网络安全研究人员今天发现一种完全无法检测到的Linux恶意软件,该恶意软件利用未公开的技术来监视并瞄准以流行的云平台(包括AWS,Azure和阿里云)托管的可公开访问的Docker服务器。
Docker是一种流行的针对Linux和Windows的平台即服务(PaaS)解决方案,旨在使开发人员更容易在松散隔离的环境(称为容器)中创建,测试和运行其应用程序。
根据Intezer的最新研究,正在进行的Ngrok挖矿僵尸网络活动正在Internet上扫描配置不正确的Docker API端点,并且已经用新的恶意软件感染了许多易受攻击的服务器。
尽管Ngrok采矿僵尸网络在过去两年中一直活跃,但新活动主要集中在控制配置错误的Docker服务器,并利用它们在受害者的基础架构上运行带有加密矿工的恶意容器。这种新的多线程恶意软件
被称为“ Doki ”,它利用“一种无记录的方法,以一种独特的方式滥用狗狗币加密货币区块链来联系其运营商,以便尽管在VirusTotal中公开提供了示例,也可以动态生成其C2域地址。”
据研究人员称,该恶意软件:
设计用于执行从其操作员接收到的命令,使用Dogecoin加密货币区块浏览器实时动态生成其C2域,使用embedTLS库进行加密功能和网络通信,制作寿命短的唯一URL,并在攻击过程中使用它们下载有效负载。
“该恶意软件利用DynDNS服务和基于Dogecoin加密货币区块链的独特域生成算法(DGA)来实时查找其C2的域。”
除此之外,此新活动的攻击者还设法通过将新创建的容器与服务器的根目录绑定,从而使主机访问或修改系统上的任何文件,从而破坏了主机。
“通过使用绑定配置,攻击者可以控制主机的cron实用工具。攻击者修改主机的cron以每分钟执行下载的有效负载。”
“由于攻击者使用容器逃逸技术来完全控制受害人的基础结构,因此这次攻击非常危险。”
完成后,该恶意软件还利用zmap,zgrap和jq等扫描工具,利用受感染的系统进一步扫描网络中与Redis,Docker,SSH和HTTP相关的端口。
尽管Doki已于1月14日上载到VirusTotal,并在此后进行了多次扫描,但仍设法躲藏了六个月以上。令人惊讶的是,在撰写本文时,仍然无法被61个顶级恶意软件检测引擎中的任何一个检测到。
最杰出的容器软件已成为一个月中的第二次攻击目标。上个月末,发现恶意行为者以暴露的Docker API端点为目标,并制作了恶意软件感染的映像,以促进DDoS攻击和挖掘加密货币。
建议运行Docker实例的用户和组织不要将Docker API公开给Internet,但是如果您仍然需要,请确保仅可从受信任的网络或VPN访问它,并且只有可信任的用户才能控制Docker守护程序。
如果从Web服务器管理Docker以通过API设置容器,则应该比通常更加谨慎地进行参数检查,以确保恶意用户无法传递导致Docker创建任意容器的特制参数。在此处遵循最佳Docker安全实践。
一起看等级保护重要政策文件之国发〔〕23号
美国号称推出“虚拟不可入侵”互联网的蓝图
糗大了!这是大疆无人机发现的新安全漏洞吗?
21岁的塞浦路斯黑客被引渡到美国
美国CISA发布紧急指令20-03要求解决Windows DNS服务器SIGRed漏洞
如果觉得《61个顶级恶意软件检测程序失效 一种无法检测到的Linux恶意软件》对你有帮助,请点赞、收藏,并留下你的观点哦!
