合法基础镜像劫持(Legitimate Base Image Hijacking)是指攻击者利用受信的基础镜像作为载体,在构建过程中注入恶意代码的技术。该技术通过选择公共仓库中高信誉的官方镜像(如nginx、redis)作为基础层,利用容器构建过程的层叠加特性,在后续构建步骤中植入后门程序或修改关键配置文件,使得最终生成的镜像既包含原始合法功能又具备隐蔽攻击能力。
该技术的匿迹核心在于恶意层与合法层的深度耦合。攻击者首先从公共仓库获取经过数字签名验证的基础镜像,确保其哈希值与官方记录一致以通过安全扫描。在构建阶段,通过Dockerfile的RUN指令注入恶意代码(如修改系统库文件、添加隐蔽SSH密钥),或利用COPY指令覆盖容器内的配置文件(如劫持nginx的启动脚本)。由于容器安全扫描通常仅验证基础镜像的完整性,而忽略构建过程中新增层的恶意特征,攻击者可借此规避镜像仓库的静态检测。同时,恶意层与合法服务的深度集成使得运行时行为检测难以区分正常进程与攻击载荷,例如将挖矿程序嵌入web服务器的worker进程。这种"白加黑"式的镜像构建方式,有效利用了容器生态对官方镜像的信任机制。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon