Weaponizing Distroless
Distroless란?
Distroless 컨테이너는 특정 애플리케이션을 실행하는 데 필요한 종속성만 포함하는 컨테이너 유형입니다. 추가적인 소프트웨어나 필요하지 않은 도구는 포함되지 않으며, 이러한 컨테이너는 가볍고 안전하며, 불필요한 구성 요소를 제거하여 공격 표면을 최소화하는 것을 목표로 합니다.
Distroless 컨테이너는 보안과 신뢰성이 중요한 프로덕션 환경에서 자주 사용됩니다.
일부 distroless 컨테이너의 예시는 다음과 같습니다:
Google에서 제공하는 것: https://console.cloud.google.com/gcr/images/distroless/GLOBAL
Chainguard에서 제공하는 것: https://github.com/chainguard-images/images/tree/main/images
Distroless 무기화
Distroless 컨테이너를 무기화하는 목표는 distroless의 제한 사항 (시스템에서 일반적인 이진 파일의 부재)과 /dev/shm
의 읽기 전용 또는 실행 금지와 같은 컨테이너에서 일반적으로 발견되는 보호 기능을 고려하여 임의의 이진 파일과 페이로드를 실행할 수 있도록 하는 것입니다.
메모리를 통해
2023년 어느 시점에 추가될 예정입니다...
기존 이진 파일을 통해
openssl
****이 게시물에서는 이러한 컨테이너에서 자주 openssl
이진 파일이 발견된다는 것을 설명하고 있습니다. 이는 컨테이너 내에서 실행될 소프트웨어에 필요하기 때문일 수 있습니다.
openssl
이진 파일을 남용하여 임의의 작업을 실행할 수 있습니다.
Last updated