新型 Linux 惡意軟件 Doki 出現,它使用 Dogecoin API 查找 C&C 服務器地址
安全研究人員發現了Doki,它是一個新的后門惡意軟件,用來針對Docker實例。
雖然Linux惡意軟件曾經處于惡意軟件生態系統的邊緣,但新的Linux威脅每周都在被發現。
最新的發現來自Intezer實驗室。在本周的一份報告中,該公司分析了一種新的后門木馬Doki,他們發現它是一種老的威脅行動者的一部分,這種老的威脅行動者以網絡服務器為目標進行密碼挖掘。
這個威脅行動者被稱為Ngrok,因為它最初喜歡使用Ngrok服務來托管控制和命令(C&C)服務器,它至少在2018年底就開始活躍了。
Intezer實驗室的研究人員說,在最近由Ngrok組織實施的攻擊中,黑客的目標是管理API在網上暴露的Docker安裝。
黑客濫用Docker API在公司的云基礎設施中部署新服務器。運行Alpine Linux版本的服務器隨后感染了加密惡意軟件,也感染了Doki。
DOKI如何使用DOGECOIN API
研究人員說,Doki的目的是讓黑客控制他們新部署的Alpine Linux服務器,以確保密碼挖掘行動按計劃進行。
然而,雖然它的目的和使用可能看起來平庸,在引線下,Intezer說Doki不同于其他類似的后門木馬。
最明顯的細節是Doki如何確定它需要為新指令連接的C&C服務器的URL。
當一些惡意軟件連接到原始IP地址或包含在其源代碼中的硬編碼的url時,Doki使用了一種動態算法——稱為DGA(域生成算法)——使用Dogecoin API來確定C&C地址。
這個過程由Intezer的研究人員進行逆向工程,具體如下:
- 查詢dogechain.info API,一個Dogecoin加密貨幣塊瀏覽器,因為valuet帽子是從一個由攻擊者控制的硬編碼錢包地址發送(花)的。查詢格式為:https://dogechain.info/api/v1/address/sent/{address}
- 對“sent”下面返回的值執行SHA256
- 將SHA256值的十六進制字符串表示形式中的前12個字符保存為子域。
- 通過將子域附加到ddns.net來構造完整的地址。一個例子域是:6d77335c4f23[.]ddns[.]net
以上所有步驟的意思是,Doki的創建者Ngrok gang可以通過在他們控制的一個Dogecoin錢包里做一筆交易來改變Doki獲取命令的服務器。
如果DynDNS (ddns.net)收到關于當前Doki C&C URL的濫用報告并將其刪除,Ngrok gang只需要做一個新的交易,確定子域名的值,并建立一個新的DynDNS帳戶并獲取子域名。
這個機制,雖然很聰明,也是一個有效的方式來防止執法部門破壞Doki后端基礎設施,因為他們需要控制Ngrok團伙的Dogecoin錢包,沒有錢包的密碼鑰匙是不可能實現的。
Intezer表示,根據提交給VirusTotal網絡掃描儀的樣本,Doki似乎從今年1月就已經存在了。然而,Intezer還指出,盡管已經存在了6個多月,但這種惡意軟件仍然沒有被大多數病毒掃描Linux引擎發現。
針對DOCKER實例的攻擊增加
此外,雖然Doki惡意軟件的C&C機制是聰明和新奇的,但真正的威脅是對Docker服務器的持續攻擊。
在過去的幾個月里,Docker服務器越來越多地成為了惡意軟件運營商的攻擊目標,特別是密碼挖掘團伙。
就在上個月,網絡安全公司詳細介紹了幾種不同的加密活動,針對配置不當的Docker api,部署新的Linux服務器,在服務器上運行加密惡意軟件,利用受害者的基礎設施獲利。
這包括來自Palo Alto Networks的報告和來自Aqua的兩份報告。此外,網絡安全公司趨勢科技(Trend Micro)也報道了一系列攻擊,黑客針對Docker服務器安裝DDoS惡意軟件,這是黑客沒有選擇加密挖掘有效載荷的罕見案例。
總而言之,這里的結論是,在云中作為虛擬化軟件運行Docker的公司需要確保管理界面的API不會暴露在互聯網上,一個小小的錯誤配置使得第三方能夠控制他們的Docker安裝。
在報告中,Intezer特別提到了這個問題,并警告說,Ngrok團伙在掃描和攻擊中非常具有侵略性,他們通常會在Docker服務器被在線曝光后的數小時內部署惡意軟件。
