Intezer研究人員發(fā)現(xiàn)一款利用無文件技術(shù)來繞過檢測的Linux惡意軟件——Doki�。自2020年1月14日上傳到VirusTotal后�����,先后有60個(gè)惡意軟件檢測引擎對(duì)其就進(jìn)行了檢測分析���。Doki 成功繞過了這些引擎的檢測����,其攻擊的目標(biāo)主要是公有云平臺(tái)上的Docker服務(wù)器,包括AWS����、Azure和阿里云。Docker是Linux和Windows平臺(tái)的一種PaaS 解決方案�,開發(fā)者利用它可以在隔離的容器環(huán)境中創(chuàng)建、測試和運(yùn)行應(yīng)用�。
站在用戶的角度思考問題,與客戶深入溝通����,找到吉林網(wǎng)站設(shè)計(jì)與吉林網(wǎng)站推廣的解決方案����,憑借多年的經(jīng)驗(yàn),讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合����,創(chuàng)造個(gè)性化、用戶體驗(yàn)好的作品���,建站類型包括:成都做網(wǎng)站���、成都網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站���、手機(jī)端網(wǎng)站�、網(wǎng)站推廣���、域名申請(qǐng)��、虛擬空間��、企業(yè)郵箱��。業(yè)務(wù)覆蓋吉林地區(qū)���。
樣本地址:
https://www.virustotal.com/gui/file/4aadb47706f0fe1734ee514e79c93eed65e1a0a9f61b63f3e7b6367bd9a3e63b/detection
Intezer研究人員發(fā)現(xiàn)Ngrok 挖礦僵尸網(wǎng)絡(luò)正在掃描互聯(lián)網(wǎng)上錯(cuò)誤配置的Docker API端點(diǎn),并用新的惡意軟件來感染有漏洞的服務(wù)器�����。Ngrok僵尸網(wǎng)絡(luò)已經(jīng)活躍了2年的時(shí)間�����,本次攻擊活動(dòng)主要針對(duì)錯(cuò)誤配置的Docker服務(wù)器����,并在受害者基礎(chǔ)設(shè)施上搭建進(jìn)行加密貨幣挖礦的惡意容器��。
Doki是一款多線程的惡意軟件����,使用了Dogecoin區(qū)塊鏈以一種動(dòng)態(tài)的方式在生成C2域名地址實(shí)現(xiàn)了與運(yùn)營者通信的無文件方法��。Doki惡意軟件的功能包括:
- 執(zhí)行從運(yùn)營者處接收的命令;
- 使用Dogecoin 區(qū)塊鏈瀏覽器來實(shí)時(shí)���、動(dòng)態(tài)地生成其C2域名;
- 使用embedTLS庫用于加密和網(wǎng)絡(luò)通信;
- 構(gòu)造短期有效的URL����,并使用這些URL來下載payload����。
惡意軟件使用了DynDNS 服務(wù)和基于Dogecoin區(qū)塊鏈的域名生成方法來找出實(shí)時(shí)的C2域名�����。此外����,攻擊活動(dòng)背后的攻擊者通過將服務(wù)器的root目錄與新創(chuàng)建的容器綁定成功入侵了host機(jī)器�,可以訪問和修改系統(tǒng)中的任意文件��。通過使用bind配置�,攻擊者可以控制主機(jī)的cron工具。修改主機(jī)的cron后就可以每分鐘執(zhí)行一次下載的payload�。
由于攻擊者可以利用容器逃逸技術(shù)完全控制受害者的基礎(chǔ)設(shè)施,因?yàn)楣舴浅NkU(xiǎn)�����。一旦安裝成功�,Doki既可以利用被入侵的系統(tǒng)來掃描與Redis、Docker�����、 SSH����、 HTTP相關(guān)的端口。
第一個(gè)Doki樣本是2020年1月14日上傳到VirusTotal的�,截止目前,61個(gè)頂級(jí)的惡意軟件檢測引擎都無法成功檢測出Doki�����。也就是說,過去6個(gè)月�,用戶和研究人員對(duì)Doki的惡意活動(dòng)是完全無感知的。
Docker是最主流的容器軟件�,這也是一個(gè)月內(nèi)Docker第二次成為攻擊的目標(biāo)。上個(gè)月�,研究人員就發(fā)現(xiàn)攻擊者利用暴露的Docker API終端和偽造的圖像來發(fā)起DDoS攻擊和進(jìn)行加密貨幣挖礦。
研究人員建議運(yùn)行Docker實(shí)例的用戶和企業(yè)不要暴露Docker API到互聯(lián)網(wǎng)����,如果必須要暴露的話,建議使用可信網(wǎng)絡(luò)或虛擬專用網(wǎng)���,并設(shè)置只允許可信用戶控制Docker daemon����。如果是通過API來管理Docker�,建議進(jìn)行參數(shù)檢查來確保惡意用戶無法傳遞惡意參數(shù)導(dǎo)致Docker創(chuàng)建任意容器。
對(duì)Doki的完整分析參見:
https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/
當(dāng)前名稱:一個(gè)無法檢測到的Linux惡意軟件——Doki
網(wǎng)頁地址:
http://uogjgqi.cn/article/dhhgghs.html
