Intezer研究人员发现了一种名为Doki的Linux恶意软件,它使用无文件技术来逃避检测。自2020年1月14日上传至VirusTotal以来,已被60个恶意软件检测引擎检测和分析。Doki成功绕过了这些引擎的检测,其攻击目标主要是AWS、Azure、阿里云等公有云平台上的Docker服务器。Docker是一种适用于Linux和Windows平台的PaaS解决方案,允许开发人员在隔离的容器环境中创建、测试和运行应用程序。示例地址:https://www.virustotal.com/gui/file/4aadb47706f0fe1734ee514e79c93eed65e1a0a9f61b63f3e7b6367bd9a3e63b/detectionIntezer研究人员发现,Ngrok挖矿僵尸网络正在互联网上扫描错误配置的DockerAPI端点,并用新的恶意软件感染易受攻击的服务器。Ngrok僵尸网络已经活跃了两年。这种攻击主要针对配置错误的Docker服务器,并在受害者的基础设施上构建用于加密货币挖掘的恶意容器。Doki是一种多线程恶意软件,它使用狗狗币区块链以动态方式生成C2域地址,以实现与运营商通信的无文件方式。Doki恶意软件的功能包括:执行从操作员处收到的命令;使用狗狗币区块链浏览器实时动态生成其C2域名;使用embedTLS库进行加密和网络通信;构建短期有效的URL,并使用这些URL下载有效负载。该恶意软件使用DynDNS服务和基于Dogecoin区块链的域生成方法来查找实时C2域。此外,该活动背后的攻击者通过将服务器的根目录绑定到新创建的容器,成功地破坏了主机,允许他们访问和修改系统中的任意文件。通过使用绑定配置,攻击者可以控制主机的cron工具。修改主机的cron后,下载的payload可以每分钟执行一次。这种攻击非常危险,因为攻击者可以使用容器规避技术完全控制受害者的基础设施。安装后,Doki可以使用受感染的系统扫描与Redis、Docker、SSH、HTTP相关的端口。第一个Doki样本于2020年1月14日上传到VirusTotal。到目前为止,61个顶级恶意软件检测引擎未能成功检测到Doki。换句话说,用户和研究人员在过去6个月中完全不知道Doki的恶意活动。Docker是最流行的容器软件,这已经是一个月内第二次针对Docker。上个月,研究人员发现攻击者使用暴露的DockerAPI端点和虚假图像发起DDoS攻击并进行加密货币挖掘。研究人员建议运行Docker实例的用户和企业不要将DockerAPI暴露在互联网上。如果需要暴露,建议使用可信网络或虚拟专用网络,并设置只有可信用户来控制Docker守护进程。如果通过API管理Docker,建议进行参数检查,确保恶意用户无法传递导致Docker创建任意容器的恶意参数。有关Doki的完整分析,请参阅:https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/
