利用暴露在外的API,无法检测的Linux恶意软件将矛头指向Docker服务器


网络安全研究人员日前发现一种完全无法检测的Linux恶意软件。该恶意软件利用某种未知技术监控并入侵托管在多种流行云平台(包括AWS、Azure以及阿里云)上的公开Docker服务器。



Docker是一种针对Linux与Windows系统的高人气平台即服务(PaaS)解决方案,旨在帮助开发人员轻松在松散隔离的环境(即容器)当中创建、测试并运行各类应用程序。


根据Intezer与The Hacker News发布的最新研究,目前这轮Ngrok采矿僵尸网络攻击正在互联网上扫描各未经过正确配置的Docker API端点,并使用新的恶意软件成功感染了大量易受攻击的服务器。

尽管Ngrok在过去两年中一直相当活跃,但此次新活动主要集中在存在配置错误的Docker服务器上,并以此为跳板在受害者的基础设施当中运行带有加密货币采矿程序的恶意容器。



这种新的多线程恶意软件被定名为“Doki”,其利用“一种未经证明的方法,以独特的方式利用Dogecoin加密货币区块链与攻击操作者对接,借此动态生成其C2域地址。目前VirusTotal中已经公开提供相关示例。”

1.jpg

根据研究人员的介绍,该恶意软件:

  • 在设计上能够从攻击操作者处接收命令。
  • 利用Dogecoin加密货币区块浏览器实时动态生成其C2域。
  • 使用embedTLS库实现加密货币采矿功能与网络通信。
  • 使用寿命极短的唯一URL,并在攻击过程中利用URL下载载荷。

    “该恶意软件利用DynDNS服务以及基于Dogecoin加密货币区块链的独特域生成算法(DGA)以实时查找其C2域。”




除此之外,攻击者还设法将新创建的容器与服务器根目录进行绑定,借此成功入侵主机,进而访问或修改主机系统上的各项文件。

2.jpg


“通过使用绑定配置,攻击者可以控制主机的cron实用程序。攻击者会修改主机的cron以保证每分钟执行一次下载完成的载荷。”



“由于攻击者使用容器逃逸技术以全面控制受害者的基础设施,因此本轮攻击具有极高的危险性。”



一旦成功感染,该恶意软件还利用zmap、zgrap以及jq等扫描工具,经由受感染的系统进一步扫描网络中与Redis、Docker、SSH以及HTTP相关的端口。

Doki早在2020年1月14日就已经被上传至VirusTotal并在此后经历了多次扫描,但其仍然设法躲藏了六个月以上。令人惊讶的是,截至本文撰稿时,61款顶级恶意软件检测引擎仍然无一能够成功将它检测出来。



这已经是Docker容器软件本月第二次沦为攻击活动的目标。上个月末,有恶意攻击者以暴露在外的Docker API端口为目标开发出经过恶意感染的镜像,并借此实施了DDoS与加密货币采矿攻击。



这里,建议各位运行Docker实例的用户与组织不要将Docker API公开至互联网之上;如果你必须公开,请保证仅可通过受信网络或者VPN对API进行访问,且只有可信用户才能控制Docker守护程序。



如果你通过Web服务器管理Docker以经由API设置容器,则应更谨慎地执行参数检查,保证恶意用户无法通过API向Docker中传递任何可能破坏容器安全的特制参数。

原文链接:Undetectable Linux Malware Targeting Docker Servers With Exposed APIs

0 个评论

要回复文章请先登录注册