استفاده هکرها از کانتینر داکر براى پنهان ســازى بدافزارها
در کنفرانس امســال بلک هت، پژوهشــگران امنیتی اعلام کردند هکرها از مکانیسم هاى جدیدى در حملات خود اســتفاده مىکنند. در این بردارهاى حمله هکرها از API داکر سوء استفاده و…
در کنفرانس امســال بلک هت، پژوهشــگران امنیتی اعلام کردند هکرها از مکانیسم هاى جدیدى در حملات خود اســتفاده مىکنند. در این بردارهاى حمله هکرها از API داکر سوء استفاده و سعی می کنند روی سیستم های مقصد بدافزارهای خود را پنهان و حتی به شیوه از راه دور کدهای مخرب خود را اجرا کنند. این اولین باری است که تکنیک فوق از سوی کارشناسان امنیتی شناسایی شده است.
کارشناسان گفته اند که حمله فوق روی تمام نصب های داکر که از پروتکل TCP برای رابطه ای برنامه نویسی خود استفاده میکنند کار میکند. در سیستم عامل ویندوز و برنامه هایی که از کانتینرهای داکر استفاده می کنند، پروتکل TCP به صورت پیش فرضی برای رابطه ای برنامه نویسی به کار گرفته می شود. زمانی که هکرها موفق شوند این بردار حمله را با موفقیت به سرانجام برسانند، در ادامه قادر خواهند بود به طور دائمی درون زیرساختهای شبکه یک سازمان کدهای مخرب خود را از راه دور اجرا کنند. در نتیجه این احتمال وجود دارد که بتوان زیرساخت های مخرب ماندگار را روی سیستم عامل های قربانیان نصب کرد. به گونه ای که حتی ابزارهای کشف و نفوذ نیز موفق نشوند آنها را شناسایی کنند.
لازم به توضیح است که حمله فوق چند مرحله ای است. در این حمله هکرها نه تنها می توانند از دستورات رابط برنامه نویسی کانتینر سوء استفاده کنند، بلکه این توانایی را دارند تا از یک مخزن گیت نیز به عنوان سکوی کنترل و فرماندهی استفاده و روی آن کدهای مخرب برای حملات را میزبانی کنند. در این حمله هکرها تنها باید به همه رابطه ای برنامه نویسی داکر دسترسی پیدا کنند تا در ادامه بتوانند هر کانتینر دیگری را با بالاترین امتیاز ممکن و به ماشین میزبان و ماشین های مجازی زیرین آن دسترسی پیدا کنند. داکر گفته است پیکربندی های پیشفرض را تغییر داده و درگاه های مرتبط با HTTP را نیز بسته است تا مانع شکل گیری چنین حملاتی شود.
