新型恶意软件采用独特混淆技术劫持Docker镜像

安全研究人员发现新型恶意软件正在攻击Docker环境，该软件采用复杂的多层混淆技术逃避检测，通过劫持计算资源进行加密货币挖矿（cryptojacking）。

Darktrace与Cado Security Labs的安全专家分析指出，该攻击活动既展现了攻击者的技术独创性，也暴露出容器化基础设施面临的日益增长的安全风险。

Docker成为恶意软件主要攻击目标

作为主流容器化平台，Docker因其广泛普及和从公共仓库便捷部署的特性，正成为网络犯罪分子的重点攻击目标。

攻击者通常利用配置错误或暴露的Docker服务来启动恶意容器，这些容器多使用托管在Docker Hub上的镜像。本次攻击活动始于从Docker Hub拉取kazutod/tene:ten镜像的请求。

该容器设计用于执行嵌入在镜像层中的Python脚本ten.py。安全分析师使用Docker内置工具提取并分析镜像后，发现其采用了复杂的混淆方案：

• ten.py脚本定义了一个lambda函数，该函数会反转经过base64编码的字符串，解码后使用zlib解压缩，最终执行生成的代码
• 该过程循环重复：解码后的有效载荷会再次调用相同的解码函数，每次传递新的混淆字符串
• 分析师发现需要经过63次解码循环才能最终暴露实际恶意代码

这种深度分层混淆技术实属罕见。虽然单层混淆通常足以绕过基于特征的检测，但攻击者使用数十层混淆的目的显然是为了干扰人工分析和自动化工具。尽管如此，研究人员仍能在数分钟内自动化完成反混淆过程并提取最终有效载荷。

加密货币挖矿的新手段

与传统直接部署XMRig等工具进行加密货币挖矿的恶意软件不同，该攻击活动采用了创新手法。反混淆后的代码会连接至teneo.pro——这是一家运营去中心化社交媒体数据网络的合法Web3初创企业。

通过运行节点并持续发送"保活"心跳包，恶意软件可获取"Teneo Points"（该网络根据节点在线时长和活跃度发放的私有加密代币）。值得注意的是，该恶意软件并未像合法节点软件那样执行实际数据抓取，而是单纯模拟活动以最大化代币奖励。

这种攻击方式使攻击者能够获利，同时避免了传统挖矿操作常见的高资源占用和网络异常。报告指出，这反映出攻击者正从易被检测的知名挖矿工具，转向滥用合法的去中心化平台和奖励系统的趋势。由于这类私有代币的封闭性，攻击者的实际收益难以追踪和量化。

安全防护建议

安全专家强调Docker环境仍是极具吸引力的攻击目标，并建议企业采取以下防护措施：

• 非必要情况下避免将Docker服务暴露在互联网
• 采用强认证机制和防火墙限制访问权限
• 定期审计和监控容器活动是否存在异常
• 仅从可信来源拉取镜像并进行恶意软件扫描

随着攻击手段不断翻新，防御者必须保持警惕，及时调整安全策略以保护容器化基础设施免受日益复杂的威胁。