突击猫的九条命：分析针对 Docker 的新型恶意软件活动

概括
最近，Cado 的研究人员发现了一种名为“Commando Cat”的新型恶意软件活动，其目标是利用 Docker API 端点。这是自 2024 年初以来第二次针对 Docker 的活动，第一次是恶意部署 9hits 流量交换应用程序，我们的报告仅在几周前发布。

针对 Docker 的攻击在云环境中相对常见，而这次活动显示出攻击者在利用该服务并实现各种目标方面的持续决心。Commando Cat 是一种加密劫持活动，利用 Docker 作为初始访问向量，并在主机上运行一系列相互依赖的有效负载。

活动详情
Commando Cat 的初始访问通过 IP 45[.]9.148.193（与 C2 相同）传递到公开的 Docker API 实例。攻击者使用 Docker 拉取名为 cmd.cat/chattr 的 Docker 镜像，该镜像是由 Commando 项目生成的。

接着，攻击者使用自定义命令在容器中创建了一个良性的容器。该容器通过 chroot 从容器中转义到主机操作系统，并检查系统上是否运行了一系列服务。这些服务（sys-kernel-debugger、gsc、c3pool_miner、dockercache）都是在攻击者感染后创建的。

通过进一步的命令，攻击者再次运行容器，这次是为了感染它。该脚本首先在主机上执行一系列操作，尝试复制二进制文件到主机系统。然后，攻击者使用 wget 或 curl 获取 user.sh 有效负载，并通过多次重复此操作来获取其他脚本，如 tshd、gsc、aws。

user.sh 脚本的主要目的是在系统中创建后门，通过向 root 帐户添加 SSH 密钥和一个具有已知密码的用户。接着，脚本更新了许多 SSH 配置选项，以确保允许 root 登录，并启用公钥和密码身份验证。安装了 SSH 后门后，脚本调用 make_hidden_door 函数，通过在 /etc/passwd 和 /etc/shadow 中创建一个名为“games”的新用户，并为其授予 sudo 权限，以创建另一个后门。

tshd.sh 脚本部署了 TinyShell（tsh），一个用 C 语言编写的开源 Unix 后门。它尝试安装 make 和 gcc，然后从 C2 服务器提取 tsh 二进制文件并执行它。此后，脚本调用一个免费 IP 记录器服务，并将另一个隐藏进程的脚本放入 /bin/hid 中。

gsc.sh 脚本部署了一个名为 gs-netcat 的增强版本的后门，具有穿越 NAT 和防火墙的能力。它以一种独特的方式工作，使用共享秘密而不是全局套接字服务的 IP 地址，以允许在几乎所有环境中运行。脚本通过调用 hid 脚本来隐藏 gs-netcat 进程，并通过 API 将共享密钥发送给攻击者。

aws.sh 脚本是一个凭证获取器，从磁盘上的多个文件以及 IMDS 和环境变量中提取凭证。最终的有效负载以 Base64 编码形式提供，部署了 XMRig 加密挖矿程序和“保护” Docker 安装的机制。

结论
尽管这个恶意软件样本主要是脚本，但它展现了一种复杂的活动，具有大量冗余和规避措施，增加了检测的难度。hid 进程隐藏器的使用是值得注意的，因为它不太常见，而 Docker 注册表黑洞是一种新颖而有效的防御机制。

这个恶意软件集结了凭证窃取、高度隐蔽的后门和加密货币挖矿程序，使得它具有多种用途，能够从受感染的机器中获取尽可能多的价值。与其他威胁参与者的有效负载相似，特别是与过去 TeamTNT 的脚本有很多重叠。可能是许多模仿 TeamTNT 工作的组织之一。

参考：
https://www.cadosecurity.com/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker/