容器安全在野攻擊調查

雲鼎實驗室發表於2022-03-08

前言

進入後雲端計算時代,雲原生正在成為企業數字化轉型的潮流和加速器。雲原生安全相關的公司雨後春筍般建立起來,各個大雲廠商也積極建立自己雲原生的安全能力,保護雲上客戶的資產。

與之相對的,黑產組織為了牟利,也在不斷尋找新的戰術、技術和流程(TTP)。在利益的驅動下,黑產組織透過不斷的尋找和利用雲原生安全缺陷,從而形成穩定的盈利模式。

知己知彼,百戰不殆。瞭解自己的對手才能更容易的贏得戰爭。騰訊安全雲鼎實驗室透過對在野的攻擊進行一段時間的統計和分析,對攻擊者的戰術、技術、流程、活動週期、攻擊複雜度等維度進行介紹,希望可以對雲原生安全的生態建設有更多幫助。

本文的分析資料基於騰訊安全雲鼎實驗室的哨兵蜜罐捕獲的2021年9月至2022年1月總共5個月的攻擊資料,總計125,364次攻擊。透過騰訊安全雲鼎實驗室的容器沙箱執行分析的Dockerhub 中1093980個映象資料。

 

主要結論

  • 供應鏈安全,不僅僅是安全左移,針對供應鏈的攻擊也越來越頻繁。

  • 黑產在容器安全攻擊過程中使用了越來越多的高階技術,包括:無檔案攻擊、二進位制打包、rootkit。

  • 攻擊強度,攻擊數量,攻擊方法多樣性有顯著增長,這與容器應用規模增長有關係。

  • 容器安全面臨的安全挑戰越來越大,需要選擇靠譜的安全產品進行防護。

 

黑產雲原生攻擊動機

在雲原生架構中,容器生命週期短、業務複雜。傳統的木馬已不太適合雲原生架構,攻擊者無法獲取批次的容器進行DDoS。

雲原生攻擊中絕大部分是利用容器叢集挖礦,已經形成了穩定的黑產收益鏈條,是黑產的主要攻擊動機。駭客在利用容器資源挖礦牟利的過程中,還竊取伺服器憑證,安裝後門等操作。

攻擊模式分析

挖礦作為典型的雲原生攻擊場景,可以代表絕大部分攻擊的場景。這裡以挖礦的場景進行分析:

從攻擊模式上分類,可以分為2類:

  • 供應鏈攻擊,駭客透過製作惡意的黑產映象,透過偽造映象名稱,誘導使用者主動下載黑產映象,然後就進行挖礦。

  • 蠕蟲傳播攻擊,駭客透過製作蠕蟲病毒,透過漏洞自動化傳播,入侵成功後,會下載惡意映象,進行容器逃逸等動作,被入侵容器會繼續掃描感染其他主機。

攻擊模式示意

 

一、容器映象安全

1.1容器映象供應鏈安全

上圖是統計近一年內發現的供應鏈惡意映象,橫座標為映象上線時間,縱座標為下載數量。可以看出來,python、logstash、rails 類的基礎軟體映象下載數量最大。通常4-5個月就可以達到10w左右的下載量,可見透過假冒常用基礎軟體映象是攻擊雲原生供應鏈的重要環節之一。

 

1.2蠕蟲傳播中使用的映象

這類映象透過蠕蟲傳播,下載量巨大。主要以多個黑產團伙為主,頭部4個黑產團伙的下載量佔比90%以上。雲鼎實驗室長期監控各個黑產團伙的黑產映象,發表多篇文章(https://cloud.tencent.com/developer/article/1869715)。

其中最大的黑產團伙映象下載量超過1.8億,感染範圍廣泛。此類攻擊是主流的攻擊方式,後文中會講解我們透過雲鼎哨兵系統捕獲的在野攻擊的詳細分析。

 

二、攻擊趨勢分析

這部分我們透過騰訊安全雲鼎實驗室的哨兵蜜罐,採集了2021年9月至2022年1月總共5個月的攻擊資料,總計攻擊次數為125,364次。總體來說,攻擊手段越來越豐富,攻擊強度逐漸增強。

下文中我們會對攻擊資料進行分析,從攻擊手段的多樣性、攻擊強度的趨勢、攻擊源的分佈等幾個角度進行分析,從而反映出現有的容器安全環境。

 

2.1攻擊手段多樣性分析

我們這裡會從攻擊中使用的映象入手進行分析,包括:映象的屬性,映象的實際種類。

 

2.1.1攻擊者使用的映象屬性

攻擊者使用的映象屬性可以分為3類:正常映象、仿白惡意映象(比如:假冒白映象的名稱,起名為ubuntu2)、惡意映象。

攻擊者會利用正常的映象進行攻擊(53%),從而可以有效的繞過安全系統的檢測。如果使用惡意映象,也會把映象名稱進行偽造,從而迷惑安全檢測。

2.1.2每日在野攻擊映象種類數量

每日攻擊中,攻擊者使用的映象種類數量越多,也就代表了攻擊方法的多樣性越豐富,也一定程度上表明瞭現有的容器安全環境越差,暴露了很多安全缺陷。

 

下圖中是2021年9月至2022年1月 每個月平均每天,駭客在攻擊中使用到的映象種類數量,從九月份開始,攻擊的種類數量呈一個上升的趨勢,從每天4.6個映象增長到6.8個映象。攻擊手段和方法都有增加。

2.2攻擊強度趨勢分析

2.2.1每日單個映象發動的攻擊次數

透過每日攻擊者使用映象發動的攻擊次數。我們可以得到攻擊強度的趨勢。

下圖是2021年9月至2022年1月每日平均每個映象攻擊次數的統計曲線,我們可以看出來,隨著時間的推移,針對容器攻擊的次數有顯著的增加。尤其是在11月和12月,攻擊總量增加了大約一倍。可以看出來,攻擊強度增長較快

 

2.2.2攻防對抗激烈程度

容器面臨的攻擊是新技術替代了舊技術?還是舊的攻擊技術依然活躍,同時湧現出了新的攻擊方式?

 

攻擊中使用了多少種映象可以很好的表示出駭客攻擊的多樣性,我們統計了5個月,攻擊中使用的映象數量。

攻擊中使用的映象數量是呈上升趨勢的,每月平均新增攻擊映象3.6個,可見攻擊方法和手段越來越多。

 

新增攻擊映象的增速也是呈上升趨勢的,平均每月增長3.6個新的攻擊映象,與之對比,攻擊映象的消亡速度也是呈現上升趨勢,平均每個月減少2.4個攻擊映象。

我們可以看出,攻擊方法越來越多,攻擊者嘗試使用多種不同的攻擊手段進行攻擊,於此同時,防護方也在積極防禦,使得很多攻擊映象失效。雲原生上的攻防越來越激烈,對於使用雲原生產品的客戶來說,選擇一個靠譜的安全產品是一個比較明智的選擇。

 

2.2.3攻擊持久化分析

 

通常來說,發動攻擊的ip裝置同時也是被駭客攻擊控制的,如果存活時間很短,表示攻擊後並沒有有效的持久化,由於容器的銷燬或者 安全系統的查殺,駭客會在短時間內失去對目標的控制權。如果存活時間較長,可以簡單的認為,駭客的持久化攻擊是行之有效的。我們在蜜罐捕獲的樣本分析的過程中發現,大部分的攻擊都會進行容器逃逸和持久化。

我們統計了130天內,9687個攻擊ip持續的時間。可以看出來,49%的攻擊最多持續4天,能持續一週以上的佔38%,能持續超過一個月的佔17%。大約40%的容器使用單位對於容器的攻擊沒有任何防禦能力,無法及時有效的發現和處置入侵至容器叢集中的風險。

總結

  1. 隨著docker應用的爆炸式增長,由於容器錯誤配置引發的安全問題也越來越多。

  2. 攻擊者使用越來越多的高階技術入侵容器,比如容器逃逸,rootkit,殺軟對抗等等。

  3. 供應鏈攻擊是雲原生安全面臨的較大問題,惡意映象比較容易構造,繞過殺軟的靜態檢測。這裡比較推薦使用騰訊容器安全的容器動態分析引擎。(DTA)

  4. 建議廠商選擇相對靠譜的雲原生安全防護產品,第一時間發現安全問題,進行有效防護。

 

注:本文是基於容器蜜罐攻擊檢測系統和dockerhub 100多萬的映象分析總結。

更多細節內容,可掃描下方二維碼關注雲鼎實驗室公眾號,傳送“容器安全”下載《容器安全在野攻擊調查》進行了解。


相關文章