騰訊云：容器安全在野攻擊調查（38頁）.pdf

《騰訊云：容器安全在野攻擊調查（38頁）.pdf》由會員分享，可在線閱讀，更多相關《騰訊云：容器安全在野攻擊調查（38頁）.pdf（38頁珍藏版）》請在三個皮匠報告上搜索。

1、1前 言Preface容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure目錄Contents01. 前言02. 容器鏡像安全03. 攻擊趨勢分析3.2. 攻擊強度趨勢分析171806060707081.1 前言1.2 主要結論1.3 黑產云原生攻擊動機1.4 攻擊模式分析1.5 攻擊模式示意圖2.1 容器鏡像供應鏈安全2.2 蠕蟲傳播中使用的鏡像11133.1 攻擊手段多樣性分析3.1.1 攻擊者使用的鏡像屬性3.1.2 每日在野攻擊鏡像種類數量3.2.1 每日單個鏡像發動的攻擊次數3.2.2 攻防對抗激烈

2、程度3.2.3 攻擊持久化分析171818192004. 云原生攻擊矩陣05. 總結4.1 初始化訪問5.1 總結4.2 執行4.3 持久化4.4 權限提升4.5 防御規避4.6 憑據竊取4.7 命令和控制223925282930363722242527282829303031323333333537374.1.1 投毒鏡像4.1.2 對外應用漏洞4.2.1 腳本執行4.2.2 容器執行4.3.1 定時任務4.3.2 創建賬號4.4.1 容器逃逸4.4.2 掛載 HOSTPATH 逃逸4.5.1 卸載殺軟4.5.2 名稱偽裝4.5.3 使用 Tor 網絡匿名4.5.4 進程隱藏 （1）通過 /

3、proc/PID 隱藏進程 （2）使用 rootkit 隱藏進程4.5.5 痕跡清理4.7.1 釋放木馬4.7.2 木馬下載鏈接5前 言Preface容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure前言Preface6前 言Preface容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure進入后云計算時代，云原生正在成為企業數字化轉型的潮流和加速器。云原生安全相關的公司雨后春筍般建立起來，各個大云廠商也積極建立自己云原生

4、的安全能力，保護云上客戶的資產。與之相對的，黑產組織為了牟利，也在不斷尋找新的戰術、技術和流程（TTP）。在利益的驅動下，黑產組織通過不斷的尋找和利用云原生安全缺陷，從而形成穩定的盈利模式。知己知彼，百戰不殆。了解自己的對手才能更容易的贏得戰爭。騰訊安全云鼎實驗室通過對在野的攻擊進行一段時間的統計和分析，對攻擊者的戰術、技術、流程、活動周期、攻擊復雜度等維度進行介紹，希望可以對云原生安全的生態建設有更多幫助。本文的分析數據基于騰訊安全云鼎實驗室的哨兵蜜罐捕獲的 2021 年 9 月至 2022 年 1 月總共 5 個月的攻擊數據，總計125,364 次攻擊。通過騰訊安全云鼎實驗室的容器沙箱運行

5、分析的 Dockerhub 中 1093980 個鏡像數據。前言主要結論1.11.2供應鏈安全，不僅僅是安全左移，針對供應鏈的攻擊也越來越頻繁。黑產在容器安全攻擊過程中使用了越來越多的高級技術，包括：無文件攻擊、二進制打包、rootkit。攻擊強度，攻擊數量，攻擊方法多樣性有顯著增長，這與容器應用規模增長有關系。容器安全面臨的安全挑戰越來越大，需要選擇靠譜的安全產品進行防護。7前 言Preface容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure黑產云原生攻擊動機攻擊模式分析1.31.4在云原生架構中，容器

6、生命周期短、業務復雜。傳統的木馬已不太適合云原生架構，攻擊者無法獲取批量的容器進行DDoS。云原生攻擊中絕大部分是利用容器集群挖礦，已經形成了穩定的黑產收益鏈條，是黑產的主要攻擊動機。黑客在利用容器資源挖礦牟利的過程中，還竊取服務器憑證，安裝后門等操作。挖礦作為典型的云原生攻擊場景，可以代表絕大部分攻擊的場景。這里以挖礦的場景進行分析：從攻擊模式上分類，可以分為 2 類：黑客通過制作惡意的黑產鏡像，通過偽造鏡像名稱，誘導用戶主動下載黑產鏡像，然后就進行挖礦。黑客通過制作蠕蟲病毒，通過漏洞自動化傳播，入侵成功后，會下載惡意鏡像，進行容器逃逸等動作，被入侵容器會繼續掃描感染其他主機。供應鏈攻擊蠕蟲

