S腾讯云/?腾讯安全 Tencent腾讯 容器安全在野攻击调查 Research of Attacks InTheWild OnContainerInfrastructure 腾讯云计算【北京】有限公司 版权声明 本文档著作权归腾讯云计算（北京)有限责任公司(以下简称腾讯云)单独所有未经腾讯云 事先书面许可，任何主体不得以任何方式或理由使用本文档，包括但不限于复制、修改传播。 公开，剃窃全部或部分本文档内容。 本文档及其所含内容均属腾讯云内部资料, 并且仅供腾讯云指定的主体查着。如果您非经腾讯 云授权而获得本文档的全部或部分内容敬请予以剧除，切勿以复制、披露、传播等任何方式 使用本文档或其任何内容亦请切勿依本文档或其任何内容而采取任何行动。 商标声明 Tencent腾讯 I腾讯云 腾讯“腾讯云 及其它腾讯云服务相关的商标、标识等均为腾讯云及其关联公司各自所有。 若本文档涉及第三方主体的商标 则应依法由其权利人所有。 免责声明 本文档旨在向客户介绍本文档撰写时腾讯云相关产品、服务的当时的整体概况，部分产品或 股务在后续可能因技术调整或项目设计等任原因脂导致其服务内容影标准等有所调整。因此 本文档仅供参考腾讯云不对其准确性、适用性或完整性等做任何保证。您所购买使用的腾 讯云产品、服务的种类内容。服务标准等。应以您和腾讯云之间签署的合同约定为准除非 双方另有约定胍否则腾讯云对本文档内容不做任何明示或默示的承诺或保证。 目录 Contents 01.前言 1.1前言 06 1.2主要结论 06 1.3黑产云原生攻击动机 07 1.4攻击模式分析 07 1.5攻击模式示意图 08 02.容器镜像安全 2.1容器镜像供应链安全 11 2.2蠕虫传播中使用的镜像 13 03.攻击趋势分析 3.1攻击手段多样性分析 17 3.1.1攻击者使用的镜像属性 17 3.1.2每日在野攻击镜像种类数量 18 3.2.攻击强度趋势分析 18 3.2.1每日单个镜像发动的攻击次数 18 3.2.2攻防对抗激烈程度 19 3.2.3攻击持久化分析 20 04.云原生攻击矩阵 4.1初始化访问 22 4.1.1投毒镜像 22 4.1.2对外应用漏洞 24 4.2执行 25 4.2.1脚本执行 25 4.2.2容器执行 27 4.3持久化 28 4.3.1定时任务 28 4.3.2创建账号 28 4.4权限提升 29 4.4.1容器逃逸 29 4.4.2挂载HOSTPATH选逸 30 4.5防御规避 30 4.5.1卸载杀软 30 4.5.2名称伪装 31 4.5.3使用Tor网络匿名 32 4.5.4进程隐藏 33 (1)通过/proc/PID隐藏进程 33 (2）使用rootkit隐藏进程 33 4.5.5痕迹清理 35 4.6凭据窃取 36 4.7命令和控制 37 4.7.1释放木马 37 4.7.2木马下载链接 37 05.总结 5.1总结 39 前言 Preface 容器安全在野攻击调荒 前言 Resparch of Rttocks In Yhe Wd On Container Infrastructur Praface 前言 1.1 进入后云计算时代，云原生正在成为企业数学化转型的流和加速器。云原生安全相关的公司雨后春笋般建立起来，各个 大云厂商也积极建立自已云原生的安全能力，保护云上客户的资产。 与之相对的，黑产组织为了牟利，也在不断寻找新的战术、技术和流程（TTP）。在利益的驱动下，黑产组织通过不断的 寻找和利用云廉生安全缺陷，从而形成稳定的盈利模式。 知己知彼，百战不殆。了解自己的对手才能更容易的赢得战争。腾讯安全云鼎实验室通过对在野的攻击进行一段时间的统 计和分析，对攻击者的战术、技术、流程、活动周期、攻击复杂度等维度进行介绍，希望可以对云原生安全的生态建设有 更多帮助。 本文的分析数据基于腾讯安全云鼎实验室的哨兵蜜罐捕获的2021年9月至2022年1月总共5个月的攻击数据，总计 125.364次攻击。通过腾讯安全云鼎实验室的容器沙箱运行分析的Dockerhub中1093980个镜像数据。 主要结论 1.2 供应链安全不仅仅是安全差移针对供应链的政击也越来越频繁 黑产在容器安全攻击过程中使用了越来越多的高级技术。包括 无文件攻击、一进制打包、rootkit。 致击强度攻击数量攻击方法多样性有显著增长这与容器应用规模增长有关系 容器安全面临的安全挑战越来越大，需要选择靠谱的安全产品进行防 - 6 前言 容器安全在野政击调意 ResparchofRttocksInTheWMdDnContainerInfrastructure Praface 黑产云原生攻击动机 1.3 在云原生架构中，容器生命周期短、业务复杂。传统的木马已不太适合云原生架构，攻击者无法获取批量的容器进行 DDoS. 云原生攻击中绝大部分是利用容器集群挖矿，已经形成了稳定的黑产收益链条，是黑产的主要攻击动机。黑客在利用容器 资源挖矿牟利的过程中，还窃取服务器凭证，安装后门等操作。 攻击模式分析 挖矿作为典型的云廉生攻击场景，可以代表绝大部分攻击的场景。这里以挖矿的场景进行分析： 从攻击模式上分类，可以分为2类： 供应链攻击 虑客通过制作恶意的黑产镜像通过伪造镜像名称最诱导用户主动下载黑产镜像，然后就进行挖矿 蠕虫传播攻击 黑客通过制作虫病毒通过滞洞自动化传播,入侵成功后、会下载恶意镜像、进行容器进逸等动作。被入侵容 器会继续扫描感染其他主机。