近年来,随着容器技术在云环境和企业IT架构中的广泛应用,Docker平台成为构建和部署应用程序的重要基础设施。然而,Docker API的误配置问题频频被安全研究者发现,逐渐成为攻击者入侵的重灾区。尤其是结合匿名通信网络TOR(The Onion Router)的加密劫持攻击正在不断蔓延,给系统安全带来了前所未有的挑战。加密劫持(cryptojacking)是一种利用被攻击计算资源挖掘加密货币的非法行为,其危害不仅体现在高昂的计算资源消耗和电费支出,还可能伴随恶意软件传播和数据泄露等更深层次的问题。最近,美国网络安全公司Akamai揭示了一个新型加密劫持变种,该变种恶意利用TOR网络覆盖其攻击痕迹,针对暴露于互联网的Docker API进行攻击,并意图通过控制扩散构建复杂的僵尸网络。 这场攻击建立在2025年6月底安全厂商Trend Micro首次披露的Docker API漏洞利用基础上。
攻击者借助Docker容器的灵活性和Docker守护进程开放的2375端口发起攻击,运行基于Alpine Linux的容器镜像,加载宿主机文件系统,实现对系统的深度控制。其流程以Base64编码形式传递恶意载荷,从TOR暗网的.onion域下载并执行Shell脚本,脚本不仅修改SSH配置以维持持久化访问,还安装多种工具,包括网络扫描工具masscan、数据捕获库libpcap、压缩工具zstd以及torsocks。这些工具使得攻击者得以进行大规模侦察,扫描其他暴露Docker服务的目标,同时通过TOR网络与控制服务器保持通信,下载其他二进制文件扩展恶意功能。 值得注意的是,首次下载的恶意"投放器"采用Go语言编写,内嵌其欲投放的二进制内容,避免直接对外联网,增加检测难度。该程序解析系统用户登录信息(utmp文件),以emoji图标形式在源代码中标识正在使用系统的用户,疑似借助大型语言模型(LLM)自动生成与优化,体现出攻击者利用人工智能技术提升攻击效率的趋势。 "投放器"内嵌Masscan扫描器,专门针对互联网范围内暴露的Docker API端口进行扫描与传播。
分析人员还发现程序中预留了对23和9222端口的扫描和攻击逻辑。23端口用于Telnet协议,攻击者试图利用默认密码破解网络设备,并将破解成功的认证信息发送至外部控制服务器以便后续利用。而9222端口为远程调试Chromium浏览器的接口,攻击者借助开源Go库chromedp与浏览器交互,窃取浏览器会话数据、Cookies等隐私信息,潜在风险极高,甚至可能用于发动分布式拒绝服务(DDoS)攻击或数据窃取。 目前,该恶意程序在实际传播过程中尚未激活针对Telnet和9222端口的攻击模块,但其代码已表明了未来扩展的可能性。安全研究员Yonatan Gilvarg强调,暴露Docker API相当于开放了通向整个主机的门户,远远超出了传统应用层面的威胁,攻击者能够借此获取对系统的完全控制权限。 Docker API默认开放且未经过验证的情况在现实环境中时有发生,这种配置易遭受自动化扫描工具的利用,而企业忽视网络分段、对外暴露服务及弱密码遗留更是安全隐患的根本。
在攻击者的链式攻击中,利用Tor网络实现匿名访问,使得溯源难度大大增加,再加上多层加密和自助式传播机制,极大地加强了攻击的隐蔽性和扩散速度。 此外,云安全厂商Wiz曾于2025年5月披露了基于AWS Simple Email Service(SES)的滥用活动,攻击者通过获取AWS访问密钥,逃避Amazon内置安全限制,开展大规模钓鱼与社会工程攻击。虽然与Docker API攻击并非直接关联,但同样反映出云服务误配置和密钥泄露成为新的攻击助燃剂。两起事件共同警示企业,加固云环境和容器平台的安全防护是亟不可待的任务。 为了有效防范该类攻击,网络安全专家建议企业在Docker服务配置上严格限制接口暴露,关闭不必要的远程访问,启用认证和访问控制。同时,构建完善的网络分段策略,保障关键服务与互联网隔离,降低被扫描和攻击的风险。
密码策略必须坚固,禁用默认账号和弱密码,定期审计账号权限和访问日志。同时,实时监控网络流量和系统行为,及时发现异常通信和恶意进程,结合威胁情报更新防御规则。 企业应加强员工安全意识培训,防止钓鱼攻击和内部泄露,并实行最小权限原则,确保关键密钥和凭证存储安全。采用现代安全框架和自动化工具,实施持续安全检测与响应,将安全防护融入DevOps与云原生环境中。此外,关注安全社区、研究机构发布的漏洞情报和攻击态势,实时调整防御方案,避免因信息滞后而陷入被动局面。 总体来看,伴随着云计算与容器技术的普及和复杂化,Docker API等开放接口成为企业安全链条的新薄弱环节。
攻击者利用TOR网络展开的加密劫持攻击不仅技术手段多样、传播迅速,还带有潜在的后门及数据窃取功能。只有通过强化基础设施安全配置、构建全方位的监控防御体系并提升整体安全意识,才能有效遏制此类新兴威胁,保障信息资产安全和业务持续稳定。 未来,随着攻击技术和AI自动化水平不断提升,网络安全环境将更加复杂和严峻。业界需要持续创新防御机制,包括应用更智能的安全分析工具、人工与机器协同响应体系,以及强化法规政策支持。唯有各方通力合作,构筑坚不可摧的安全防线,方能在数字化转型浪潮中守护企业和用户的根本利益。 。