7、傳播攻擊8前 言Preface容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure攻擊模式示意圖1.59前 言Preface容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure容器鏡像安全Container ImageSecurity10容器鏡像安全Container Image Security容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastruc

8、tureDockerhub 是全球最大的 docker 鏡像市場，云鼎實驗室通過大規模的研究 Dockerhub 中的鏡像，分析了 109w 的Dockerhub 鏡像，來研究鏡像供應鏈的安全情況。我們發現萬分之七左右的鏡像為惡意鏡像。我們發現，通過容器鏡像進行供應鏈攻擊越來越普遍，模仿的 docker 環境覆蓋了機器學習、編程語言和基礎應用環境。隨著容器化的爆發，應用環境復雜化的爆發，供應鏈安全會是容器安全重要的一環?，F階段，通過病毒下載的容器鏡像占比較大，下載量也非常巨大，蠕蟲的傳播速度是非?？斓?，我們發現最大的黑產團伙，惡意容器下載量達到了 1.5 億。11容器鏡像安全Container

9、 Image Security容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure容器鏡像供應鏈安全2.1上圖是統計近一年內發現的供應鏈惡意鏡像，橫坐標為鏡像上線時間，縱坐標為下載數量?？梢钥闯鰜?，python、logstash、rails 類的基礎軟件鏡像下載數量最大。通常 4-5 個月就可以達到 10w 左右的下載量，可見通過假冒常用基礎軟件鏡像是攻擊云原生供應鏈的重要環節之一。惡意鏡像假冒的基礎鏡像種類大致分三種：1、編程語言開發環境；2、基礎應用環境（wordpress、mondb 等）；3、機器學習

10、相關套件。其中，編程語言類鏡像數量比例最大，占比 47%，人工智能相關比例最小，只有 13%。12容器鏡像安全Container Image Security容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure從下圖我們可以看出，黑產團伙會冒充常見的編程語言，其中 python、java 比例最大，兩者加起來占比 36%。對于偽裝成正常應用的鏡像，一般下載量成線性增加，此類的惡意鏡像較難發現，隱蔽性較好。未來隨著容器化的進行，會出現越來越多的應用容器，供應鏈安全也顯得越來越緊迫。下面以 Srinath1882

11、/jupyter 這個鏡像為例，展示了 45 天的一個下載量情況。如下圖所示：05001000150020002500300013579111315171921232527293133353739414345srinath1882/jupyterSrinath1882/jupyter13容器鏡像安全Container Image Security容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure蠕蟲傳播中使用的鏡像2.2這類鏡像通過蠕蟲傳播，下載量巨大。主要以多個黑產團伙為主，頭部 4 個黑產團伙的下載量占

12、比 90% 以上。云鼎實驗室長期監控各個黑產團伙的黑產鏡像，發表多篇文章，如DockerHub 再現百萬下載量黑產鏡像，小心你的容器被挖礦（https:/ 1.8 億，感染范圍廣泛。此類攻擊是主流的攻擊方式，后文中會講解我們通過云鼎哨兵系統捕獲的在野攻擊的詳細分析。下表中統計了這個黑產團伙下載量超過 40w 的鏡像。具體技術會在下文 攻擊矩陣部分進行詳細介紹。相關鏡像如下表所示：這個超過 1.8 億下載量的黑產團伙主要是進行挖礦，使用自己的礦池，使用暗網通信或者使用 UAM 挖礦，從而逃避檢測。下載量超 1.8 億的黑產團伙14容器鏡像安全Container Image Security容器安

13、全在野攻擊調查Research of Attacks In The Wild On Container InfrastructureDocker hub 賬戶頁面如下：我們可以看出全部鏡像名稱均沒有進行偽裝，鏡像名稱為越南語。15容器鏡像安全Container Image Security容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure從單個上看，至少賺了 700 個 xmr，價值 100w 人民幣，這依然是很小的一部分收入，因為很多礦池的記錄無法查詢?？梢园l現，黑產團伙可以通過挖礦獲得巨大的利益。團伙收

