专家发现了一种无法检测的Linux恶意软件,该恶意软件利用未记录的技术来逃避检测,并以可公开访问的Docker服务器为目标
Intezer的网络安全研究人员发现了一种新的完全不可检测的Linux恶意软件,称为Doki,该恶意软件在针对可公开访问的Docker服务器的同时利用了未记录的规避技术。
正在进行的Ngrok采矿僵尸网络活动的目标是将服务器托管在流行的云平台上,包括阿里云,Azure和AWS。
“ Ngrok Mining Botnet是一个活跃的活动,目标是AWS,Azure和其他云平台中公开的Docker服务器。它已经活跃了至少两年。”阅读Intezer发布的报告。 “我们已经检测到了最近的一次攻击,其中包括一个完全未被发现的Linux恶意软件和一个以前未记录的技术,该技术使用区块链钱包生成C&C域名。”
僵尸网络正在Internet上扫描配置错误的Docker API端点,专家注意到Ngrok恶意软件已经感染了许多易受攻击的服务器。
Ngrok采矿僵尸网络已经活跃了两年,其运营商主要致力于滥用配置错误的Docker服务器来设置运行加密矿工的容器。
研究人员指出,Doki是一种新的多线程恶意软件,它通过一种独特的方式滥用Dogecoin加密货币区块链,从而利用了未记录的C2通信技术。
“ Doki使用一种以前未记录的方法,以一种独特的方式滥用Dogecoin加密货币区块链来联系其运营商,以便动态生成其C2域名地址。”继续报告。 “尽管在VirusTotal中公开提供了样本,但该恶意软件仍设法躲藏了六个月以上。”
僵尸网络使用zmap,zgrap和jq扫描与Redis,Docker,SSH和HTTP关联的网络和端口。
恶意脚本包含IP地址的硬编码范围列表,这些IP地址范围属于云服务器,例如AWS和外国区域(即中国,奥地利和英国)的本地云提供商。
下载器脚本允许操作员下载并安装各种恶意软件二进制文件,包括加密矿工。专家注意到,该脚本可以安装一个完全未被检测到的后门,这被研究人员Doki称为。
该恶意软件将embedTLS库用于加密功能和网络通信。
该恶意软件能够执行来自其操作员的命令,它利用Dogecoin加密货币区块浏览器实时动态生成其C2域。
“恶意软件首先使用其独特的DGA生成C2域。”说明研究人员。 “为了构建C2地址,恶意软件执行以下步骤:
查询dogechain加密货币区块浏览器dogechain.info API,以查找从攻击者控制的硬编码钱包地址发送(花费)的值。查询格式为:https://dogechain.info/api/v1/address/sent/{address
对“已发送”下返回的值执行SHA256
保存SHA256值的十六进制字符串表示形式的前12个字符,用作子域。
通过将子域附加到ddns.net来构造完整地址。一个示例域为:6d77335c4f23 [。] ddns [。] net”
该恶意软件使用DynDNS服务和基于Dogecoin加密货币区块链的独特域生成算法(DGA)来实时查找其C2的域。
攻击者还创建了配置为将/ tmpXXXXXX目录绑定到托管服务器的根目录的容器。使用此技巧,威胁参与者可以从容器内部访问和修改服务器文件系统上的每个文件。
绑定配置使攻击者可以控制cron实用程序来修改主机的cron,以每分钟执行下载的有效负载。
“由于攻击者使用容器逃逸技术来完全控制受害者的基础设施,因此这次攻击非常危险。”总结报告。 “我们的证据表明,从新配置错误的Docker服务器上线到感染该活动仅需几个小时。”
如果运行Docker实例,则必须尽可能避免在线公开Docker API或限制从受信任的网络或VPN对受信任的用户的访问。
