Každé zařízení připojené k síti může být vystaveno kybernetickým útokům. Mluvíme o počítačích, mobilních zařízeních, serverech ... Dnes se ozýváme Doki , malware, který ovlivňuje Linux servery které jsou špatně nakonfigurovány. Je součástí kampaně Ngrok Cryptominer Botnet, která je aktivní od roku 2018. Nový problém, který spojuje všechny hrozby, které ovlivňují tento typ systému.
Doki, další hrozba pro servery Linux
Jak říkáme, Doki je malware, který kontroluje servery Linux. Konkrétně se zaměřují na cloudové a špatně konfigurované doky. Tímto způsobem se hackerům podaří provést jejich hrozby.
Jedním z aspektů, které činí Doki obzvláště zajímavým, je jeho dynamické chování o tom, jak se připojuje ke své velitelské a řídící infrastruktuře. Nedůvěřuje konkrétní doméně nebo škodlivému fondu IP, ale místo toho používá dynamické DNS služby jako DynDNS. To spolu s jedinečným algoritmem generování domén založeným na blockchainu může generovat a lokalizovat adresu serveru C2 v reálném čase.
Mějte na paměti, že se jedná o malware s velmi tajným chováním. Ve skutečnosti nebyl detekován déle než šest měsíců, přestože byl odeslán loni v lednu do modulu pro analýzu malwaru VirusTotal.
Jen málo antivirů detekuje hrozbu
Jak dnes, podle VirusTotal , tuto hrozbu dokáže detekovat pouze šest antivirových modulů. Aby provedli útoky, neustále sledují doky v cloudu s přístupem na internet. Doposud Shodan odhalil více než 2,400 XNUMX tohoto typu se systémem Linux na Amazonské AWS infrastruktuře.
Nyní mějte na paměti, že ne všechny tyto cloudové kontejnery budou zranitelné. Jsou však příkladem těch, které by hackeři mohli využít, kdyby byli.
Jakmile se identifikují veřejně přístupné Docker porty , útočníci v těchto prostředích začnou generovat své cloudové instance a někdy odstraní stávající.
Podle výzkumníků v oblasti bezpečnosti je výhodou použití veřejně dostupného obrazu to, že jej útočník nemusí skrýt v Docker Hubu nebo jiných řešeních hostování. Útočníci mohou místo toho použít existující obraz a spustit na něm malware.
Jak jsme již zmínili, používají ke spuštění užitečného zatížení služby třetích stran. Je součástí kampaně Ngrok Cryptominer Botnet.
Stručně řečeno, tohle malware s názvem Doki může ohrozit nesprávně nakonfigurované servery Linux. Vždy je důležité mít k dispozici veškerou nezbytnou konfiguraci, která chrání naše systémy a zabraňuje vystavení zařízení. Kromě toho bude nezbytné, aby byly správně aktualizovány. V mnoha případech se objevují zranitelnosti, které mohou kybernetičtí zločinci zneužít, a tomu se můžeme vyhnout pomocí záplat.