14、入黑產團伙使用的一個挖礦錢包：16前 言Preface容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure攻擊趨勢分析Attack TrendAnalysis17攻擊趨勢分析Attack Trend Analysis容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure攻擊手段多樣性分析3.1這部分我們通過騰訊安全云鼎實驗室的哨兵蜜罐，采集了 2021 年 9 月至 2022 年 1 月總共 5 個月的攻擊數據，總計攻擊次數為

15、 125,364 次?？傮w來說，攻擊手段越來越豐富，攻擊強度逐漸增強。下文中我們會對攻擊數據進行分析，從而反映出現有的容器安全環境。我們這里會從攻擊中使用的鏡像入手進行分析，包括：鏡像的屬性，鏡像的實際種類。攻擊者使用的鏡像屬性可以分為 3 類：正常鏡像、仿白惡意鏡像（比如：假冒白鏡像的名稱，起名為 ubuntu2 ）、惡意鏡像。攻擊者會利用正常的鏡像進行攻擊（53%），從而可以有效的繞過安全系統的檢測。如果使用惡意鏡像，也會把鏡像名稱進行偽造，從而迷惑安全檢測。3.1.1 攻擊者使用的鏡像屬性正常鏡像52%仿白惡意鏡像（合法鏡像名）41%惡意鏡像7%鏡像種類比例正常鏡像仿白惡意鏡像（合法鏡像

16、名）惡意鏡像18攻擊趨勢分析Attack Trend Analysis容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure3.1.2 每日在野攻擊鏡像種類數量3.2.1 每日單個鏡像發動的攻擊次數每日攻擊中，攻擊者使用的鏡像種類數量越多，也就代表了攻擊方法的多樣性越豐富，也一定程度上表明了現有的容器安全環境越差，暴露了很多安全缺陷。下圖中是 2021 年 9 月至 2022 年 1 月每個月平均每天，黑客在攻擊中使用到的鏡像種類數量，從九月份開始，攻擊的種類數量呈一個上升的趨勢，從每天 4.6 個鏡像增長到

17、6.8 個鏡像。攻擊手段和方法都有增加。通過每日攻擊者使用鏡像發動的攻擊次數。我們可以得到攻擊強度的趨勢。下圖是 2021 年 9 月至 2022 年 1 月每日平均每個鏡像攻擊次數的統計曲線，我們可以看出來，隨著時間的推移，針對容器攻擊的次數有顯著的增加。尤其是在 11 月和 12 月，攻擊總量增加了大約一倍?？梢钥闯鰜?，攻擊強度增長較快。攻擊強度趨勢分析3.219攻擊趨勢分析Attack Trend Analysis容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure3.2.2 攻防對抗激烈程度容器面臨的

18、攻擊是新技術替代了舊技術？ 還是舊的攻擊技術依然活躍，同時涌現出了新的攻擊方式？ 攻擊中使用了多少種鏡像可以很好的表示出黑客攻擊的多樣性，我們統計了 5 個月，攻擊中使用的鏡像數量。攻擊中使用的鏡像數量是呈上升趨勢的，每月平均新增攻擊鏡像 3.6 個，可見攻擊方法和手段越來越多。新增攻擊鏡像的增速也是呈上升趨勢的，平均每月增長 3.6 個新的攻擊鏡像，與之對比，攻擊鏡像的消亡速度也是呈現上升趨勢，平均每個月減少 2.4個攻擊鏡像。我們可以看出，攻擊方法越來越多，攻擊者嘗試使用多種不同的攻擊手段進行攻擊，于此同時，防護方也在積極防御，使得很多攻擊鏡像失效。云原生上的攻防越來越激烈，對于使用云原生

