一種無(wú)法檢測(cè)到的Linux惡意軟件

時(shí)間：2020-08-11 21:31:47

關(guān)鍵字： docker Linux dogecoin

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]網(wǎng)絡(luò)安全研究人員今天發(fā)現(xiàn)了完全不可檢測(cè)的Linux惡意軟件，該惡意軟件使用未知技術(shù)來(lái)監(jiān)視和鎖定主要云平臺(tái)（包括AWS，Azure和阿里巴巴云）上托管的公共可用Docker。

網(wǎng)絡(luò)安全研究人員今天發(fā)現(xiàn)了完全不可檢測(cè)的Linux惡意軟件，該惡意軟件使用未知技術(shù)來(lái)監(jiān)視和鎖定主要云平臺(tái)(包括AWS，Azure和阿里巴巴云)上托管的公共可用Docker。

Docker是一種流行的針對(duì)Linux和Windows的平臺(tái)即服務(wù)(PaaS)解決方案，旨在使開(kāi)發(fā)人員更容易在松散隔離的環(huán)境(稱為容器)中創(chuàng)建，測(cè)試和運(yùn)行其應(yīng)用程序。

根據(jù)Intezer的最新研究，正在進(jìn)行的Ngrok挖礦僵尸網(wǎng)絡(luò)活動(dòng)正在Internet上掃描配置不正確的Docker API端點(diǎn)，并且已經(jīng)用新的惡意軟件感染了許多易受攻擊的服務(wù)器。

盡管Ngrok采礦僵尸網(wǎng)絡(luò)在過(guò)去兩年中一直活躍，但新活動(dòng)主要集中在控制配置錯(cuò)誤的Docker服務(wù)器，并利用它們?cè)谑芎φ叩幕A(chǔ)架構(gòu)上運(yùn)行帶有加密礦工的惡意容器。這種新的多線程惡意軟件

被稱為“ Doki ”，它利用“一種無(wú)記錄的方法，以一種獨(dú)特的方式濫用狗狗幣加密貨幣區(qū)塊鏈來(lái)聯(lián)系其運(yùn)營(yíng)商，以便盡管在VirusTotal中公開(kāi)提供了示例，也可以動(dòng)態(tài)生成其C2域地址?！?

據(jù)研究人員稱，該惡意軟件：

設(shè)計(jì)用于執(zhí)行從其操作員接收到的命令，

使用Dogecoin加密貨幣區(qū)塊瀏覽器實(shí)時(shí)動(dòng)態(tài)生成其C2域，

使用embedTLS庫(kù)進(jìn)行加密功能和網(wǎng)絡(luò)通信，

制作壽命短的唯一URL，并在攻擊過(guò)程中使用它們下載有效負(fù)載。

“該惡意軟件利用DynDNS服務(wù)和基于Dogecoin加密貨幣區(qū)塊鏈的獨(dú)特域生成算法(DGA)來(lái)實(shí)時(shí)查找其C2的域?！?

除此之外，此新活動(dòng)的攻擊者還設(shè)法通過(guò)將新創(chuàng)建的容器與服務(wù)器的根目錄綁定，從而使主機(jī)訪問(wèn)或修改系統(tǒng)上的任何文件，從而破壞了主機(jī)。

“通過(guò)使用綁定配置，攻擊者可以控制主機(jī)的cron實(shí)用工具。攻擊者修改主機(jī)的cron以每分鐘執(zhí)行下載的有效負(fù)載?！?

“由于攻擊者使用容器逃逸技術(shù)來(lái)完全控制受害人的基礎(chǔ)結(jié)構(gòu)，因此這次攻擊非常危險(xiǎn)?！?

完成后，該惡意軟件還利用zmap，zgrap和jq等掃描工具，利用受感染的系統(tǒng)進(jìn)一步掃描網(wǎng)絡(luò)中與Redis，Docker，SSH和HTTP相關(guān)的端口。

盡管Doki已于2020年1月14日上載到VirusTotal，并在此后進(jìn)行了多次掃描，但仍設(shè)法躲藏了六個(gè)月以上。令人驚訝的是，在撰寫(xiě)本文時(shí)，仍然無(wú)法被61個(gè)頂級(jí)惡意軟件檢測(cè)引擎中的任何一個(gè)檢測(cè)到。

最杰出的容器軟件已成為一個(gè)月中的第二次攻擊目標(biāo)。上個(gè)月末，發(fā)現(xiàn)惡意行為者以暴露的Docker API端點(diǎn)為目標(biāo)，并制作了惡意軟件感染的映像，以促進(jìn)DDoS攻擊和挖掘加密貨幣。

建議運(yùn)行Docker實(shí)例的用戶和組織不要將Docker API公開(kāi)給Internet，但是如果您仍然需要，請(qǐng)確保僅可從受信任的網(wǎng)絡(luò)或VPN訪問(wèn)它，并且只有可信任的用戶才能控制Docker守護(hù)程序。

如果從Web服務(wù)器管理Docker以通過(guò)API設(shè)置容器，則應(yīng)該比通常更加謹(jǐn)慎地進(jìn)行參數(shù)檢查，以確保惡意用戶無(wú)法傳遞導(dǎo)致Docker創(chuàng)建任意容器的特制參數(shù)。在此處遵循最佳Docker安全實(shí)踐。

一起看等級(jí)保護(hù)重要政策文件之國(guó)發(fā)〔2012〕23號(hào)

美國(guó)號(hào)稱推出“虛擬不可入侵”互聯(lián)網(wǎng)的藍(lán)圖

糗大了!這是大疆無(wú)人機(jī)發(fā)現(xiàn)的新安全漏洞嗎?

21歲的塞浦路斯黑客被引渡到美國(guó)

美國(guó)CISA發(fā)布緊急指令20-03要求解決Windows DNS服務(wù)器SIGRed漏洞