关于网络安全:云上在野容器攻防战杀不掉的挖矿木马

编者按
数字化浪潮蓬勃衰亡，企业面临的平安挑战亦日益严厉。
腾讯平安近期将复盘2022年典型的攻打事件，帮忙企业深刻理解攻打手法和应答措施，欠缺本身平安进攻体系。
本篇是第二期，讲述了国内某高端制造厂商遭逢云上在朝容器攻打，和腾讯平安并肩作战，击退挖矿黑产组织的故事。

9月14日，午后。
阳光透过棕黄色的椴树叶，一缕缕撒在湖面上，泛出了碎金子的光。湖面倒映着一座木质构造的小房子，清清淡淡，融洽地安放在童话般的湖光山色中。
木屋里，X团伙的暗黑打算正在开展。

X团伙是近两年极其高调的挖矿家族，坐标D国，他们管制着规模宏大的僵尸网络，有着先进且疾速更新的攻打工具库，是目前针对Linux服务器进行挖矿的次要攻打组织之一。此时，X团伙的十几位成员正围坐在一张长桌前，眉开眼笑地探讨着新研发的挖矿木马变种，他们想在圣诞节前疾速“收割”一批门罗币，难受地度过行将到来的漫长且凛冽的夏季。
下午6点，X团伙实现了攻打链路的推演，整个过程近乎完满。随即，一位成员在电脑上按下了enter键，扫描器便像洪水般涌入互联网，迅速蔓延至世界各个角落。
一场针对云数据中心的猎杀口头，拉开了尾声。

嫌疑人X的现身

X团伙2019年就呈现在公众视线，这个组织的业余程度颇高，攻打策略和工具变幻无穷，攻打威力很大。特地是近几年云原生技术蓬勃衰亡，容器技术和集群编排工具被广泛应用，网络安全边界进一步含糊，X团伙的攻打流动就更加猖獗了。
此次的挖矿木马变种便是通过扫描Docker Remote API未受权拜访破绽进行流传，并且入侵动作更加荫蔽。Docker Remote API是一个用于近程调用Docker的API，能够让容器的调用更加灵便、简略。若管理员对其配置不当则会导致未受权拜访破绽，攻击者不仅能够植入病毒，甚至可进一步利用Docker本身个性，借助容器逃逸，最终管制整个集群。
第二天凌晨7点，X团伙的成员TOM醒来，他吸了吸鼻子，空气中凉意浓浓，冬天行将到来，口头须要放慢。他迅速起身，开始为本人做一杯手磨咖啡。这时，他瞥了眼电脑屏幕，不出所料，他们放出的扫描器扫出了大量的破绽。
7点30分，TOM端着磨好的咖啡坐到电脑前，开始浏览这些待宰的羔羊。一个间隔他8000多公里的IP吸引了他的留神，他疾速敲了几行代码，获取了这个IP所在公司的信息——一家出名的中国高端制造厂商S公司。
TOM嘴角微微上扬，他发现S公司的一个Docker Remote API并没有配置鉴权，也就是说谁都能够调用，并且这个集群是凋谢公网的。就像羊圈在不起眼之处开了个口子，他能够随便出入。
通过这个Remote API破绽，TOM迅速近程启动了流传病毒的容器镜像alpineos/docker api，这个镜像十分小，很难被察觉。接着，这个歹意镜像疾速下载了一个挖矿脚本，开始与矿池通信，并利用容器的算力进行挖矿。
从入侵到挖矿，整个过程十分丝滑，TOM看了眼手表，不到三分钟。

S公司有上万台云主机，对挖矿组织来说是不可多得的肥羊。如果能逃逸到主机拿下最高权限，就能够利用更大的算力进行挖矿。不仅如此，他还能够以主机为跳板，在内网进行横向扩散，猎取S公司的外围秘密数据。
想到这里，TOM拿起杯子喝了一大口咖啡，打起精神开始下一步的防御。

杀不掉的挖矿木马

“我×，咱们被挖矿了！”
“什么？我看看！"
S公司的平安运维工程师Eric看着电脑屏幕上的CPU监测窗口，陡增的折线赫然在眼前。其余几个工程师闻声而来，难以相信眼前这一幕，因为他们之前并没有发现歹意外连和疑似挖矿的过程。