19、產品的客戶來說，選擇一個靠譜的安全產品是一個比較明智的選擇。20攻擊趨勢分析Attack Trend Analysis容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure3.2.3 攻擊持久化分析通常來說，發動攻擊的 ip 設備同時也是被黑客攻擊控制的，如果存活時間很短，表示攻擊后并沒有有效的持久化，由于容器的銷毀或者安全系統的查殺，黑客會在短時間內失去對目標的控制權。如果存活時間較長，可以簡單的認為，黑客的持久化攻擊是行之有效的。我們在蜜罐捕獲的樣本分析的過程中發現，大部分的攻擊都會進行容器逃逸和持久化。

20、我們統計了 130 天內，9687 個攻擊 ip 持續的時間?？梢钥闯鰜?，49% 的攻擊最多持續 4 天，能持續一周以上的占38%，能持續超過一個月的占 17%。大約 40% 的容器使用單位對于容器的攻擊沒有任何防御能力，無法及時有效的發現和處置入侵至容器集群中的風險。21攻擊趨勢分析Attack Trend Analysis容器安全在野攻擊調查Research of Attacks In The Wild On Container InfrastructureMITRE ATT&CKFrameworkfor containers云原生攻擊矩陣22云原生攻擊矩陣 MITRE ATT&CK Fr

21、amework for containers容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure我們這里通過攻擊矩陣的方式來介紹，我們分析的 dockerhub 中的惡意鏡像和捕獲的在野云原生攻擊中使用的攻擊技術。下面表格中紅色的部分是惡意鏡像常用的手法。下文中，我們會先介紹惡意鏡像使用的方法。初始化訪問4.14.1.1 投毒鏡像很多容器開發者會使用公開的鏡像源（dockerhub）下載鏡像并在業務環境中使用，攻擊者會構造惡意鏡像部署到dockerhub，通過誘導安裝或者鏈路劫持，展開供應鏈攻擊。例子：鏡像偽

22、裝為 tensorflow，但攜帶了 xmr 挖礦程序。初始化訪問執行持久化防御規避權限提升憑據訪問命令和控制橫向發現對外應用漏洞容器服務容器逃逸容器 API容器資源網絡掃描云實例元數據 API應用層協議：IRC密碼暴力破解文件憑證掛載 Host遠程服務惡意鏡像host 命名空間濫用Host 上創建鏡像runc docker socket 利用冒充正常鏡像名投毒鏡像創建容器內核漏洞名稱偽裝路徑偽裝卸載殺軟rootkitTor 匿名化host 掛載計劃任務有效賬戶部署特權容器計劃任務賬戶泄露腳本Cgroups 濫用創建賬號23云原生攻擊矩陣 MITRE ATT&CK Framework for

23、containers容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure惡意鏡像隱蔽性高，需要專業的鏡像安全查殺工具進行檢測。例子：鏡像名：srinath1882/jupyter ，在正常的 20894 行配置中，只有 4 行跟 xmr 挖礦有關，其余均為正常指令，隱蔽性非常高。類似于上面的例子， 很多復雜環境的鏡像， 在海量的正常命令中， 插入幾行的挖礦命令， 在正常功能的掩蓋下，異常行為很難發現。隱蔽性分析24云原生攻擊矩陣 MITRE ATT&CK Framework for containers容器安

24、全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure4.1.2 對外應用漏洞是一個取代遠程命令行界面（rcli）的 REST API，默認綁定 2375 端口。Docker Remote API 如配置不當可導致未授權訪問，攻擊者利用 docker client 或者 http 直接請求就可以訪問這個 API，可能導致敏感信息泄露，黑客也可以刪除 Docker 上的數據。攻擊者可進一步利用 Docker 自身特性，直接訪問宿主機上的敏感信息，或對敏感文件進行修改，最終完全控制服務器。對于云原生容器環境，可以說 do

25、cker api 未授權訪問是黑產攻擊中最常使用的漏洞。Docker Remote API從哨兵系統捕獲的流量數據發現有大量的針對 docker api 未授權訪問漏洞攻擊的數據包。最常見的端口有：2375、2376、2377、4244、4243。哨兵系統捕捉的數據包：這里以 TEAMTNT 組織的 2021.09.13 發布的容器攻擊樣本為例，說明 DOCKER API 利用的常見過程。同一般的漏洞利用過程一樣，分為兩步：1、漏洞掃描 ；2、漏洞利用。A、掃描獲取 docker API 版本調用 masscan 和 zgrab 等掃描器，掃描目標 IP，通過請求舊版本的命令，可以獲取到最新的

