在主机上构建镜像

对手可能会直接在主机上构建容器镜像，以绕过监控从公共注册表检索恶意镜像的防御。可以向 Docker API 发送远程build请求，其中包含一个 Dockerfile，该文件从公共或本地注册表中提取一个普通基础镜像（例如 alpine），然后在其上构建自定义镜像。(引用: Docker Build Image) 对手可能会利用该build API 在主机上构建一个包含从其 C2 服务器下载的恶意软件的自定义镜像，然后他们可能会利用部署容器使用该自定义镜像。(引用: Aqua Build Images on Hosts)(引用: Aqua Security Cloud Native Threat Report June 2021) 如果基础镜像是从公共注册表中提取的，防御措施可能不会将镜像检测为恶意镜像，因为它是普通镜像。如果基础镜像已经存在于本地注册表中，则提取可能被认为更不引人注意，因为镜像已经在环境中。