1. Home
  2. Techniques
  3. Enterprise
  4. 植入内部镜像

植入内部镜像

ID Name
T1525.001 镜像供应链污染注入
T1525.002 增量更新劫持植入
T1525.003 镜像元数据深度伪造

植入内部镜像是指攻击者通过篡改云环境或容器化基础设施中的标准镜像文件,在镜像内植入恶意代码以实现持久化访问的技术手段。攻击者通常利用云服务管理漏洞或构建流程缺陷,将后门程序嵌入AMI、GCP镜像或Docker镜像中,借助基础设施的自动扩展机制实现恶意代码的规模化部署。传统防御手段主要依赖镜像签名验证、构建过程审计及运行时异常行为监测等手段进行防护,通过校验镜像哈希值、监控仓库写入操作和分析容器运行日志等方式识别异常。

为规避镜像完整性校验和构建过程监控,攻击者发展出多维度的镜像隐匿植入技术。通过污染软件供应链、劫持增量更新通道及构建深度伪造元数据体系,将恶意植入过程分解融合到镜像生命周期的各环节,在维持镜像表面合法性的前提下实现隐蔽持久化。

当前镜像植入匿迹技术的核心逻辑在于攻击链的时序分解与验证体系的系统化绕过。攻击者将传统集中式镜像篡改进化为分布式渐进式污染:供应链污染注入利用构建环境的信任传递特性,将恶意代码植入过程前移至开发阶段,使问题镜像具备完整合规的生成路径;增量更新劫持则通过碎片化攻击载荷,将单次高风险篡改变更为多次低强度渗透,使单个更新包的安全指标始终处于检测阈值之下;元数据深度伪造通过构建虚拟化镜像属性体系,在数字身份、时间维度及依赖关系等层面形成闭环伪造证据链。三类技术的共性在于突破静态防御机制的检测维度,通过攻击行为的生命周期延展、验证要素的全方位伪造及恶意功能的动态化触发,实现"在合规流程中实施渗透,在正常业务中隐藏恶意"的高级对抗能力。

匿迹技术的发展使得传统基于签名验证、哈希比对的静态检测手段逐渐失效,防御方需构建覆盖镜像全生命周期的动态可信验证体系,实施构建环境零信任管控、增量更新包行为分析及元数据交叉验证等新型防护措施,同时强化供应链各环节的异常行为感知能力。

ID: T1525
Sub-techniques:  T1525.001, T1525.002, T1525.003
Tactic: 入侵维持
Platforms: Containers, IaaS
Permissions Required: User
Contributors: Praetorian; Vishwas Manral, McAfee; Yossi Weizman, Azure Defender Research Team
Version: 2.1
Created: 04 September 2019
Last Modified: 08 March 2022

匿迹效应

效应类型 是否存在
特征伪装
行为透明
数据遮蔽
时空释痕

特征伪装

攻击者通过深度伪造镜像元数据(包括数字签名、构建时间戳、维护者信息等),使恶意镜像在仓库审计、依赖关系验证等环节呈现与合法镜像完全一致的特征属性。利用虚假构建历史记录和依赖树信息掩盖恶意代码的植入痕迹,实现"白镜像"伪装。

行为透明

通过劫持增量更新机制和供应链构建流程,将恶意植入操作分解到多个合规业务环节中。利用自动化构建系统的天然噪声掩盖人工干预痕迹,使得攻击过程与正常运维活动在行为模式层面无法区分。

数据遮蔽

采用分层加密存储技术,将恶意载荷以密文形式嵌入镜像文件系统非标准路径。利用容器运行时内存加载机制,避免恶意代码在镜像层持久化存储,使得静态扫描工具无法获取有效分析样本。

时空释痕

通过持续化的元数据同步和渐进式更新劫持,将单次攻击行为分散到长达数周甚至数月的镜像更新周期中。利用云环境自动扩展的时间异步特性,使恶意镜像的激活过程与业务高峰周期重叠,稀释异常行为的时间相关性特征。

Mitigations

ID Mitigation Description
M1047 Audit

Periodically check the integrity of images and containers used in cloud deployments to ensure they have not been modified to include malicious software.
M1045 Code Signing

Several cloud service providers support content trust models that require container images be signed by trusted sources.[1][2]
M1026 Privileged Account Management

Limit permissions associated with creating and modifying platform images or containers based on the principle of least privilege.

Detection

ID Data Source Data Component Detects
DS0007 Image Image Creation

Monitor interactions with images and containers by users to identify ones that are added anomalously.
Image Metadata

Periodically baseline virtual machine images to identify malicious modifications or additions.
Image Modification

Monitor interactions with images and containers by users to identify ones that are modified anomalously.In containerized environments, changes may be detectable by monitoring the Docker daemon logs or setting up and monitoring Kubernetes audit logs depending on registry configuration.

References

  1. Microsoft. (2019, September 5). Content trust in Azure Container Registry. Retrieved October 16, 2019.
  1. Docker. (2019, October 10). Content trust in Docker. Retrieved October 16, 2019.