26、 docker API 版本。相關代碼如下：25云原生攻擊矩陣 MITRE ATT&CK Framework for containers容器安全在野攻擊調查Research of Attacks In The Wild On Container InfrastructureB、利用 Remote API 漏洞：直接通過 Remote API 漏洞，遠程啟動傳播病毒的容器鏡像 alpineos/dockerapi。相關代碼如下：執行4.24.2.1 腳本執行通過漏洞遠程執行命令下載腳本本地執行，是最常見的執行方式。殺軟對于腳本類的檢測相對較弱，腳本類型的樣本通過變形加密的方法也很多，腳本病毒生

27、存能力很強，是黑產常用的手段。下圖為通過 docker api 遠程下載腳本執行的攻擊流量包：26云原生攻擊矩陣 MITRE ATT&CK Framework for containers容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure為了獲得更好的生存能力，腳本執行也會有變形，通過二進制包裝的腳本執行。腳本執行的命令不變，在二進制中通過 system 執行，這樣可以繞過殺軟的檢測（一般來說，腳本引擎和二進制查殺引擎是分開的）。27云原生攻擊矩陣 MITRE ATT&CK Framework for co

28、ntainers容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure4.2.2 容器執行黑產攻擊者會通過容器執行惡意指令，進行挖礦和病毒傳播。A、首先通過命令啟動特權鏡像B、如果鏡像是個惡意鏡像，可以通過鏡像啟動時執行腳本C、或者直接 attach 到容器上，執行命令這里以 alpineos/dockerapi 為例：下面的例子就是通過 pause 腳本用于病毒的傳播。28云原生攻擊矩陣 MITRE ATT&CK Framework for containers容器安全在野攻擊調查Research of At

29、tacks In The Wild On Container Infrastructure持久化4.34.3.1 定時任務4.3.2 創建賬號攻擊者得到 host 權限后，通常會把自己寫入定時任務中去。通過增加新的賬戶，添加自己的 RSA 密鑰，隨時可以通過密鑰登錄 host。29云原生攻擊矩陣 MITRE ATT&CK Framework for containers容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure權限提升4.44.4.1 容器逃逸容器逃逸的方法有很多，這里介紹一種較為常見的方式：特權模

30、式 + SSH。特權模式在 6.0 版本的時候被引入 Docker，其核心作用是允許容器內的 root 擁有外部物理機的 root 權限，而此前在容器內的 root 用戶只有外部物理機普通用戶的權限。使用特權模式啟動容器后（docker run -privileged），Docker 容器被允許可以訪問主機上的所有設備、可以獲取大量設備文件的訪問權限。下面以 TEAMTNT 常見的容器逃逸方式舉例：第一步、創建特權容器第二步：SSH 容器逃逸docker -H $D_TARGET run -d -privileged -net host -v /:/host alpine。容器本身為干凈的 a

31、lpine 容器。在 root 目錄下拷貝 ssh 密鑰到宿主機，通過訪問 127.0.0.1 從而進行容器逃逸。上述代碼解密后如下：30云原生攻擊矩陣 MITRE ATT&CK Framework for containers容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure4.4.2 掛載 HOSTPATH 逃逸在特權模式下，可以直接掛載宿主機的磁盤，chroot 之后就可以像訪問本地文件一樣，讀取宿主機上的文件。以下面為例： 通過 chroot 改變 root 目錄至 /mnt 進行容器逃逸，然后下載

32、 dktest.sh 并運行。防御規避4.54.5.1 卸載殺軟攻擊者直接卸載安全軟件應該是最直接的防御規避策略了，云上的安全 Agent 通常較為輕量，同時為了用戶體驗，也提供了卸載的接口，所以相對容易被卸載。下面這個例子中，TEAMTNT 的樣本運行后，會關閉安全軟件 watchdog，然后卸載 aliyun 的安全 agent aegis。31云原生攻擊矩陣 MITRE ATT&CK Framework for containers容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure4.5.2 名稱偽裝

