研究人員發(fā)現(xiàn)一款利用無文件技術(shù)繞過檢測的Linux惡意軟件

Intezer研究人員發(fā)現(xiàn)一款利用無文件技術(shù)來繞過檢測的Linux惡意軟件——Doki。自2020年1月14日上傳到VirusTotal后，先后有60個惡意軟件檢測引擎對其就進行了檢測分析。Doki 成功繞過了這些引擎的檢測，其攻擊的目標主要是公有云平臺上的Docker服務(wù)器，包括AWS、Azure和阿里云。Docker是Linux和Windows平臺的一種PaaS 解決方案，開發(fā)者利用它可以在隔離的容器環(huán)境中創(chuàng)建、測試和運行應(yīng)用。

樣本地址：

https://www.virustotal.com/gui/file/4aadb47706f0fe1734ee514e79c93eed65e1a0a9f61b63f3e7b6367bd9a3e63b/detection

Intezer研究人員發(fā)現(xiàn)Ngrok 挖礦僵尸網(wǎng)絡(luò)正在掃描互聯(lián)網(wǎng)上錯誤配置的Docker API端點，并用新的惡意軟件來感染有漏洞的服務(wù)器。Ngrok僵尸網(wǎng)絡(luò)已經(jīng)活躍了2年的時間，本次攻擊活動主要針對錯誤配置的Docker服務(wù)器，并在受害者基礎(chǔ)設(shè)施上搭建進行加密貨幣挖礦的惡意容器。

Doki是一款多線程的惡意軟件，使用了Dogecoin區(qū)塊鏈以一種動態(tài)的方式在生成C2域名地址實現(xiàn)了與運營者通信的無文件方法。Doki惡意軟件的功能包括：

執(zhí)行從運營者處接收的命令;

使用Dogecoin 區(qū)塊鏈瀏覽器來實時、動態(tài)地生成其C2域名;

使用embedTLS庫用于加密和網(wǎng)絡(luò)通信;

構(gòu)造短期有效的URL，并使用這些URL來下載payload。

惡意軟件使用了DynDNS 服務(wù)和基于Dogecoin區(qū)塊鏈的域名生成方法來找出實時的C2域名。此外，攻擊活動背后的攻擊者通過將服務(wù)器的root目錄與新創(chuàng)建的容器綁定成功入侵了host機器，可以訪問和修改系統(tǒng)中的任意文件。通過使用bind配置，攻擊者可以控制主機的cron工具。修改主機的cron后就可以每分鐘執(zhí)行一次下載的payload。

由于攻擊者可以利用容器逃逸技術(shù)完全控制受害者的基礎(chǔ)設(shè)施，因為攻擊非常危險。一旦安裝成功，Doki既可以利用被入侵的系統(tǒng)來掃描與Redis、Docker、 SSH、 HTTP相關(guān)的端口。

第一個Doki樣本是2020年1月14日上傳到VirusTotal的，截止目前，61個頂級的惡意軟件檢測引擎都無法成功檢測出Doki。也就是說，過去6個月，用戶和研究人員對Doki的惡意活動是完全無感知的。

Docker是最主流的容器軟件，這也是一個月內(nèi)Docker第二次成為攻擊的目標。上個月，研究人員就發(fā)現(xiàn)攻擊者利用暴露的Docker API終端和偽造的圖像來發(fā)起DDoS攻擊和進行加密貨幣挖礦。

研究人員建議運行Docker實例的用戶和企業(yè)不要暴露Docker API到互聯(lián)網(wǎng)，如果必須要暴露的話，建議使用可信網(wǎng)絡(luò)或虛擬專用網(wǎng)，并設(shè)置只允許可信用戶控制Docker daemon。如果是通過API來管理Docker，建議進行參數(shù)檢查來確保惡意用戶無法傳遞惡意參數(shù)導(dǎo)致Docker創(chuàng)建任意容器。