植入内部镜像

对手可能会在获得环境访问权限后植入带有恶意代码的云或容器镜像，以建立持久性。Amazon Web Services（AWS）Amazon Machine Images（AMIs）、Google Cloud Platform（GCP）镜像和Azure镜像以及流行的容器运行时（如Docker）可以被植入或后门化。与上传恶意软件不同，此技术侧重于对手在受害者环境中的注册表中植入镜像。根据基础设施的配置方式，如果基础设施配置工具被指示始终使用最新镜像，这可能提供持久访问。(引用: Rhino Labs Cloud Image Backdoor Technique Sept 2019) 已经开发了一种工具来促进在云容器镜像中植入后门。(引用: Rhino Labs Cloud Backdoor September 2019) 如果对手访问了受损的AWS实例，并具有列出可用容器镜像的权限，他们可能会植入后门，例如Web Shell。(引用: Rhino Labs Cloud Image Backdoor Technique Sept 2019)