新型恶意软件家族正劫持暴露的Docker API
新型恶意软件家族正劫持暴露的Docker API
Akamai Hunt安全团队发现了一种针对暴露Docker API的新型恶意软件。与早期专注于加密挖矿的版本不同,该变体扩展了感染能力,包括持久化机制、端口阻塞,甚至可能为构建分布式僵尸网络奠定基础。
2025年6月,趋势科技首次报告了一个利用配置不当Docker API部署Tor隐藏加密挖矿程序的恶意软件家族。当时攻击者通过Base64编码负载在新容器中执行代码,修改SSH配置实现持久化,并安装masscan和torsocks等工具后启动XMRig挖矿程序。
但到2025年8月,Akamai研究人员观察到一个策略转变的新变体:“二进制文件完全不同;Akamai Hunt发现的变体不再投放加密挖矿程序,而是释放包含其他工具的文件,其感染能力远超原始版本。”
攻击链与核心技术
新型恶意软件通过HTTP请求调用Docker API,基于Alpine镜像启动容器。在容器内,Base64解码的脚本会准备环境、安装Tor,并从Tor隐藏服务拉取docker-init.sh 脚本。
Akamai指出:“该脚本分两阶段执行:第一阶段安装curl和Tor;第二阶段从Tor域名获取docker-init.sh 。”
脚本通过修改/root/.ssh/authorized_keys植入攻击者公钥,利用cron任务实现持久化,并安装扫描工具。最关键的是,它会阻塞主机的2375端口(Docker API默认端口),阻止其他攻击者接入——从而“独占”受感染系统。
横向传播与潜在威胁
下载的Go语言二进制文件(命名为dockerd)会释放额外工具,并运行masscan扫描其他暴露Docker API的实例。一旦发现目标,便重复感染流程,实现跨主机传播。
值得注意的是,该二进制文件还包含Telnet(23端口)和Chromium远程调试(9222端口)的休眠模块。尽管这些功能尚未激活,但暗示了未来扩展方向。Hunt团队警告:“部分底层机制表明,该变体可能是复杂僵尸网络的初始版本,但目前尚未发现完整形态。”
- Telnet模块:使用默认路由器凭证登录,将成功登录信息发送至远程Webhook。若登录用户为root,恶意软件会判定为蜜罐——这是一种巧妙的反监控措施。
- Chromium模块:利用
chromedp库连接暴露的调试端口。尽管尚未观察到高级利用行为,但该技术可扩展为窃取Cookie、劫持会话或泄露浏览器敏感数据。
检测与防御建议
Akamai Hunt团队提出多项检测策略:
- 监控启动后立即执行apt/yum安装并通过curl/wget拉取脚本的容器
- 警惕2375、23、9222端口的新连接及masscan扫描活动
- 追踪Docker容器内执行的Base64编码命令
- 检查异常crontab修改或
/root/.ssh/authorized_keys新增SSH密钥
防御方面,报告建议实施严格网络分段、限制Docker API暴露范围、将Chrome调试端口绑定至可信IP,并对所有设备强制执行强密码轮换。
