wechatimg532

Black Hat 2017 议题:新型攻击向量技术 LAS VEGAS 可利用 Docker API 植入恶意软件

  • 浏览次数 13913
  • 喜欢 0
  • 评分 12345

据外媒 7 月 27 日报道,Aqua Security 安全研究人员 Sagie Dulce 将在 Black Hat 大会上首次展示新型攻击向量技术 LAS VEGAS,允许黑客滥用云计算平台 Docker API 植入、隐藏、存储恶意软件,远程执行任意代码。

LAS VEGAS 是开发人员用于创建与测试 Docker 容器的一款程序,通过在 Windows 下默认设置安装 Docker 平台 API 实施攻击。实现该技术分为三个阶段:

第一阶段:诱导运行 Windows Docker 的开发人员访问托管 JavaScript 特制程序的恶意网页。与此同时,JavaScript 还可绕过浏览器同源策略安全防护功能。LAS VEGAS 不仅可以使用绕过 SOP 保护的 API 命令,还可将 Git 存储库作为 C2 主机生成 Docker 容器,托管恶意攻击代码。目前只有 GET、HEAD 与 POST 等部分 HTTP 方法允许跨源。

第二阶段:创建 “ 影子容器 ” ,保证容器指令在虚拟机重启时持续运行,即攻击者将会写入一个关闭容器的脚本保存当前状态,执行网络侦察、植入恶意软件或内部网络横向移动时保持隐蔽。

第三阶段:针对企业未来进行持续性远程代码执行。目前,现有安全产品对于持续性攻击几乎无能为力。

Dulce 表示,由于此项技术允许黑客通过 TCP / HTTP 远程访问 Windows Docker 所有版本的后台程序,因此他们建议用户及时更改默认配置、关闭HTTP端口,以防黑客再次入侵。

原作者:Tom Spring,译者:青楚,译审:游弋
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。