Các nhà nghiên cứu an ninh mạng ngày nay đã phát hiện ra một phần mềm độc hại Linux không thể phát hiện khai thác các kỹ thuật không có giấy tờ để ở dưới radar và nhắm mục tiêu các máy chủ Docker có thể truy cập công khai được lưu trữ với các nền tảng đám mây phổ biến, bao gồm AWS, Azure và Alibaba Cloud.
Docker là một giải pháp nền tảng phổ biến (PaaS) dành cho Linux và Windows được thiết kế để giúp các nhà phát triển dễ dàng tạo, kiểm tra và chạy các ứng dụng của họ trong một môi trường tách biệt gọi là container.
Theo nghiên cứu mới nhất của Intezer chia sẻ với The Hacker News, một chiến dịch botnet khai thác Ngrok đang diễn ra đang quét Internet để tìm các điểm cuối API Docker bị định cấu hình sai và đã lây nhiễm nhiều máy chủ dễ bị tấn công bằng phần mềm độc hại mới.
Mặc dù botnet khai thác Ngrok đã hoạt động trong hai năm qua, chiến dịch mới chủ yếu tập trung vào việc kiểm soát các máy chủ Docker bị định cấu hình sai và khai thác chúng để thiết lập các thùng chứa độc hại với tiền điện tử chạy trên cơ sở hạ tầng của nạn nhân.
Được mệnh danh là ‘Doki, ‘phần mềm độc hại đa luồng mới tận dụng “một phương pháp không có giấy tờ để liên hệ với nhà điều hành của nó bằng cách lạm dụng chuỗi khối tiền điện tử Dogecoin theo cách duy nhất để tự động tạo địa chỉ tên miền C2 mặc dù các mẫu có sẵn công khai trong VirusTotal.”
Theo các nhà nghiên cứu, phần mềm độc hại:
- đã được thiết kế để thực thi các lệnh nhận được từ các toán tử của nó,
- sử dụng trình khám phá khối tiền điện tử Dogecoin để tạo miền C2 theo thời gian thực một cách linh hoạt,
- sử dụng thư viện embedTLS cho các chức năng mã hóa và giao tiếp mạng,
- tạo các URL duy nhất với thời gian tồn tại ngắn và sử dụng chúng để tải trọng tải trong cuộc tấn công.
“Phần mềm độc hại sử dụng dịch vụ DynDNS và Thuật toán tạo miền duy nhất (DGA) dựa trên chuỗi khối tiền điện tử Dogecoin để tìm tên miền của C2 trong thời gian thực.”
Bên cạnh đó, những kẻ tấn công đằng sau chiến dịch mới này cũng đã tìm cách thỏa hiệp các máy chủ bằng cách ràng buộc các container mới được tạo với thư mục gốc của máy chủ, cho phép chúng truy cập hoặc sửa đổi bất kỳ tệp nào trên hệ thống.
“Bằng cách sử dụng cấu hình liên kết, kẻ tấn công có thể kiểm soát tiện ích cron của máy chủ. Kẻ tấn công sửa đổi cron của máy chủ để thực hiện tải trọng được tải xuống mỗi phút.”
“Cuộc tấn công này rất nguy hiểm do thực tế kẻ tấn công sử dụng các kỹ thuật thoát khỏi container để giành quyền kiểm soát hoàn toàn cơ sở hạ tầng của nạn nhân.”
Sau khi hoàn tất, phần mềm độc hại cũng tận dụng các hệ thống bị xâm nhập để quét thêm mạng cho các cổng được liên kết với Redis, Docker, SSH và HTTP, sử dụng công cụ quét như zmap, zgrap và jq.
Doki đã cố gắng ở dưới radar hơn sáu tháng mặc dù đã được tải lên VirusTotal vào ngày 14 tháng 1 năm 2020 và được quét nhiều lần kể từ đó. Đáng ngạc nhiên, tại thời điểm viết, nó vẫn không bị phát hiện bởi bất kỳ trong số 61 công cụ phát hiện phần mềm độc hại hàng đầu.
Phần mềm container nổi bật nhất đã được nhắm mục tiêu lần thứ hai trong một tháng. Cuối tháng trước, các tác nhân độc hại đã được tìm thấy nhắm mục tiêu các điểm cuối API Docker bị phơi bày và tạo ra các hình ảnh bị nhiễm phần mềm độc hại để tạo điều kiện cho các cuộc tấn công DDoS và khai thác tiền điện tử.
Người dùng và tổ chức chạy phiên bản Docker được khuyến cáo không để lộ API của docker với Internet, nhưng nếu bạn vẫn cần, hãy đảm bảo rằng nó chỉ có thể truy cập được từ một mạng hoặc VPN đáng tin cậy và chỉ cho người dùng đáng tin cậy kiểm soát trình nền Docker của bạn.
Nếu bạn quản lý Docker từ máy chủ web để cung cấp các thùng chứa thông qua API, bạn nên cẩn thận hơn bình thường với việc kiểm tra tham số để đảm bảo rằng người dùng độc hại không thể truyền các tham số được tạo ra khiến Docker tạo các thùng chứa tùy ý.
Tuân thủ tốt nhất Thực hành bảo mật Docker đây.
