Docker 恶意软件泛滥，开发人员需谨慎

恶意软件领域在 2017 年底发生了重大转变。随着基于云的技术的普及，一些网络犯罪团伙也开始瞄准 Docker 和Kubernetes系统。这些攻击大多遵循一个非常简单的模式，即威胁行为者扫描配置错误的系统，并将这些系统的管理界面暴露在网上，以便接管服务器并部署加密货币挖矿恶意软件。在过去的三年里，这些攻击愈演愈烈，一些针对Docker(和Kubernetes)新型恶意软件和攻击行为变得层出不穷。

然而正如 ZDNet 所述，尽管恶意软件对 Docker服务器的攻击已经屡见不鲜，但很多网络开发者和基础架构工程师却还没有吸取教训，仍在错误配置Docker 服务器，使其暴露在攻击之下。其中最常见的疏漏就是，让Docker 远程管理 API 端点暴露在网上而不进行认证。

过去几年中，曾有 Doki、Ngrok、Kinsing(H2miner)、XORDDOS、AESDDOS、Team TNT 等恶意软件扫描Docker服务器，将 Docker 管理 API 暴露在网上，然后滥用它来部署恶意操作系统镜像、植入后门或安装加密货币矿机。

上周，奇虎 360 则发现了这些恶意软件的最新菌株，名为 Blackrota。这是一个用 Go 语言编写的恶意后门程序，利用了 DockerRemoteAPI 中未经授权的访问漏洞。鉴于其 C2 域名为 blackrota.ga，因此被命名为 Blackrota。

目前，该 Blackrota 后门程序仅被发现可用于 Linux，使用方式还尚未清楚。研究人员也不知道其是否存在Windows版本、是否被用于加密货币挖矿，或者是否被用于在强大的云服务器之上运行 DDoS 僵尸网络。

从 Blackrota和此前经历过的攻击中得到的教训是，Docker已不再是一项边缘技术，其几乎每天都在遭受有针对性的大规模攻击。因此，建议在生产系统中运行 Docker系统的公司、Web 开发人员和工程师仔细查看Docker 官方文档 ，确保已通过适当的身份验证机制(例如基于证书的身份验证系统)保护了 Docker的远程管理功能。

总而言之，随着 Docker 在现代基础架构设置中的地位越来越突出，且攻击事件不断增加，针对Docker系统的恶意软件菌株数量也在逐月增加，开发者是时候该认真对待 Docker 安全了。

本文转自OSCHINA

本文标题：Docker 恶意软件泛滥，开发人员需谨慎

本文地址：https://www.oschina.net/news/122219/docker-malware-security