Badacze odkryli całkowicie niewykrywalne złośliwe oprogramowanie dla systemu Linux. Atakuje ono publicznie dostępne serwery Docker hostowane na popularnych platformach chmurowych, w tym AWS, Azure i Alibaba Cloud.
Nazwane Doki jest częścią kampanii kryptominera Ngrok, aktywnej od co najmniej 2018 roku. Hakerzy wykorzystują interfejs Docker API do wdrażania nowych serwerów wewnątrz infrastruktury chmurowej firmy. Serwery, na których działa wersja Alpine Linux, są następnie infekowane złośliwym oprogramowaniem typu cryptominer, ale także malware Doki.
Według naukowców Doki:
- został zaprojektowany do wykonywania poleceń otrzymywanych od operatorów,
- używa eksploratora bloków kryptowaluty Dogecoin do dynamicznego generowania swojej domeny C2 w czasie rzeczywistym
- wykorzystuje bibliotekę embedTLS do funkcji kryptograficznych i komunikacji sieciowej,
- tworzy unikalne adresy URL o krótkim czasie życia i używa ich do pobierania ładunków w trakcie ataku.
Doki, w przeciwieństwie do innych malware, nie polega na określonej domenie czy zestawie złośliwych adresów IP. Korzysta z dynamicznych usług DNS, takich jak DynDNS, a w połączeniu z unikalnym algorytmem generowania domeny (Domain Generation Algorithms – DGA) opartym na łańcuchu bloków, może generować i lokalizować adres swojego serwera C2 w czasie rzeczywistym i korzystać z ataków typu “phone home”.
Atakującym udało się również złamać zabezpieczenia hostów i połączyć nowo utworzone kontenery z katalogiem głównym serwera, umożliwiając im dostęp i możliwość modyfikowania dowolnych plików w systemie. Osoba atakująca może więc kontrolować narzędzie cron hosta, a nawet przejąć kontrolę nad całą infrastrukturą ofiary.
Szkodliwe oprogramowanie wykorzystuje również zainfekowane systemy do dalszego skanowania sieci w poszukiwaniu portów powiązanych z Redis, Docker, SSH i HTTP, przy użyciu narzędzia skanującego, takiego jak zmap, zgrap i jq.
Doki pozostawał w ukryciu przez ponad sześć miesięcy, mimo tego, że został zgłoszony do VirusTotal (serwisu skanującego zagrożenia) w styczniu 2020 roku i wielokrotnie skanowany. Zaskakujący jest również fakt, że nadal nie znajduje go żaden z 61 najlepszych silników do wykrywania złośliwego oprogramowania. Według VirusTotal tylko sześć programów antywirusowych określa jego próbkę jako złośliwą.
Użytkownikom i organizacjom, które uruchamiają instancje Dockera, zaleca się, aby nie ujawniali interfejsów Docker API w Internecie. Jeżeli musisz to zrobić, upewnij się,że jest on dostępny tylko w zaufanej sieci lub VPN i wyłącznie dla zaufanych użytkowników.
Zapoznaj się również z najlepszymi praktykami w zakresie bezpieczeństwa Dockera tutaj.