实际上，入侵者TOM在植入挖矿病毒后，通过新工具暗藏了挖矿过程，并且将痕迹清理洁净了。S公司发现的时候，TOM曾经通过特权模式+SSH的逃逸办法，逃逸到宿主机上，并且将挖矿病毒扩散到了容器节点上。
“连忙断网，杀毒！”Eric迅速把主机断网，而后用杀毒软件将挖矿木马革除。然而，Eric不敢确定其余节点上是否也被植入了挖矿木马，他的神经紧绷着。
S公司是国内出名的高端制作企业，也是行业内最早进行数字化转型的企业之一，在前几年就开始摸索云原生技术和业务容器化。尽管国内的容器起步较晚，然而在国内上，容器概念曾经登上了尖端计算技术的最前沿。
通常状况下，运行一台云主机运行起码要1G内存，然而对于容器而言，只须要几M-几十M就能跑起来。所以，容器凭借其灵便易用、适配性强和资源利用率低等劣势，受到越来越多公司的青眼。而S公司，也从去年开始逐渐将生产网容器化。
不过，对于很多企业来说，容器是一把双刃剑。一台主机能够拉起成千上万个容器，也意味着边界和裸露面被有限放大。因而，容器在近几年也成为了攻击者的地狱。
第三天，TOM发现植入S公司的挖矿过程少了许多。挖矿木马被发现其实是TOM意料之中的事，毕竟S公司是头部的高端制作企业，平安建设应该是不错的。不过，S公司的杀毒行为治标不治本，只有Docker Remote API未受权拜访破绽没补上，他们就可能持续拉起挖矿脚本进行挖矿。
TOM伸了个懒腰，开始了更加剧烈的防御。
很快，S公司的平安运维团队就发现CPU被疾速占用。“他又来了！”Eric揉了揉眼睛，紧忙开启了主机平安的进攻，并对相应的节点进行查杀，CPU占用逐步上来了。
这时，Eric脑海里浮现了此前特斯拉的Kubernetes集群被入侵挖矿的事件，他们的共同点就是集群的Dashboard 处于未受权即可拜访状态，且裸露在互联网上。
“咱们可能跟特斯拉犯了一样的谬误。”

一通电话，迅速驰援

9月16日，早晨7点，深南小道华灯初上。
正在食堂吃晚饭的腾讯容器平安专家ruchang接到了共事的紧急复电。

“S公司的节点失陷了，被挖矿了。他们公司间断查杀了好几次，挖矿木马怎么都杀不掉，须要咱们的帮忙！”
ruchang挂了电话后，迅速吃完盘中的饭菜。“难道是他们？”ruchang边进电梯边考虑着。
回到工位上，ruchang迅速通过S公司给的运维权限进行问题排查。
首先，他用腾讯容器平安TCSS产品对失陷节点上运行的容器镜像进行了破绽扫描。“木马源源不断，必定是出了破绽。”就像一直被偷的羊圈，杀掉偷羊的狼是不够的，得找出羊圈隐秘之处的窟窿。
几分钟后，腾讯容器平安TCSS产品扫描结束，电脑屏幕显示某个节点上存在的Docker Remote API未受权拜访破绽。
“问题不大，是有一个Docker Remote API未受权拜访破绽，你们依照官网的认证措施更改一下配置就好了，改成须要鉴姑且加密。”ruchang在企业微信群里跟S公司的运维人员说到。“还好发现得早，攻击者没有入侵到集群。”
找出破绽之后，ruchang持续排查，他想找出背地的真凶。他迅速浏览着平安日志和告警信息，尝试回溯整个攻打链路，包含通过哪个服务端口拉进来的镜像，攻击者入侵后进行了哪些横移，以及这个挖矿木马背地的组织是哪个。
“果然是他们！”原来，在9月14日X团伙的新挖矿样本刚收回，腾讯云鼎实验室的哨兵零碎就在第一工夫捕捉，并进行了具体的剖析。这个攻打案件的各种细节和哨兵零碎捕捉的样本一一吻合。
S公司其实犯了80%的公司都会犯的问题——配置谬误。因为容器技术在国内起步较晚，很多公司也都是摸着石头过河。S公司在测试容器业务时，也没有意识到要对相干的配置平安进行扫描以及合规整改。并且在没有部署容器平安的状况下，就开启了试运行。
对此，腾讯平安也为云上客户推出了容器平安TCSS产品，保障容器从镜像生成、存储到运行时的全生命周期平安。在构建和部署阶段，腾讯云容器平安可提供镜像、容器、集群的配置扫描和破绽扫描能力，避免出现相似S公司因配置谬误导致的破绽事件。在容器运行时，腾讯云容器平安也可能自适应辨认黑客攻击，实时监控和防护容器运行时平安。
早晨8点10分，S公司在企业微信群里反馈破绽已修复，并且洽购了全量的腾讯云容器平安产品。
TOM也很快发现破绽被封堵住了，他冷笑了一下，"Kind of interesting（有点意思）." 随即TOM关掉了S公司的挖矿页面，转向了其余的攻打指标。
X团队的暗黑打算不会进行，咱们与黑产的暗战也不会完结。