黑客使用合法工具接管Docker和Kubernetes平台

在最近一次攻击中，网络犯罪团伙teamtnt依靠一种合法工具避免将恶意代码部署在受感染的云基础架构上，但仍能牢牢地控制该云基础架构。
他们使用了一种专门为监测和控制安装有docker和kubernetes的云环境而开发的开源工具，减小了在中招服务器上的资源占用空间。
滥用开源工具
intezer的研究人员分析攻击后发现，teamtnt安装了weave scope开源工具，以全面控制受害者的云基础架构。
据研究人员声称，这可能是合法的第三方工具头一次被滥用、在云环境起到后门的作用，这也表明这个攻击团伙的手段日益高明。
weave scope与docker、kubernetes、分布式云操作系统（dc/os）和aws elastic compute cloud（ecs）无缝集成起来。它提供了完整的视图，直观显示了服务器上的进程、容器和主机，可控制已安装的应用程序。
intezer在一份报告中指出：“攻击者安装该工具是为了直观地呈现受害者的云环境，并执行系统命令，无需在服务器上部署恶意代码。”
研究人员在描述来自该事件的攻击流时表示，teamtnt是通过一个公开的docker api趁虚而入的。这使他们得以创建一个干净的ubuntu容器，该容器被配置成可安装在受害者的服务器上，进而访问主机上的文件。
然后，攻击者利用提升的权限设置了一个名为“hilde”的本地用户，并使用该用户通过ssh连接至服务器。安装weave scope是攻击的下一步，仅需三个命令即可完成下载、对scope应用程序设置权限并发动攻击这一系列操作。
借助服务器上的这个实用程序，teamtnt可以通过http经由端口4040（scope应用程序端点的默认端口）连接至weave scope仪表板，从而获得控制权。
研究人员表示，如果关闭了docker api端口或实施了受限访问策略，本可以避免这种罕见的情形。
另一个配置不当是允许从网络外部连接到weave scope仪表板。该工具的说明文档清楚地阐明不要让端口4040可通过互联网来访问。
5月初teamtnt引起了安全研究人员的注意，malwarehunterteam在推文中提到了这个加密货币挖掘团伙；而趋势科技披露，攻击者扫描了整个互联网，以查找敞开的docker守护程序端口。
上个月，总部位于英国的cado security公司发布了一份报告，有证据表明teamtnt的加密货币挖掘蠕虫还可以从docker和kubernetes实例中窃取aws登录信息和配置文件。


阿里云服务器公共镜像怎么选的
最便宜的高香港防云服务器
邮箱从点开始访问超时时不时可以打开
网站未被百度收录-虚拟主机/数据库问题
我们需要将升级到以上请给一个升级操作链接
在建立堡垒主机时
云计算有哪些主要的服务形式
下载文件损坏与内存有关吗图文教程