Black Hat 2017 ：新型攻击向量技术 LAS VEGAS 可利用 Docker API 植入恶意软件

据外媒 7 月 27 日报道，Aqua Security 安全研究人员 Sagie Dulce 将在 Black Hat 大会上首次展示新型攻击向量技术 LAS VEGAS，允许黑客滥用云计算平台 Docker API 植入、隐藏、存储恶意软件，远程执行任意代码。

LAS VEGAS 是开发人员用于创建与测试 Docker 容器的一款程序，通过在 Windows 下默认设置安装 Docker 平台 API 实施攻击。实现该技术分为三个阶段：

第一阶段：诱导运行 Windows Docker 的开发人员访问托管 JavaScript 特制程序的恶意网页。与此同时，JavaScript 还可绕过浏览器同源策略安全防护功能。LAS VEGAS 不仅可以使用绕过 SOP 保护的 API 命令，还可将 Git 存储库作为 C2 主机生成 Docker 容器，托管恶意攻击代码。目前只有 GET、HEAD 与 POST 等部分 HTTP 方法允许跨源。

第二阶段：创建 “ 影子容器 ” ，保证容器指令在虚拟机重启时持续运行，即攻击者将会写入一个关闭容器的脚本保存当前状态，执行网络侦察、植入恶意软件或内部网络横向移动时保持隐蔽。

第三阶段：针对企业未来进行持续性远程代码执行。目前，现有安全产品对于持续性攻击几乎无能为力。

Dulce 表示，由于此项技术允许黑客通过 TCP / HTTP 远程访问 Windows Docker 所有版本的后台程序，因此他们建议用户及时更改默认配置、关闭HTTP端口，以防黑客再次入侵。

原作者：Tom Spring，译者：青楚，译审：游弋

from hackernews.cc.thanks for it.