恶意的OracleIV镜像已经从Docker Hub下载了超过3,000次。

一场新的攻击活动通过利用不安全的Docker引擎API端点，在云服务器上部署恶意容器镜像。这个恶意镜像包含用Python编写的分布式拒绝服务（DDoS）僵尸网络植入物。

“一旦发现有效的端点，轻而易举地拉取恶意镜像并从中启动一个容器，以执行任何可以想象的目标，”Cado Security的研究人员在一份报告中说道。“将恶意容器托管在Dockerhub，Docker的容器镜像库，甚至进一步简化了这个过程。”

恶意OracleIV镜像

Cado观察到的攻击始于对未受保护的Docker API的/images/create端点的HTTP POST请求，随后是指向一个名为oracleiv_latest的镜像的参数，该镜像由用户robbertignacio328832上传到了Docker Hub。这个请求相当于docker pull命令，用于下载容器镜像并在本地设置，然后是启动容器的命令。

以公开暴露和未受保护的Docker引擎API为目标并不新鲜。一些攻击组织扫描这样的实例，通常部署加密劫持恶意软件。一个例子是一个名为TeamTNT的组织，其主要目标是云环境。该组织曾是今年早些时候发起的被称为Silentbob的蠕虫的幕后黑手，该蠕虫针对不安全的Docker和Jupyter Notebook实例，并窃取了AWS凭证。

与这次攻击类似，TeamTNT将其恶意容器镜像托管在了Dockerhub上，使用了多个账户。Cado发现的新的OracleIV镜像定期更新，已经被下载了超过3,000次，表明该攻击活动是活跃且成功的。

DDoS僵尸网络和加密劫持

一旦启动，恶意容器镜像执行一个名为oracle.sh的ELF二进制文件，然后是wget命令，用于拉取并执行XMRig加密货币挖矿程序的变种，带有自定义配置。实际上并未使用XMRig实例，这些攻击者对劫持服务器资源进行DDoS攻击更感兴趣。

oracle.sh可执行文件最初是用Python代码编写的，并使用Cython（Python的C扩展）进行编译。该代码实现了几种不同的DDoS方法，包括TCP、UDP和SYN数据包洪泛，以及针对不同防御的目标特定变体。

例如，标准的UDP洪泛涉及40,000字节的数据包，由于UDP的数据包大小限制而导致片段化，给目标重新组装片段带来了额外的计算开销。然而，僵尸网络还实现了使用18、20和8字节数据包的UDP洪泛。这些通过称为FIVE、VSE和OVH的命令启动，并似乎针对FiveM服务器、Valve的Source游戏引擎和法国云计算公司OVH。

该僵尸网络还实现了一种Slowloris类型的攻击，它打开许多连接到服务器，并持续发送少量数据以保持这些连接开启。僵尸客户端使用基于硬编码密钥的基本身份验证连接到命令和控制服务器，发送有关主机系统的基本信息，并监听命令。

“容器化带来的可移植性使恶意负载能够在Docker主机上以确定性的方式执行，而不考虑主机本身的配置，”Cado研究人员表示。“虽然OracleIV在技术上并不是供应链攻击，但使用Docker Hub的用户应该意识到Docker的镜像库中确实存在恶意容器镜像 - 这似乎在不久的将来不会得到纠正。”

该安全公司建议组织定期评估他们从Docker Hub拉取的Docker镜像，以确保它们没有被木马化。此外，他们还应确保所有云技术（如Jupyter、Docker和Redis）的API和管理界面都受到身份验证的保护，并受到防火墙规则的保护。