在这个数字化迅速发展的时代，网络安全问题越来越受到人们的关注。最近，卡巴斯基实验室发现了一种新型的 恶意软件攻击，它正针对 Docker容器 进行侵袭。攻击者利用暴露的Docker容器，使其变成能够自我复制的 Dero 加密货币挖矿机，并且这一过程完全不需要依赖传统的命令控制服务器（C2）。这种情况不仅令人担忧，也提醒我们在使用容器技术时，必须保持警惕。

攻击的描述

想象一下，一场 容器僵尸爆发，单个受感染的Docker容器会主动扫描互联网，寻找同样存在安全漏洞的Docker API。被攻陷的容器将被转化为新的“僵尸”，继续进行Dero币的挖掘，并寻找下一个受害者。有鉴于此，卡巴斯基发布的报告对此次攻击的描述颇为生动，显示出其潜在的严重性。

恶意软件的组成

根据卡巴斯基的分析，这种恶意软件包含了两个主要组件，这两个组件都是使用 Go语言 编写的。第一个组件是伪装成知名Web服务器的 nginx，它被用于传播恶意软件；第二个组件是名为 cloud 的定制化Dero挖矿程序，里面还包含了加密过的硬编码钱包和节点配置。这两个组件共同作用，形成了强大的攻击能力。

入侵流程

攻击的流程可以简单概括为四个步骤。首先，当攻击者发现了配置不当的Docker API后，他们将启动一个恶意容器来劫持主机。接着，在容器内部会安装 masscan 扫描工具和Docker工具包，这能够帮助进一步传播和挖矿。然后，恶意软件会利用部署的nginx和cloud组件进行传播与挖矿，最后，它会不断搜索其他存在漏洞的Docker API，从而实现连续的感染循环。

有趣的是，这种恶意软件的运作方式并不依赖传统的C2连接，只要有不安全的Docker API，攻击活动就能持续进行。卡巴斯基对此表示警示，强调了加强Docker容器安全的重要性。

持久化与隐蔽技术

为了确保其攻击的隐蔽性和持久性，nginx二进制文件在执行恶意操作时伪装成合法程序，甚至会将操作日志记录到 /var/log/nginx.log 文件中，包含受感染的IP和容器状态等信息。此外，它还会在被攻击的容器内部创建一个名为 version.dat 的文件，以避免重复感染，并确保恶意进程的持续运行。如果Dero挖矿的cloud进程停止，nginx会立即重启该进程，保持对容器资源的持续占用，占据系统资源进行挖矿。

大规模扫描机制

恶意软件的传播方式十分高效，它使用了 masscan 工具，这种工具能够生成和扫描随机的IPv4子网，专门寻找在2375端口暴露的Docker主机。一旦找到目标，攻击者会执行特定命令启动新的容器，并在其中安装masscan和docker.io等工具。此外，此次攻击还显示出Dero挖矿程序是如何从开源项目 DeroHE CLI中改编而来的，使用了 UPX 进行加壳，并采用 AES-CTR 加密技术，保护钱包和节点的配置。

威胁的持久性和复用基础设施

攻击的基础设施此前曾被用于 Kubernetes 的加密劫持攻击，这表明这些高新技术犯罪团伙正在复用已有的技术与基础设施，表明其攻击手法正在不断进化，展现出更强的适应性与持续性。

全球威胁现状

根据报告引用的 Shodan 数据，截至2025年4月，全球至少有520个Docker API在2375端口上公开暴露。这样的状况不仅凸显了上述威胁的潜在破坏性后果， 同时也强调了强化容器监控和保护措施的重要性。卡巴斯基对外表示，虽然针对容器的攻击频率不如其他系统高，但其危险性却丝毫不逊色。

结论

综上所述，Docker容器的安全问题引起了各界的高度关注。面对新型的 Dero挖矿病毒，我们不仅需要重视自身的容器安全配置，同时也需要保持对网络安全动态的关注。通过采取积极的防护措施，增强技术人员对相关威胁的认知，我们或许能够有效减少这样的安全事件的发生。对于企业而言，加强容器的监控与保护措施不仅是合规的需求，更是保障业务安全运行的根本之道。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课