跳转到帖子
  • 游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

    赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

    TheHackerWorld官方

注意容器安全:Doki 感染云中的 Docker 服务器


HACK1949

推荐的帖子

主要发现

  1. Ngrok Mining Botnet是一个活跃的活动,目标是AWS、Azure和其他云平台中公开的Docker服务器,它已经活跃了至少两年。
  2. 我们检测到了最近的一次攻击,其中包括使用区块链钱包生成C&C域名的完全未检测到的Linux恶意软件和以前未记录的技术。
  3. 任何具有公开开放的Docker API访问权限的人都有可能在短短几个小时内被黑客入侵。这很可能是由于黑客对脆弱的受害者进行了自动且连续的全互联网扫描所致。
  4. 自2020年1月14日首次分析以来,VirusTotal的60个恶意软件检测引擎中尚未检测到被称为“ Doki ”的新恶意软件。
  5. 攻击者正在使用受感染的受害者搜索其他易受攻击的云服务器。

介绍

Linux威胁变得越来越普遍。造成这种情况的一个因素是,对云环境的转移和依赖日益增加,而云环境主要基于Linux基础架构。因此,攻击者已经采用了专门为此基础结构设计的新工具和技术。

一种流行的技术是滥用配置错误的Docker API端口,攻击者在其中扫描可公开访问的Docker服务器,并利用它们来设置自己的容器并在受害者的基础设施上执行恶意软件。

Ngrok僵尸网络是利用Docker API端口进行的持续时间最长的攻击活动之一,之前由Netlab和Trend Micro的研究人员报道过。作为攻击的一部分,攻击者滥用Docker配置功能,以逃避标准容器限制并从主机执行各种恶意负载。他们还部署了网络扫描仪,并使用它扫描云提供商的IP范围,以查找其他潜在的易受攻击目标。我们的证据表明,从新配置错误的Docker服务器上线到感染此活动仅需几个小时。

最近,我们检测到一种新的恶意软件有效负载,该负载与通常在此攻击中部署的标准加密矿工不同。该恶意软件是一个完全未被发现的后门,我们将其命名为Doki。

Doki使用一种以前未记录的方法,以一种独特的方式滥用狗狗币加密货币区块链来联系其运营商,以便动态生成其C2域名地址。尽管VirusTotal公开提供了样本,但该恶意软件已成功躲藏了六个月以上。

在本文中,我们将介绍攻击并提供对未检测到的Doki后门实施的技术的详细分析。

 

 

更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1278/

 

 

 

消息来源:intezer,译者:叶绿体。
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。

链接帖子
意见的链接
分享到其他网站

黑客攻防讨论组

黑客攻防讨论组

    You don't have permission to chat.
    • 最近浏览   0位会员

      • 没有会员查看此页面。
    ×
    ×
    • 创建新的...