络安全研究人员今天发现一种完全无法检测到的Linux恶意软件,该恶意软件利用未公开的技术来监视并瞄准以流行的云平台(包括AWS,Azure和阿里云)托管的可公开访问的Docker服务器。
Docker是一种流行的针对Linux和Windows的平台即服务(PaaS)解决方案,旨在使开发人员更容易在松散隔离的环境(称为容器)中创建,测试和运行其应用程序。
根据Intezer的最新研究,正在进行的Ngrok挖矿僵尸 络活动正在Internet上扫描配置不正确的Docker API端点,并且已经用新的恶意软件感染了许多易受攻击的服务器。
尽管Ngrok采矿僵尸 络在过去两年中一直活跃,但新活动主要集中在控制配置错误的Docker服务器,并利用它们在受害者的基础架构上运行带有加密矿工的恶意容器。这种新的多线程恶意软件
被称为“ Doki ”,它利用“一种无记录的方法,以一种独特的方式滥用狗狗币加密货币区块链来联系其运营商,以便尽管在VirusTotal中公开提供了示例,也可以动态生成其C2域地址。”
据研究人员称,该恶意软件:
“该恶意软件利用DynDNS服务和基于Dogecoin加密货币区块链的独特域生成算法(DGA)来实时查找其C2的域。”
除此之外,此新活动的攻击者还设法通过将新创建的容器与服务器的根目录绑定,从而使主机访问或修改系统上的任何文件,从而破坏了主机。
“通过使用绑定配置,攻击者可以控制主机的cron实用工具。攻击者修改主机的cron以每分钟执行下载的有效负载。”
“由于攻击者使用容器逃逸技术来完全控制受害人的基础结构,因此这次攻击非常危险。”
完成后,该恶意软件还利用zmap,zgrap和jq等扫描工具,利用受感染的系统进一步扫描 络中与Redis,Docker,SSH和HTTP相关的端口。
最杰出的容器软件已成为一个月中的第二次攻击目标。上个月末,发现恶意行为者以暴露的Docker API端点为目标,并制作了恶意软件感染的映像,以促进DDoS攻击和挖掘加密货币。
建议运行Docker实例的用户和组织不要将Docker API公开给Internet,但是如果您仍然需要,请确保仅可从受信任的 络或VPN访问它,并且只有可信任的用户才能控制Docker守护程序。
如果从Web服务器管理Docker以通过API设置容器,则应该比通常更加谨慎地进行参数检查,以确保恶意用户无法传递导致Docker创建任意容器的特制参数。在此处遵循最佳Docker安全实践。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!