动态分层构建镜像(Dynamic Layered Image Building)是一种通过分阶段构建容器镜像实现恶意载荷隐蔽植入的技术。攻击者将恶意操作分解为多个合法构建步骤,在基础镜像的常规软件安装层之间插入恶意组件,利用Dockerfile的层缓存机制逐步完成攻击载荷部署。该技术通过将恶意行为分散到多个构建阶段,使单次镜像构建请求不触发完整性校验告警,同时利用容器构建过程的合法性掩盖攻击意图。
该技术的匿迹性体现在构建过程的时间维度分散与行为逻辑混淆。攻击者首先拉取经过验证的官方基础镜像(如Alpine、Ubuntu),在初始构建层执行合规操作(如安装系统依赖包),随后在中间层嵌入隐蔽的恶意指令(如下载加密攻击载荷),最终在顶层通过环境变量注入或配置文件修改激活后门。构建过程中,攻击者利用Docker的缓存机制保留中间镜像层,使安全扫描工具仅检测最终镜像的完整性而忽略中间层动态变化。此外,恶意指令常与正常构建命令混合编排(如将curl下载操作伪装成依赖项安装),并采用时间戳触发机制延迟恶意行为执行,有效规避基于静态分析的检测。通过将攻击链解构为多阶段合法操作,该技术实现了恶意行为在容器构建生命周期中的深度隐匿。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon