GHOST系统之家 - Windows系统光盘下载网站!
深度系统|雨林木风|番茄花园|萝卜家园|系统之家|电脑公司
首页Win10系统Win8系统Win7系统WinXP系统
系统文章
当前位置:GHOST系统之家>电脑问题 > 黑客利用Metasploit Shellcode攻击暴露的Docker API

黑客利用Metasploit Shellcode攻击暴露的Docker API

来源:Ghost系统之家浏览:时间:2022-10-25 09:08:27

Trendmicro研究人员近日发现有攻击者利用Metasploit Framework (MSF)的payload来攻击暴露的DockerAPI。攻击可以引发DDoS攻击、远程代码执行漏洞、非授权的加密货币挖矿活动。

技术分析

研究人员发现攻击者在攻击活动中使用了“alpine:latest”作为基准容器镜像。Snyk 并不能检测到镜像中的安全漏洞。

图 1 Snyk扫描alpine 镜像的结果

研究人员发现最近针对容器蜜罐的攻击大多数都利用了知名的和已经建立的基准镜像。这样做的目的是绕过恶意软件检测和漏洞检测。

容器以权限flag执行,意味着payload有root权限。

图 2. 含有root权限的恶意容器部署

图 3. 攻击者将恶意文件以命令的形式编码在base64文本中

Payload如图4所示,整个怕有会使用base64 编码压缩地非常小。解码payload后,研究人员获取了只有250字节的ELF文件。

图 4. 部署的250字节 ELF文件payload

进一步分析表明payload并不是用高级编程语言实现的,而是用纯汇编代码实现的。此外,没有其他需要处理的指令,这就只需要非常小的base64编码来执行必要的工作来执行代码。

部署的payload 首先分配一个4096字节的含有“PROT_READ”、“PROT_WRITE”和“PROT_EXECUTE”保护标记的内存页。这些标记允许攻击者在内存区域内执行代码。

图 5. 连接到C2服务器来进行恶意代码执行

在系统内会打开TCP socket,然后初始化到C2 服务器的连接,这是通过硬编码的“sockaddr” 结构来实现。

图 6. 获取可执行的shellcode

“read syscall”会在开放的socket descriptor上执行,然后从C2服务器读取126字节的内容。这是保存在之前没有提到的分配的内存区域中的,然后执行。

研究人员分析发现ELF 文件是一个编译的Metasploit reverse_tcp shellcode。这是一个简单的x64ELF文件,其中攻击者IP和Port都硬编码在二进制文件中。尽管没有混淆,目前在在线威胁平台上还找不到文件的哈希值。

因为目前还没有迹象表明这是MSF 生成的reverse_tcp 文件,所以研究人员创建了一个PoC文件,可以伪造攻击者伪造的IP,并在安全环境中运行后门来获取逆向shell。

图 7. 利用伪造IP的 MS来生成逆向连接

图 8. 在安全容器环境中运行的后门

图 9. 含有逆向shell的开放MSF会话

结论

目前,暴露的Docker API越来越多地成为攻击者的目标,攻击者通过攻击暴露的Docker API来在目标主机上用root权限执行恶意代码。在最近的攻击活动中,研究人员还发现了越来越多的静默攻击技术进入了威胁场景中。

标签:黑客

推荐系统

  • 雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO

    雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO

    语言:中文版系统大小:5.91GB系统类型:Win7

    雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户

  • 番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载

    番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载

    语言:中文版系统大小:3.91GB系统类型:Win7

    欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统

  • 番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载

    番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载

    语言:中文版系统大小:3.98GB系统类型:Win10

    番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活

  • 新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载

    新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载

    语言:中文版系统大小:3.98GB系统类型:Win10

    新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程

  • 笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载

    笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载

    语言:中文版系统大小:3.98GB系统类型:Win10

    笔记本台式机专用系统 Windows 10 32位企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过

  • 笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载

    笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载

    语言:中文版系统大小:3.98GB系统类型:Win10

    笔记本台式机专用系统 Windows10 64专业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动

  • 雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载

    雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载

    语言:中文版系统大小:3.98GB系统类型:Win10

    新雨林木风 Windows10 x64 企业装机版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活

  • 深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载

    深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载

    语言:中文版系统大小:3.98GB系统类型:Win10

    深度技术 Windows 10 x64 企业TLSB 电脑城装机版2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程

相关文章

热门系统

热门文章

常用系统

GHOST系统之家发布的内容均来至互联网或用户投稿,仅供个人学习使用,不得用于任何商业用途并请在下载后24小时内删除,如果满意请联系版权方购买。

Copyright © 2022-2028 Ghost系统之家 www.win864.cn 系统/软件/文章投稿请联系 邮箱:web2028$foxmail.com($换@)

如果您发现本站侵害了您的版权,请立即联系我们,本站将第一时间进行相关处理。