بدافزار غیرقابل تشخیص لینوکس docker را توسط API ها مورد هدف قرار میدهد

 

محققان فضای مجازی امروز یک بدافزار کاملاً غیر قابل کشف لینوکس را کشف کردند که از تکنیک های غیرمستقیم برای ماندن در زیر رادار استفاده می کند و سرورهای Docker را در دسترس عموم قرار می دهد که دارای سیستم عامل های ابری مشهور از جمله AWS ، Azure و Alibaba Cloud هستند.

Docker یک راه حل محبوب به عنوان یک سرویس (PaaS) برای لینوکس و ویندوز است که به منظور ایجاد و آزمایش و اجرای برنامه های خود در یک محیط آزاد و جدا شده به نام یک کانتینر برای برنامه نویسان آسانتر است.

طبق جدیدترین تحقیق Intezer که با The Hacker News به اشتراک گذاشته شده است ، یک کمپین در حال انجام کار با معدن Ngrok در حال جستجو در اینترنت برای نقاط پایانی API Docker سوءاستفاده شده است و در حال حاضر بسیاری از سرورهای آسیب پذیر را با بدافزارهای جدید آلوده کرده است.

در حالی که بوت نت استخراج Ngrok برای دو سال گذشته فعال است ، کمپین جدید در درجه اول روی کنترل کنترل سرورهای Docker سوءاستفاده و بهره برداری از آنها برای تنظیم ظروف مخرب با رمزنگاری هایی که در زیرساخت قربانیان کار می کنند متمرکز شده است.

با نام “Doki” ، اهرم های بدافزار چند رشته ای “روشی بدون سند برای تماس با اپراتور خود با سوء استفاده از blockchain رمزنگاری رمزنگاری Dogecoin به روشی منحصر به فرد به منظور تولید پویا آدرس دامنه C2 خود را با وجود نمونه هایی که در دسترس عموم است در VirusTotal”.

docker-malware-attack

طبق گفته محققان ، این بدافزار: طراحی شده است برای اجرای دستورات دریافت شده از اپراتورهای خود ، از یک اکسپلورر بلوک رمزنگاری رمزنگاری Dogecoin برای تولید دامنه C2 آن در زمان واقعی به صورت پویا استفاده می کند ، از کتابخانه embedTLS برای توابع رمزنگاری و ارتباطات شبکه استفاده می کند ، URL های منحصر به فردی را با طول عمر کوتاه ایجاد کرده و از آنها برای بارگیری بارهای پرداخت در طول حمله استفاده می کند.

“این بدافزار از سرویس DynDNS و الگوریتم منحصر به فرد تولید دامنه (DGA) مبتنی بر blockchain Dogecoin cryptocurrency استفاده می کند تا بتواند دامنه C2 خود را در زمان واقعی پیدا کند.”

علاوه بر این ، مهاجمان در پشت این کمپین جدید نیز با اتصال کانتینرهای تازه ایجاد شده با دایرکتوری ریشه سرور ، موفق به به خطر انداختن ماشینهای میزبان شده اند و به آنها امکان دسترسی یا اصلاح هر پرونده بر روی سیستم را می دهند.

“با استفاده از پیکربندی اتصال ، حمله کننده می تواند ابزارهای خبری میزبان را کنترل کند. مهاجم Cron میزبان را اصلاح می کند تا بار بارگیری شده را در هر دقیقه اجرا کند.”

“این حمله به دلیل این واقعیت است که مهاجم از تکنیک های فرار از کانتینر برای به دست آوردن کنترل کامل زیرساخت های مقتول استفاده می کند بسیار خطرناک است.”

پس از اتمام کار ، این بدافزار همچنین از سیستم های به خطر افتاده برای اسکن بیشتر شبکه برای درگاه های مرتبط با Redis ، Docker ، SSH و HTTP استفاده می کند و از یک ابزار اسکن مانند zmap ، zgrap و jq استفاده می کند.

دوکی با وجود اینکه در ۱۴ ژانویه سال ۲۰۲۰ در VirusTotal بارگذاری شد ، توانست بیش از شش ماه در زیر رادار بماند و از آن زمان چندین بار اسکن کرد. جای تعجب است که در زمان نوشتن ، هنوز هم توسط هر یک از ۶۱ موتور برتر شناسایی بدافزار قابل کشف نیست.

برجسته ترین نرم افزار کانتینر برای بار دوم طی یک ماه مورد هدف قرار گرفته است. در اواخر ماه گذشته ، بازیگران مخرب با هدف قرار دادن نقاط پایانی Docker API و تصاویر آلوده به بدافزارها برای تسهیل حملات DDoS و رمزنگاری مین دستگیر شدند.

به کاربران و سازمانهایی که موارد Docker را اجرا می کنند ، توصیه می شود API های docker را در اینترنت قرار ندهید ، اما اگر هنوز هم نیاز دارید ، اطمینان حاصل کنید که فقط از یک شبکه قابل اعتماد یا VPN قابل دسترسی است و فقط به کاربران قابل اعتماد برای کنترل Demon Demon خود دسترسی داشته باشید.

اگر Docker را از طریق یک API برای تهیه ظروف از طریق API مدیریت می کنید ، باید با چک کردن پارامترها حتی بیشتر از حد معمول نیز دقت کنید تا اطمینان حاصل شود که کاربر مخرب نمی تواند پارامترهای دستکاری شده را ایجاد کند و باعث ایجاد Docker ظروف دلخواه شود.