前言

近年来云原生容器的应用越来越流行，统计数据显示高达47%生产环境容器镜像会来源于公用仓库[1]，Docker Hub作为全球最大的公共容器镜像仓库，已然成为整个云原生应用的软件供应链安全重要一环，其镜像的安全风险问题对生态影响尤为重要。腾讯安全云鼎实验室针对云原生容器安全进行了长期研究投入，对Docker Hub的镜像安全风险建立了长期监控和安全态势分析。近期监测到一个较大的挖矿黑产团伙anandgovards（挖矿账户中包含了这个邮箱账号），利用Docker Hub上传特制挖矿镜像，通过蠕虫病毒快速感染docker主机，进而下载相关镜像进行挖矿。该黑产团伙从2020年6月开始使用3个Docker Hub账户制作了21个恶意镜像，累计下载传播量达到342万，获取了不低于313.5个门罗币，获利高达54万多人民币。

初探黑产恶意镜像

针对该黑产团伙anandgovards，我们通过对Docker Hub的安全监控和分析暂时发现3个相关账户，共涉及21个镜像，其中最高的下载量达到百万。通常黑产通过蠕虫病毒感染docker主机，入侵成功后，再自动下拉这些黑产镜像到本地运行进行挖矿获利。

该黑产相关3个账户名为abtechbed、svagamx、srinivasram，其中srinivasram相关镜像申请日期为2020年5月，abtechbed相关镜像的申请日期为2020年6月到2020年12月，svagamx相关镜像申请日期为2021年4月16日。挖矿账户活跃到2021年5月，挖矿活动持续时间长达一年。

abtechbed账户中的镜像信息：

srinivasram账户中的镜像信息：

svagamx账户中的镜像信息：

下表提供了此Docker Hub帐户下部分镜像下载量及钱包地址，镜像最高下载量达到了157万次。

黑产团伙溯源分析

（1）黑产团伙来源：

在挖矿的账户配置中，我们发现两个邮件账户信息，
anandgovards@gmail.com
visranpaul@outlook.com

包括Docker Hub账户名，abtechbed、svagamx、srinivasram字符和爱尔尼亚、冰岛语系。我们有理由相信，这个黑产组织来自欧洲。

（2）黑产团伙关联

云鼎实验室通过安全大数据图计算引擎，关联分析了大约10万个镜像信息，关联分析其中钱包ID、镜像账号、矿池等信息，发现abtechbed、svagamx，srinivasram使用了同一个挖矿钱包地址，表明这几个镜像账户属于同一个黑产组织。

（3）黑产攻击流程及盈利方式：

黑产通过蠕虫病毒进行大规模感染docker主机，之后被感染的docker主机从Docker Hub下拉相关挖矿镜像到本地运行，进行挖矿获利。

总结

随着容器应用发展加速，频繁爆出容器相关的安全事件，黑产团伙通过容器服务器的漏洞传播的蠕虫病毒，通过下拉挖矿镜像进行获利，已然是现阶段容器相关黑产的主流手段。除了下载挖矿镜像以外，现有的模式可以轻松将挖矿镜像替换成其他恶意软件，造成更大的破坏。

当企业在享受云原生带来的技术红利时，也应该重视和建立起容器安全防护体系。以下是一些容器应用的安全建议：
避免使用Docker过程中将2375端口暴露公网；
公网中使用TLS的docker remote api；
不推荐下载和使用未知来源的镜像；
经常检查系统中是否存在异常未知镜像或容器；
使用腾讯云容器安全解决方案可以识别恶意容器并阻止恶意挖矿等活动：https://cloud.tencent.com/product/tcss

腾讯云容器安全

腾讯安全持续在容器安全上进行投入和相关研究，构建了完整的容器安全防护和服务保障体系，针对容器环境下的安全问题，腾讯云容器安全服务通过资产管理、镜像安全、运行时安全、安全基线四大核心能力来保障容器的全生命周期安全，为企业提供镜像扫描、运行时安全检测（容器逃逸、反弹shell、文件查杀等）、高级防御（进程检测、访问控制、高危系统调用等）、安全基线检测、资产管理等安全防护功能，帮助企业及时发现容器安全风险并快速构建容器安全防护体系。

参考文献

[1] https://dig.sysdig.com/c/pf-2021-container-security-and-usage-report?x=u_WFRi&utm_source=gated-organic&utm_medium=website

云安全

声明：该文观点仅代表作者本人，转载请注明来自看雪

DockerHub再现百万下载量黑产镜像，小心你的容器被挖矿

前言

初探黑产恶意镜像

黑产团伙溯源分析

相关挖矿病毒的攻击趋势

总结

腾讯云容器安全