虽然Linux 恶意软件曾位于恶意软件生态系统的边缘位置,但如今每周都会发现新型 Linux 威胁。
Intezer 实验室发布报告称发现了一种新型后门木马 Doki,它是专门攻击web 服务器挖掘密币的老牌威胁组织 Ngrok弹药库的一部分。Ngrok 组织至少活跃于2018年末。研究人员表示,Ngrok 威胁组织在今年发动的攻击活动中针对的是管理 API 遭暴露的 Docker 安装程序。黑客滥用 Docker API 在企业云基础设施中部署新服务器。这些服务器运行在 Alpine Linux 的某个版本上,它们不仅遭挖矿恶意软件感染还遭 Doki 感染。
研究人员表示,Doki 的目的是允许黑客控制新部署的 Alpine Linux 服务器,确保密币挖掘操作如预期运行。然而,虽然 Doki 的目的和用途看似寻常,但他不同于其它类似的后门木马。最显著的一点就是 Doki 判断用于连接以获取新指令的 C2服务器 URL 的方法。虽然一些恶意软件连接到包含在源代码中的原始 IP 地址或硬编码 URL,但 Doki 用的是一种动态算法 DGA,使用 Dogecoin API 判断 C2 地址。研究人员逆向分析了该过程的详情,如下:请求 dogechain.info API(Dogecoin 密币拦截资源管理器),因为硬编码钱包地址发出的值受攻击者控制。请求格式为:https://dogechain.info/api/v1/address/sent/{address}。
在“sent”返回的值上执行 SHA256 机制。
保存 SHA256 十六进制字符表示的前12个字符作为子域名。
将该子域名当作 ddns.net 的后缀添加,构建完整地址。示例域名如 6d77335c4f23[.]ddns[.]net。
以上所有步骤说明,Doki 的创建者 Ngrok 团伙可以通过从 Dogecoin 钱包内的一次交易获取命令,更改服务器。如果 DynDNS(ddns.net) 收到关于当前 Doki C&CURL 的滥用报告并将其端掉,那么 Ngrok 团伙只需进行一次新的交易即可,进而判断子域名值并设立 DynDNS 新账户并获取子域名。该机制非常狡猾,而且能够有效地阻止执法部门端掉 Doki 后端基础设施,因为执法部门需要控制 Ngrok 团伙的 Dogecoin 钱包,但如果不知道钱包密钥则不可能办到。研究人员表示,从提交给 VirusTotal web扫描器的样本来看,Doki 似乎出现于今年1月份。然而,尽管已出现半年多,VirusTotalLinux 扫描引擎中的大部分引擎仍然无法检测到它。
另外,虽然 Doki 恶意软件 C&C 机制狡猾且具有创新性,但真正的威胁是针对 Docker 服务器的持续攻击。数月以来,Docker 服务器一直遭到恶意软件操纵者的攻击,尤其是收到密闭挖掘团伙的攻击。就在上个月,网络安全公司说明了多起不同的密币挖掘攻击活动,它们瞄准配置错误的 Docker API,部署新的 Linux 服务器运行挖币恶意软件,利用受害者的基础设施牟利。Palo Alto Networks、Aqua 和趋势科技公司报告了多起攻击活动,黑客利用 Docker 服务器安装 DDoS 恶意软件,这是少有的未用于挖币 payload 的案例。总言之,将 Docker 用作云虚拟化软件的企业需要确保管理接口的 API 未被暴露在互联网上,以免这个微小的配置不当问题导致第三方控制Docker安装。Intezer 在报告中具体提到了上述问题,警告称 Ngrok 团伙的攻击性非常强而且扫描活动具有持久性,它通常会在 Docker 服务器被暴露在互联网上的几个小时内部署恶意软件。https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/
https://www.zdnet.com/article/new-linux-malware-uses-dogecoin-api-to-find-c-c-server-addresses/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~