Jedes Gerät, das mit dem Netzwerk verbunden ist, kann Cyber-Angriffen ausgesetzt sein. Wir sprechen über Computer, mobile Geräte, Server ... Heute wiederholen wir Doki , eine betroffene Malware Linux Server das sind schlecht konfiguriert. Es ist Teil der Ngrok Cryptominer Botnet-Kampagne, die seit 2018 aktiv ist. Ein neues Problem, das alle Bedrohungen zusammenfasst, die diese Art von System betreffen.
Doki, eine weitere Bedrohung für Linux-Server
Wie wir sagen, Doki ist eine Malware, die Linux-Server in Schach hält. Insbesondere konzentrieren sie sich auf Cloud-basierte und schlecht konfigurierte Docker. Auf diese Weise schaffen es Hacker, ihre Bedrohungen auszuführen.
Einer der Aspekte, die Doki besonders interessant machen, ist sein dynamisches Verhalten in Bezug darauf, wie es sich mit seiner Befehls- und Kontrollinfrastruktur verbindet. Es vertraut keiner bestimmten Domäne oder keinem bösartigen IP-Pool, sondern verwendet stattdessen dynamisch DNS Dienste wie DynDNS. In Verbindung mit einem einzigartigen Blockchain-basierten Domain-Generierungsalgorithmus kann dies die Adresse eines C2-Servers in Echtzeit generieren und lokalisieren.
Denken Sie daran, dass es sich um eine Malware mit sehr verstohlenem Verhalten handelt. Tatsächlich wurde es seit mehr als sechs Monaten nicht mehr erkannt, obwohl es im letzten Januar an die VirusTotal-Malware-Analyse-Engine gesendet wurde.
Nur wenige Antivirenprogramme erkennen die Bedrohung
Ab heute laut VirusTotal Nur sechs Antiviren-Engines können diese Bedrohung erkennen. Um die Angriffe auszuführen, verfolgen sie ständig Docker in der Cloud mit Internetzugang. Bisher hat Shodan mehr als 2,400 dieser Art unter Linux in der Amazon AWS-Infrastruktur vorgestellt.
Denken Sie jetzt daran, dass nicht alle dieser Cloud-Container anfällig sind. Sie sind jedoch ein Beispiel für diejenigen, die von Hackern ausgenutzt werden könnten, wenn sie es wären.
Sobald sie sich öffentlich zugänglich identifizieren Docker-Ports Angreifer beginnen in diesen Umgebungen mit der Generierung ihrer Cloud-Instanzen und löschen manchmal vorhandene.
Laut Sicherheitsforschern besteht der Vorteil der Verwendung eines öffentlich verfügbaren Images darin, dass der Angreifer es nicht in Docker Hub oder anderen Hosting-Lösungen verstecken muss. Stattdessen können Angreifer ein vorhandenes Image verwenden und Malware darauf ausführen.
Wie bereits erwähnt, verwenden sie Dienste von Drittanbietern, um die Nutzdaten auszuführen. Es ist Teil der Ngrok Cryptominer Botnet-Kampagne.
Kurz gesagt, das Malware namens Doki kann falsch konfigurierte Linux-Server gefährden. Es ist immer sehr wichtig, über alle erforderlichen Konfigurationen zu verfügen, um unsere Systeme zu schützen und zu vermeiden, dass die Geräte freigelegt werden. Darüber hinaus ist es wichtig, dass sie korrekt aktualisiert werden. In vielen Fällen treten Schwachstellen auf, die von Cyberkriminellen ausgenutzt werden können, und wir können dies mit Patches vermeiden.
