腾讯云：容器安全在野攻击调查（38页）.pdf

1、1前 言Preface容器安全在野攻击调查Research of Attacks In The Wild On Container Infrastructure目录Contents01. 前言02. 容器镜像安全03. 攻击趋势分析3.2. 攻击强度趋势分析171806060707081.1 前言1.2 主要结论1.3 黑产云原生攻击动机1.4 攻击模式分析1.5 攻击模式示意图2.1 容器镜像供应链安全2.2 蠕虫传播中使用的镜像11133.1 攻击手段多样性分析3.1.1 攻击者使用的镜像属性3.1.2 每日在野攻击镜像种类数量3.2.1 每日单个镜像发动的攻击次数3.2.2 攻防对抗激烈

2、程度3.2.3 攻击持久化分析171818192004. 云原生攻击矩阵05. 总结4.1 初始化访问5.1 总结4.2 执行4.3 持久化4.4 权限提升4.5 防御规避4.6 凭据窃取4.7 命令和控制223925282930363722242527282829303031323333333537374.1.1 投毒镜像4.1.2 对外应用漏洞4.2.1 脚本执行4.2.2 容器执行4.3.1 定时任务4.3.2 创建账号4.4.1 容器逃逸4.4.2 挂载 HOSTPATH 逃逸4.5.1 卸载杀软4.5.2 名称伪装4.5.3 使用 Tor 网络匿名4.5.4 进程隐藏 （1）通过 /

3、proc/PID 隐藏进程 （2）使用 rootkit 隐藏进程4.5.5 痕迹清理4.7.1 释放木马4.7.2 木马下载链接5前 言Preface容器安全在野攻击调查Research of Attacks In The Wild On Container Infrastructure前言Preface6前 言Preface容器安全在野攻击调查Research of Attacks In The Wild On Container Infrastructure进入后云计算时代，云原生正在成为企业数字化转型的潮流和加速器。云原生安全相关的公司雨后春笋般建立起来，各个大云厂商也积极建立自己云原生

4、的安全能力，保护云上客户的资产。与之相对的，黑产组织为了牟利，也在不断寻找新的战术、技术和流程（TTP）。在利益的驱动下，黑产组织通过不断的寻找和利用云原生安全缺陷，从而形成稳定的盈利模式。知己知彼，百战不殆。了解自己的对手才能更容易的赢得战争。腾讯安全云鼎实验室通过对在野的攻击进行一段时间的统计和分析，对攻击者的战术、技术、流程、活动周期、攻击复杂度等维度进行介绍，希望可以对云原生安全的生态建设有更多帮助。本文的分析数据基于腾讯安全云鼎实验室的哨兵蜜罐捕获的 2021 年 9 月至 2022 年 1 月总共 5 个月的攻击数据，总计125,364 次攻击。通过腾讯安全云鼎实验室的容器沙箱运行

5、分析的 Dockerhub 中 1093980 个镜像数据。前言主要结论1.11.2供应链安全，不仅仅是安全左移，针对供应链的攻击也越来越频繁。黑产在容器安全攻击过程中使用了越来越多的高级技术，包括：无文件攻击、二进制打包、rootkit。攻击强度，攻击数量，攻击方法多样性有显著增长，这与容器应用规模增长有关系。容器安全面临的安全挑战越来越大，需要选择靠谱的安全产品进行防护。7前 言Preface容器安全在野攻击调查Research of Attacks In The Wild On Container Infrastructure黑产云原生攻击动机攻击模式分析1.31.4在云原生架构中，容器

6、生命周期短、业务复杂。传统的木马已不太适合云原生架构，攻击者无法获取批量的容器进行DDoS。云原生攻击中绝大部分是利用容器集群挖矿，已经形成了稳定的黑产收益链条，是黑产的主要攻击动机。黑客在利用容器资源挖矿牟利的过程中，还窃取服务器凭证，安装后门等操作。挖矿作为典型的云原生攻击场景，可以代表绝大部分攻击的场景。这里以挖矿的场景进行分析：从攻击模式上分类，可以分为 2 类：黑客通过制作恶意的黑产镜像，通过伪造镜像名称，诱导用户主动下载黑产镜像，然后就进行挖矿。黑客通过制作蠕虫病毒，通过漏洞自动化传播，入侵成功后，会下载恶意镜像，进行容器逃逸等动作，被入侵容器会继续扫描感染其他主机。供应链攻击蠕虫