据外媒 7 月 27 日报道,Aqua Security 安全研究人员 Sagie Dulce 将在 Black Hat 大会上首次展示新型攻击向量技术 LAS VEGAS,允许黑客滥用云计算平台 Docker API 植入、隐藏、存储恶意软件,远程执行任意代码。
LAS VEGAS 是开发人员用于创建与测试 Docker 容器的一款程序,通过在 Windows 下默认设置安装 Docker 平台 API 实施攻击。实现该技术分为三个阶段:
第一阶段:诱导运行 Windows Docker 的开发人员访问托管 JavaScript 特制程序的恶意网页。与此同时,JavaScript 还可绕过浏览器同源策略安全防护功能。LAS VEGAS 不仅可以使用绕过 SOP 保护的 API 命令,还可将 Git 存储库作为 C2 主机生成 Docker 容器,托管恶意攻击代码。目前只有 GET、HEAD 与 POST 等部分 HTTP 方法允许跨源。
第二阶段:创建 “ 影子容器 ” ,保证容器指令在虚拟机重启时持续运行,即攻击者将会写入一个关闭容器的脚本保存当前状态,执行网络侦察、植入恶意软件或内部网络横向移动时保持隐蔽。
第三阶段:针对企业未来进行持续性远程代码执行。目前,现有安全产品对于持续性攻击几乎无能为力。
Dulce 表示,由于此项技术允许黑客通过 TCP / HTTP 远程访问 Windows Docker 所有版本的后台程序,因此他们建议用户及时更改默认配置、关闭HTTP端口,以防黑客再次入侵。
原作者:Tom Spring,译者:青楚,译审:游弋
from hackernews.cc.thanks for it.