一個無法檢測到的Linux惡意軟件——Doki
Intezer研究人員發現一款利用無文件技術來繞過檢測的Linux惡意軟件——Doki。自2020年1月14日上傳到VirusTotal后,先后有60個惡意軟件檢測引擎對其就進行了檢測分析。Doki 成功繞過了這些引擎的檢測,其攻擊的目標主要是公有云平臺上的Docker服務器,包括AWS、Azure和阿里云。Docker是Linux和Windows平臺的一種PaaS 解決方案,開發者利用它可以在隔離的容器環境中創建、測試和運行應用。
樣本地址:
Intezer研究人員發現Ngrok 挖礦僵尸網絡正在掃描互聯網上錯誤配置的Docker API端點,并用新的惡意軟件來感染有漏洞的服務器。Ngrok僵尸網絡已經活躍了2年的時間,本次攻擊活動主要針對錯誤配置的Docker服務器,并在受害者基礎設施上搭建進行加密貨幣挖礦的惡意容器。
Doki是一款多線程的惡意軟件,使用了Dogecoin區塊鏈以一種動態的方式在生成C2域名地址實現了與運營者通信的無文件方法。Doki惡意軟件的功能包括:
- 執行從運營者處接收的命令;
- 使用Dogecoin 區塊鏈瀏覽器來實時、動態地生成其C2域名;
- 使用embedTLS庫用于加密和網絡通信;
- 構造短期有效的URL,并使用這些URL來下載payload。
惡意軟件使用了DynDNS 服務和基于Dogecoin區塊鏈的域名生成方法來找出實時的C2域名。此外,攻擊活動背后的攻擊者通過將服務器的root目錄與新創建的容器綁定成功入侵了host機器,可以訪問和修改系統中的任意文件。通過使用bind配置,攻擊者可以控制主機的cron工具。修改主機的cron后就可以每分鐘執行一次下載的payload。
由于攻擊者可以利用容器逃逸技術完全控制受害者的基礎設施,因為攻擊非常危險。一旦安裝成功,Doki既可以利用被入侵的系統來掃描與Redis、Docker、 SSH、 HTTP相關的端口。
第一個Doki樣本是2020年1月14日上傳到VirusTotal的,截止目前,61個頂級的惡意軟件檢測引擎都無法成功檢測出Doki。也就是說,過去6個月,用戶和研究人員對Doki的惡意活動是完全無感知的。
Docker是最主流的容器軟件,這也是一個月內Docker第二次成為攻擊的目標。上個月,研究人員就發現攻擊者利用暴露的Docker API終端和偽造的圖像來發起DDoS攻擊和進行加密貨幣挖礦。
研究人員建議運行Docker實例的用戶和企業不要暴露Docker API到互聯網,如果必須要暴露的話,建議使用可信網絡或虛擬專用網,并設置只允許可信用戶控制Docker daemon。如果是通過API來管理Docker,建議進行參數檢查來確保惡意用戶無法傳遞惡意參數導致Docker創建任意容器。
對Doki的完整分析參見:
