一種無法檢測到的Linux惡意軟件

網(wǎng)絡(luò)安全研究人員今天發(fā)現(xiàn)了完全不可檢測的Linux惡意軟件，該惡意軟件使用未公開的技術(shù)來監(jiān)視和鎖定流行云平臺上托管的公共可用Docker服務(wù)器。

Docker是一種流行的針對Linux和Windows的平臺即服務(wù)(PaaS)解決方案，旨在使開發(fā)人員更容易在松散隔離的環(huán)境(稱為容器)中創(chuàng)建，測試和運(yùn)行其應(yīng)用程序。

根據(jù)Intezer的最新研究，正在進(jìn)行的Ngrok挖礦僵尸網(wǎng)絡(luò)活動正在Internet上掃描配置不正確的Docker API端點(diǎn)，并且已經(jīng)用新的惡意軟件感染了許多易受攻擊的服務(wù)器。

盡管Ngrok采礦僵尸網(wǎng)絡(luò)在過去兩年中一直活躍，但新活動主要集中在控制配置錯誤的Docker服務(wù)器，并利用它們在受害者的基礎(chǔ)架構(gòu)上運(yùn)行帶有加密礦工的惡意容器。這種新的多線程惡意軟件

被稱為“ Doki ”，它利用“一種無記錄的方法，以一種獨(dú)特的方式濫用狗狗幣加密貨幣區(qū)塊鏈來聯(lián)系其運(yùn)營商，以便盡管在VirusTotal中公開提供了示例，也可以動態(tài)生成其C2域地址。”

據(jù)研究人員稱，該惡意軟件：

設(shè)計用于執(zhí)行從其操作員接收到的命令，

使用Dogecoin加密貨幣區(qū)塊瀏覽器實(shí)時動態(tài)生成其C2域，

使用embedTLS庫進(jìn)行加密功能和網(wǎng)絡(luò)通信，

制作壽命短的唯一URL，并在攻擊過程中使用它們下載有效負(fù)載。

“該惡意軟件利用DynDNS服務(wù)和基于Dogecoin加密貨幣區(qū)塊鏈的獨(dú)特域生成算法(DGA)來實(shí)時查找其C2的域?！?

除此之外，此新活動的攻擊者還設(shè)法通過將新創(chuàng)建的容器與服務(wù)器的根目錄綁定，從而使主機(jī)訪問或修改系統(tǒng)上的任何文件，從而破壞了主機(jī)。

“通過使用綁定配置，攻擊者可以控制主機(jī)的cron實(shí)用工具。攻擊者修改主機(jī)的cron以每分鐘執(zhí)行下載的有效負(fù)載?！?

“由于攻擊者使用容器逃逸技術(shù)來完全控制受害人的基礎(chǔ)結(jié)構(gòu)，因此這次攻擊非常危險?！?

完成后，該惡意軟件還利用zmap，zgrap和jq等掃描工具，利用受感染的系統(tǒng)進(jìn)一步掃描網(wǎng)絡(luò)中與Redis，Docker，SSH和HTTP相關(guān)的端口。

盡管Doki已于2020年1月14日上載到VirusTotal，并在此后進(jìn)行了多次掃描，但仍設(shè)法躲藏了六個月以上。令人驚訝的是，在撰寫本文時，仍然無法被61個頂級惡意軟件檢測引擎中的任何一個檢測到。

最杰出的容器軟件已成為一個月中的第二次攻擊目標(biāo)。上個月末，發(fā)現(xiàn)惡意行為者以暴露的Docker API端點(diǎn)為目標(biāo)，并制作了惡意軟件感染的映像，以促進(jìn)DDoS攻擊和挖掘加密貨幣。

建議運(yùn)行Docker實(shí)例的用戶和組織不要將Docker API公開給Internet，但是如果您仍然需要，請確保僅可從受信任的網(wǎng)絡(luò)或VPN訪問它，并且只有可信任的用戶才能控制Docker守護(hù)程序。

如果從Web服務(wù)器管理Docker以通過API設(shè)置容器，則應(yīng)該比通常更加謹(jǐn)慎地進(jìn)行參數(shù)檢查，以確保惡意用戶無法傳遞導(dǎo)致Docker創(chuàng)建任意容器的特制參數(shù)。在此處遵循最佳Docker安全實(shí)踐。

一起看等級保護(hù)重要政策文件之國發(fā)〔2012〕23號

美國號稱推出“虛擬不可入侵”互聯(lián)網(wǎng)的藍(lán)圖

糗大了!這是大疆無人機(jī)發(fā)現(xiàn)的新安全漏洞嗎?

21歲的塞浦路斯黑客被引渡到美國

美國CISA發(fā)布緊急指令20-03要求解決Windows DNS服務(wù)器SIGRed漏洞