内存空间中的“clock_gettime() ”函数对脏牛漏洞发起攻击,可令系统崩溃并获得root权限的shell,
发布时间:2016-11-04 00:30 | 阅读:112452 | 评论:0 | 标签:威胁情报 Docker 安全漏洞 脏牛

打开应用的安全新姿势:运行在Docker里

通常,新技术都会引发安全顾虑。然而,有两份报告都宣称,在容器内运行应用程序比在容器外更安全。 任何新技术进入人们视线的时候,安全问题通常都是人们接纳的障碍。但是,对于Docker容器,有2家公司就认为,安全应该是促使人们采纳这一技术的驱动力。 分析公司Gartner和网络安全专家 NCC Group 发布了研究报告,详细说明容器安全现状。Docker公司安全总监内森·麦考利说:“重点在于,Gartner认为应用程序在Docker容器内运行更安全,并且将这一观点推送给了他们的企业用户。再结合上 NCC Group 确认Docker在容器安全领域领袖地位的报告,就更具重磅意义了。” Gartner分析师乔戈·弗里奇写道,部署在容器里的应用程序,实际上比直接运行在裸机操作系统上要更安全,因为“应用程序和用户都被隔离
发布时间:2016-09-05 07:00 | 阅读:90703 | 评论:0 | 标签:牛闻牛评 Docker 应用安全

[解决]Unable to find image ‘xxx’ locally

阿里云的VPS,安装的是镜像市场中的Docker运行环境(Ubuntu 64位)系统,用docker pull镜像的时候会报错,具体错误如下: Unable to find image ‘busybox’ locally Pulling repository registry 2016/08/24 16:29:53 Could not reach any registry endpoint docker version 查看到的信息如下: Client version: 1.2.0 Client API version: 1.14 Go version (client): go1.3.1 Git commit (client): fa7b24f OS/Arch (client): lin
发布时间:2016-08-24 17:10 | 阅读:512346 | 评论:0 | 标签:Other Could not reach any registry endpoint docker docker pu

使用Docker构建Web渗透测试工具容器

Docker是世界领先的软件集装化平台,针对不同的渗透测试类型,我们完全可以使用Docker创建相应的环境。有了Docker容器,你可以把测试环境放到U盘或者云端。Docker是什么Docker是一个开源的技术,在软件容器中,你可以创建、运行、测试和部署应用程序。Dcoker可以让你在任何环境中快速、可靠、稳定地部署应用程序。容器具有可移植、方便、快速的优点。使用Docker,我们可以创建一个映像,在这个映像的基础上再创建其它环境。比如,我们下载了Kali Linux作为基础容器,这里面没装我们需要的工具。我们将它看做基础容器,在上面安装需要的工具,然后保存成一个新的映像,不会影响原始的映像。也就是说,可以以原始映像为基础,创建出包含取证工具、Web渗透测试工具的容器。用于Web渗透测试的
发布时间:2016-08-07 20:25 | 阅读:127529 | 评论:0 | 标签:工具 Docker WEB渗透

技术分享:如何在Docker容器中运行Metasploit?

Metasploit Framework是一款强大的开源渗透测试工具。不管你是用它来工作还是只是感兴趣想实验一下,你都可以在docker容器中运行Metasploit Framework,这样可以绕开安装代码和依赖的痛苦。Docker镜像“remnux/metasploit”已经可以使用了,作为REMnux collection的一部分,感谢Jean Christophe Baptiste在配置上做的工作。下面的说明和例子将会演示如何在一个公共服务器上使用Metasploit docker容器。这个容器提供了Metasploit Framework版本工具的命令行。如果你使用免费的共享版将没有web接口,你需要在Rapid 7上注册。Metasploit Framework的命令行功能非常
发布时间:2016-05-18 11:55 | 阅读:100220 | 评论:0 | 标签:工具 Docker Metasploit

Docker推出漏洞容器扫描工具

原称Nautilus项目的Docker安全扫描,如今已可作为容器安全提升器使用了。Docker公司2015年11月DockerCon欧洲大会上放出的几条重磅好料中,就有用以扫描Docker资源库安全漏洞的Nautilus项目。如今,6个月过去了,该公司以Docker安全扫描这一产品名,让Nautilus项目切实可用了。而且,该新安全产品还作为更新补充到了 Docker Bench 这个容器安全工具最佳实践中,进一步改善了Docker的整体安全工具配备。Docker安全总监内森·麦考利说:“DockerCon上宣布的,只是将Nautilus用到Docker官方资源库上,并没有结合端到端软件供应链的工作流。”目前,Docker云私有资源库用户可在限定的免费试用期里使用Docker安全扫描。当然,最终所有的Docke
发布时间:2016-05-16 05:25 | 阅读:129052 | 评论:0 | 标签:牛闻牛评 Docker Nautilus 安全扫描 扫描 漏洞

走近Docker安全扫描器

本文是关于一款Docker安全扫描器的一般性使用介绍,其原名为Project Nautilus。它可以作为Docker云私有仓库或者Docker Hub官方仓库的扩展服务,安全扫描会为你的Docker镜像提供主动的风险管理和软件合规管理的详细安全配置信息。Docker安全扫描在你部署之前可以对你的镜像进行二进制层面的扫描,并提供一个详细的材料清单(BOM)列出所有的层级和组件,不断监控新的漏洞,在新的漏洞出现时推送通知。  当你考虑现代软件供应链时,一个公司会在不同的时段协调一些不同的开发者和IT团队,来建立栈和基础设施,移动和运行软件。App开发团队最关心的就是尽可能快的写好软件并交付给客户。然而,软件供应链并不是以开发者结束,它还需要反复的迭代,
发布时间:2016-05-13 08:35 | 阅读:121083 | 评论:0 | 标签:工具 Docker 安全扫描 扫描

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云