注意容器安全：Doki 感染云中的 Docker 服务器

主要发现

1. Ngrok Mining Botnet是一个活跃的活动，目标是AWS、Azure和其他云平台中公开的Docker服务器，它已经活跃了至少两年。
2. 我们检测到了最近的一次攻击，其中包括使用区块链钱包生成C＆C域名的完全未检测到的Linux恶意软件和以前未记录的技术。
3. 任何具有公开开放的Docker API访问权限的人都有可能在短短几个小时内被黑客入侵。这很可能是由于黑客对脆弱的受害者进行了自动且连续的全互联网扫描所致。
4. 自2020年1月14日首次分析以来，VirusTotal的60个恶意软件检测引擎中尚未检测到被称为“ Doki ”的新恶意软件。
5. 攻击者正在使用受感染的受害者搜索其他易受攻击的云服务器。

介绍

Linux威胁变得越来越普遍。造成这种情况的一个因素是，对云环境的转移和依赖日益增加，而云环境主要基于Linux基础架构。因此，攻击者已经采用了专门为此基础结构设计的新工具和技术。

一种流行的技术是滥用配置错误的Docker API端口，攻击者在其中扫描可公开访问的Docker服务器，并利用它们来设置自己的容器并在受害者的基础设施上执行恶意软件。

Ngrok僵尸网络是利用Docker API端口进行的持续时间最长的攻击活动之一，之前由Netlab和Trend Micro的研究人员报道过。作为攻击的一部分，攻击者滥用Docker配置功能，以逃避标准容器限制并从主机执行各种恶意负载。他们还部署了网络扫描仪，并使用它扫描云提供商的IP范围，以查找其他潜在的易受攻击目标。我们的证据表明，从新配置错误的Docker服务器上线到感染此活动仅需几个小时。

最近，我们检测到一种新的恶意软件有效负载，该负载与通常在此攻击中部署的标准加密矿工不同。该恶意软件是一个完全未被发现的后门，我们将其命名为Doki。

Doki使用一种以前未记录的方法，以一种独特的方式滥用狗狗币加密货币区块链来联系其运营商，以便动态生成其C2域名地址。尽管VirusTotal公开提供了样本，但该恶意软件已成功躲藏了六个月以上。

在本文中，我们将介绍攻击并提供对未检测到的Doki后门实施的技术的详细分析。

…

更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1278/

消息来源：intezer，译者：叶绿体。
本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。