33、通過偽裝為正常應用的名稱，可以大概率逃過安全系統的檢測和安全運維人員的審查。下面例子中，黑客創建了一個特權容器，名字卻命名為：8s_POD_kube-dns-b4f5c58c7-2wmfx_kube-system_4f31337e2-915a-483d-960f-6b7860398f4b_0很容易讓人理解為 k8s 的正常節點。32云原生攻擊矩陣 MITRE ATT&CK Framework for containers容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure4.5.3 使用 Tor 網絡匿名前文

34、中提到的 1.8 億下載量的黑產組織，他們使用的惡意鏡像中的挖礦木馬通過使用 ProxyChains 和 Tor 的網絡匿名化工具來逃避網絡檢測，或者使用 UAM 挖礦。這個例子通過代理 tor 網絡，進行隱秘挖礦：使用 UAM 挖礦：33云原生攻擊矩陣 MITRE ATT&CK Framework for containers容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure4.5.4 進程隱藏（1）通過 /proc/PID 隱藏進程（2）使用 rootkit 隱藏進程主要是利用 mount -bind

35、命令把被掛載目錄的目錄項（/proc/$HIDE_PID）屏蔽指定進程（語句不順），使得受害者無法通過 ps 等命令發現正在運行的挖礦木馬。黑客在植入挖礦病毒后，通常會通過 diamorphine.sh 來隱藏進程，之后清理痕跡。Diamorphine 是一個 LKM rootkit ，功能就是進程隱藏、模塊隱藏，用戶 root 權限獲取，帶有 Magic-prefix 開頭的文件和目錄隱藏。這里重點介紹一下進程隱藏部分。Rootkit 初始化部分會 hook getdents、getdents64 和 kill 三個函數，其中被 hook 的 kill 函數用于接受命令，進行進程隱藏、roo

36、t 等動作。34云原生攻擊矩陣 MITRE ATT&CK Framework for containers容器安全在野攻擊調查Research of Attacks In The Wild On Container InfrastructureHacked_kill 定義了 3 個參數，31 用來隱藏進程，64 用來獲取 root，63 用來隱藏自身模塊。被 hook 的 kill 代碼如下：通過 for_each_process 遍歷進程列表找到目標進程，把進程標志設置為 PF_INVISIBLE 從而達到隱藏進程的目標。Find_task 代碼如下：35云原生攻擊矩陣 MITRE ATT&

37、CK Framework for containers容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure通過刪除 /bash_history 和 執行 history -c 命令，清除命令歷史記錄刪除暫存臨時文件刷新屏幕清除終端連接4.5.5 痕跡清理大致的方法如下：36云原生攻擊矩陣 MITRE ATT&CK Framework for containers容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure憑據竊取4.

38、6攻擊者會收集受害者機器上的 github 相關信息，如果是 AWS 的云主機的化，會竊取 AWS 上的很多憑證信息。相關代碼如下：AWS 憑據竊?。?7云原生攻擊矩陣 MITRE ATT&CK Framework for containers容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure命令和控制4.74.7.1 釋放木馬4.7.2 木馬下載鏈接在統計中發現，比較多的就是 IRC 木馬，這里以 Chimaera IRC 遠控木馬為例，不做過多介紹。攻擊者通常會使用具有迷惑性名稱的網站（貌似正常網站）作

39、為病毒的下載站，或者直接使用正常網站，比如：github，這樣攻擊者成本可以很低也可以繞過安全軟件的查殺?？偨YSummary39總結Summary容器安全在野攻擊調查Research of Attacks In The Wild On Container Infrastructure首先說明，我們全部的分析都是基于云鼎實驗室的哨兵蜜罐系統和對于 dockerhub 100 多萬的鏡像分析總結得出，結論只供參考。攻擊者使用越來越多的高級技術入侵容器，比如容器逃逸，rootkit，殺軟對抗等等。隨著 docker 應用的爆炸式增長，由于容器錯誤配置引發的安全問題也越來越多。供應鏈攻擊是云原生安全面臨的較大問題，惡意鏡像比較容易構造，繞過殺軟的靜態檢測。這里比較推薦使用騰訊容器安全的容器動態分析引擎（DTA）。建議廠商選擇相對靠譜的云原生安全防護產品，第一時間發現安全問題，進行有效防護。云原生是一個新領域，攻擊者的創新能力很強，往往能發現云上新的安全問題?？偨Y5.1