Сборка образа на хосте

Злоумышленники могут собрать образ контейнера непосредственно на хосте, чтобы обойти средства защиты, которые отслеживают получение вредоносных образов из публичного реестра. Удаленный запрос build может быть отправлен в Docker API, который включает Dockerfile, загружающий базовый образ, такой как alpine, из публичного или локального реестра, а затем создающий на его основе пользовательский образ. Злоумышленник может воспользоваться этим API build, чтобы собрать на хосте пользовательский образ, включающий вредоносное ПО, загруженное с их C2-сервера, а затем использовать Развертывание контейнера с этим пользовательским образом. Если базовый образ загружается из публичного реестра, средства защиты, скорее всего, не обнаружат образ как вредоносный, поскольку это базовый образ. Если базовый образ уже находится в локальном реестре, загрузка может быть сочтена еще менее подозрительной, поскольку образ уже присутствует в среде.