Doki 之死：一个新的 Docker 漏洞，存在严重问题（以及你可以做些什么）

在日语拟声词中，“doki-doki”（“”）一词代表心脏剧烈跳动的声音... 这正是安全团队成员在他们的Docker服务器感染Doki时可能遇到的情况，这是一个为恶意代码注入提供后门的新漏洞等等。至少可以说，这是一个恰当的名字。

随着我们越来越依赖云基础架构，对安全最佳实践的精确性和可扩展有效性的需求至关重要，而且需要远远超出安全应用程序部署的最低限度，同时在整个SDLC中公布和部署容器安全的自定义措施。

网络攻击越来越频繁，影响基于Linux的基础设施的威胁也变得越来越普遍，最终目标是有机会破解存储在云中的敏感数据的战利品箱。Doki的目标就是做到这一点，它使用多种技术来保持不被发现、强大和有效，这与以前在基于Docker的安全问题领域所见的任何事情都不一样。

什么是 Doki，它是如何工作的？

正如许多受感染应用程序中的常见主题一样， 安全配置错误 在软件遭到入侵方面起着不可接受的重要作用。特别是对于Docker而言，事实证明，配置错误的Docker Engine API对攻击者来说是富有这个 Ngrok 僵尸网络 自2018年以来，加密采矿机器人一直在四处搜寻不安全的Docker服务器，启动自己的容器并在受害者的基础设施上执行恶意软件。

Doki 是这种恶意软件的一个更狡猾、更恶意的版本，它通过暴露相同的攻击载体的同一个僵尸网络而获得成功：API 配置错误，这个问题本应在任何代码部署或服务器公开可见性之前就得到解决。Doki利用了每个人最喜欢的讽刺加密货币的区块链， 狗狗币，充当几乎无法察觉的后门。就目前情况而言，它已经四处滑行，没有太多痕迹 自一月份以来。

该恶意软件本质上是滥用区块链钱包来生成命令与控制（C2）域名，这本身并不是什么新鲜事物，但是Doki提供了在受感染服务器上远程执行代码的持续能力，为一系列基于恶意软件的破坏性攻击（例如勒索软件和DDoS）铺平了道路。如果你愿意的话，它就像一个 “有骨头的总督” 一样无情。Intezer 的好人有一个 完整文章 针对整个威胁及其庞大的有效载荷。

在代码中发现 Doki 路径。

Doki是一个在去中心化区块链网络上运行的后门，它使用难以捉摸的快速容器逃脱技术来掩盖轨道，访问宿主的更多区域并继续传播感染，这一事实使它对开发人员和安全团队来说都是一场噩梦。

但是，Doki 无法感染具有安全 API 端口的 Docker 服务器。在生产过程中对其进行错误配置是一个会带来深远后果的错误，但是面对如此复杂而棘手的恶意软件，对云开发人员进行有效的安全意识和实用安全编码技能培训是一种有些 “简单” 的解决方法。

让我们来看看这个不安全的 Docker API 的例子，Doki 可以在这个例子中找到进入的方法并开始传播：

dockerd-H tcp: //0.0.0. 0:2375

你能发现错误的配置吗？安全版本如下所示：

dockerd-H tcp: //0.0.0. 0:2376--tlsverify--tlscacert=/etc/ssl/certs/ca.pem--tlscert=/etc/ssl/certs/certs/certs/cerver-certs/certs/certs/ca.pem--tlscert=/etc/sserver-certs/certs/cer

在不安全的示例中，Docker 引擎 API 正在监听端口 TCP 2375，它将接受 任何 连接请求，因此任何访问 Docker 服务器的人都可以使用。

在安全示例中，Docker Engine API 已配置为使用 TLS 证书验证，它只接受来自提供 CA 信任证书的客户端的连接。

我们推出了一系列全新的游戏化挑战，可以帮助开发者识别和修复 Doki 感染的根本原因，你可以玩一个 这里:

安全的云基础设施是一项团队运动。

云配置错误 在2018年和2019年期间，组织损失了惊人的5万亿美元，这意味着数十亿条暴露的记录和不可逆转的声誉损失。对于基本上可以避免的攻击向量来说，这是一个相当令人震惊的统计数据。如果认为监控和修复暴露的端口（最好是在部署之前）、检查任何未知容器以及密切关注任何过多的服务器负载等措施可以阻止像 Doki 这样的东西造成的滚雪球般的损失，那么，为了让您高枕无忧，付出的代价很小。

全公司的安全意识至关重要，对于参与SDLC的每一个人来说，遵循安全最佳实践是不可谈判的。最好的组织致力于建立稳健的 DevSecOps 流程，共同承担安全责任，开发人员和 AppSec 专业人员都拥有阻止常见漏洞进入软件和重要基础设施的知识和工具。
想以一名具有安全意识、精力充沛的云工程师的身份开始吗？ 立即开始测试你的技能。