惡意軟件領域在 2017 年底發生了重大轉變。隨著基于云的技術的普及，一些網絡犯罪團伙也開始瞄準 Docker 和 Kubernetes 系統。這些攻擊大多遵循一個非常簡單的模式，即威脅行為者掃描配置錯誤的系統，并將這些系統的管理界面暴露在網上，以便接管服務器并部署加密貨幣挖礦惡意軟件。在過去的三年里，這些攻擊愈演愈烈，一些針對 Docker（和 Kubernetes）新型惡意軟件和攻擊行為變得層出不窮。

然而正如 ZDNet 所述，盡管惡意軟件對 Docker 服務器的攻擊已經屢見不鮮，但很多網絡開發者和基礎架構工程師卻還沒有吸取教訓，仍在錯誤配置 Docker 服務器，使其暴露在攻擊之下。其中最常見的疏漏就是，讓 Docker 遠程管理 API 端點暴露在網上而不進行認證。

過去幾年中，曾有 Doki、Ngrok、Kinsing（H2miner）、XORDDOS、AESDDOS、Team TNT 等惡意軟件掃描 Docker 服務器，將 Docker 管理 API 暴露在網上，然后濫用它來部署惡意操作系統鏡像、植入后門或安裝加密貨幣礦機。

上周，奇虎 360 則發現了這些惡意軟件的最新菌株，名為 Blackrota。這是一個用 Go 語言編寫的惡意后門程序，利用了 Docker Remote API 中未經授權的訪問漏洞。鑒于其 C2 域名為 blackrota.ga，因此被命名為 Blackrota。

目前，該 Blackrota 后門程序僅被發現可用于 Linux，使用方式還尚未清楚。研究人員也不知道其是否存在 Windows 版本、是否被用于加密貨幣挖礦，或者是否被用于在強大的云服務器之上運行 DDoS 僵尸網絡。

從 Blackrota 和此前經歷過的攻擊中得到的教訓是，Docker 已不再是一項邊緣技術，其幾乎每天都在遭受有針對性的大規模攻擊。因此，建議在生產系統中運行 Docker 系統的公司、Web 開發人員和工程師仔細查看 Docker 官方文檔 ，確保已通過適當的身份驗證機制（例如基于證書的身份驗證系統）保護了 Docker 的遠程管理功能。

總而言之，隨著 Docker 在現代基礎架構設置中的地位越來越突出，且攻擊事件不斷增加，針對 Docker 系統的惡意軟件菌株數量也在逐月增加，開發者是時候該認真對待 Docker 安全了。
責編AJX