一種無法檢測到的Linux惡意軟件

網(wǎng)絡安全研究人員今天發(fā)現(xiàn)了完全不可檢測的Linux惡意軟件，該惡意軟件使用未知技術來監(jiān)視和鎖定主要云平臺(包括AWS，Azure和阿里巴巴云)上托管的公共可用Docker。

Docker是一種流行的針對Linux和Windows的平臺即服務(PaaS)解決方案，旨在使開發(fā)人員更容易在松散隔離的環(huán)境(稱為容器)中創(chuàng)建，測試和運行其應用程序。

根據(jù)Intezer的最新研究，正在進行的Ngrok挖礦僵尸網(wǎng)絡活動正在Internet上掃描配置不正確的Docker API端點，并且已經(jīng)用新的惡意軟件感染了許多易受攻擊的服務器。

盡管Ngrok采礦僵尸網(wǎng)絡在過去兩年中一直活躍，但新活動主要集中在控制配置錯誤的Docker服務器，并利用它們在受害者的基礎架構上運行帶有加密礦工的惡意容器。這種新的多線程惡意軟件

被稱為“ Doki ”，它利用“一種無記錄的方法，以一種獨特的方式濫用狗狗幣加密貨幣區(qū)塊鏈來聯(lián)系其運營商，以便盡管在VirusTotal中公開提供了示例，也可以動態(tài)生成其C2域地址?！?

據(jù)研究人員稱，該惡意軟件：

設計用于執(zhí)行從其操作員接收到的命令，

使用Dogecoin加密貨幣區(qū)塊瀏覽器實時動態(tài)生成其C2域，

使用embedTLS庫進行加密功能和網(wǎng)絡通信，

制作壽命短的唯一URL，并在攻擊過程中使用它們下載有效負載。

“該惡意軟件利用DynDNS服務和基于Dogecoin加密貨幣區(qū)塊鏈的獨特域生成算法(DGA)來實時查找其C2的域。”

除此之外，此新活動的攻擊者還設法通過將新創(chuàng)建的容器與服務器的根目錄綁定，從而使主機訪問或修改系統(tǒng)上的任何文件，從而破壞了主機。

“通過使用綁定配置，攻擊者可以控制主機的cron實用工具。攻擊者修改主機的cron以每分鐘執(zhí)行下載的有效負載?！?

“由于攻擊者使用容器逃逸技術來完全控制受害人的基礎結(jié)構，因此這次攻擊非常危險。”

完成后，該惡意軟件還利用zmap，zgrap和jq等掃描工具，利用受感染的系統(tǒng)進一步掃描網(wǎng)絡中與Redis，Docker，SSH和HTTP相關的端口。

盡管Doki已于2020年1月14日上載到VirusTotal，并在此后進行了多次掃描，但仍設法躲藏了六個月以上。令人驚訝的是，在撰寫本文時，仍然無法被61個頂級惡意軟件檢測引擎中的任何一個檢測到。

最杰出的容器軟件已成為一個月中的第二次攻擊目標。上個月末，發(fā)現(xiàn)惡意行為者以暴露的Docker API端點為目標，并制作了惡意軟件感染的映像，以促進DDoS攻擊和挖掘加密貨幣。

建議運行Docker實例的用戶和組織不要將Docker API公開給Internet，但是如果您仍然需要，請確保僅可從受信任的網(wǎng)絡或VPN訪問它，并且只有可信任的用戶才能控制Docker守護程序。

如果從Web服務器管理Docker以通過API設置容器，則應該比通常更加謹慎地進行參數(shù)檢查，以確保惡意用戶無法傳遞導致Docker創(chuàng)建任意容器的特制參數(shù)。在此處遵循最佳Docker安全實踐。

一起看等級保護重要政策文件之國發(fā)〔2012〕23號

美國號稱推出“虛擬不可入侵”互聯(lián)網(wǎng)的藍圖

糗大了!這是大疆無人機發(fā)現(xiàn)的新安全漏洞嗎?

21歲的塞浦路斯黑客被引渡到美國

美國CISA發(fā)布緊急指令20-03要求解決Windows DNS服務器SIGRed漏洞