网络安全研究人员今天发现了一种完全无法被检测到的Linux恶意软件,该恶意软件利用未公开的技术来监视并瞄准以流行的云平台(包括AWS,Azure和阿里云)托管的可公开访问的Docker服务器。
Docker是一种流行的针对Linux和Windows的平台即服务(PaaS)解决方案,旨在使开发人员更容易在松散隔离的环境(称为容器)中创建,测试和运行其应用程序。
根据Intezer 与The Hacker News 共享的最新研究,正在进行的Ngrok挖矿僵尸网络活动正在Internet上扫描配置不正确的Docker API端点,并且已经用新的恶意软件感染了许多易受攻击的服务器。
尽管Ngrok采矿僵尸网络在过去两年中一直活跃,但新活动主要集中在控制配置错误的Docker服务器,并利用它们在受害者的基础架构上运行带有加密矿工的恶意容器。
这种新的多线程恶意软件被称为“ Doki ”,它利用“一种无记录的方法,以一种独特的方式滥用狗狗币加密货币区块链来联系其运营商,以便尽管在VirusTotal中公开提供了示例,也可以动态生成其C2域地址。”
据研究人员称,该恶意软件:
设计用于执行从其操作员接收到的命令,
使用Dogecoin加密货币区块浏览器实时动态生成其C2域,
使用embedTLS库进行加密功能和网络通信,
制作寿命短的唯一URL,并在攻击过程中使用它们下载有效负载。
“该恶意软件利用DynDNS服务和基于Dogecoin加密货币区块链的独特域生成算法(DGA)来实时查找其C2的域。”
除此之外,此新活动的攻击者还设法通过将新创建的容器与服务器的根目录绑定,从而使主机访问或修改系统上的任何文件,从而破坏了主机。
“通过使用绑定配置,攻击者可以控制主机的cron实用工具。攻击者修改主机的cron以每分钟执行下载的有效负载。”
“由于攻击者使用容器逃逸技术来完全控制受害人的基础结构,因此这次攻击非常危险。”
完成后,该恶意软件还利用zmap,zgrap和jq等扫描工具,利用受感染的系统进一步扫描网络中与Redis,Docker,SSH和HTTP相关的端口。
尽管Doki已于2020年1月14日上载到VirusTotal,并在此后进行了多次扫描,但仍设法躲藏了六个月以上。令人惊讶的是,在撰写本文时,它仍然无法被61个顶级恶意软件检测引擎中的任何一个检测到。
建议运行Docker实例的用户和组织不要将Docker API公开给Internet,但是如果您仍然需要,请确保仅可从受信任的网络或VPN访问它,并且只有可信任的用户才能控制Docker守护程序。
