Jokainen verkkoon kytketty laite voi kärsiä verkkohyökkäyksistä. Puhumme tietokoneista, mobiililaitteista, palvelimista ... Tänään kaikuu Telakat , haittaohjelma, joka vaikuttaa Linux palvelimet jotka on määritetty huonosti. Se on osa Ngrok Cryptominer Botnet -kampanjaa, joka on ollut aktiivinen vuodesta 2018. Uusi ongelma liittyy kaikkiin tämän tyyppisiin järjestelmiin vaikuttaviin uhkiin.
Doki, vielä yksi uhka Linux-palvelimille
Kuten sanomme, Telakat on haittaohjelma, joka asettaa Linux-palvelimet tarkistukseen. Erityisesti he keskittyvät pilvipohjaisiin ja huonosti konfiguroituihin Dockers-palveluihin. Tällä tavoin hakkerit onnistuvat toteuttamaan uhkansa.
Yksi niistä näkökohdista, jotka tekevät Dokista erityisen mielenkiintoisen, on sen dynaaminen käyttäytyminen siitä, miten se muodostaa yhteyden johto- ja ohjausinfrastruktuuriinsa. Se ei luota tiettyyn verkkotunnukseen tai haitalliseen IP-pooliin, vaan käyttää dynaamista DNS palvelut, kuten DynDNS. Tämä yhdistettynä ainutlaatuiseen lohkoketjuun perustuvaan verkkotunnuksen luontialgoritmiin voi luoda ja paikantaa C2-palvelimen osoitteen reaaliajassa.
Muista, että kyseessä on haittaohjelma, jolla on erittäin salaa käyttäytymistä. Itse asiassa sitä ei ole havaittu yli kuuden kuukauden ajan, huolimatta siitä, että se lähetettiin viime tammikuussa VirusTotal-haittaohjelman analysointimoottorille.
Harva antivirus havaitsee uhan
Tänään, mukaan VirusTotal , vain kuusi virustentorjuntamoottoria pystyy tunnistamaan tämän uhan. Hyökkäysten toteuttamiseksi he seuraavat jatkuvasti pilvessä olevia Internet-yhteyshakejia. Toistaiseksi Shodan on paljastanut yli 2,400 XNUMX tämän tyyppistä Linuxia Amazon AWS -infrastruktuurissa.
Nyt muista, että kaikki nämä pilvisäiliöt eivät tule olemaan haavoittuvia. Ne ovat kuitenkin esimerkkejä niistä, joita hakkerit voisivat hyödyntää, jos ne olisivat.
Kun he ovat tunnistaneet julkisesti saatavana olevan Telakkaportit , hyökkääjät alkavat tuottaa pilvi-ilmentymiään näissä ympäristöissä, ja joskus poistaa olemassa olevat.
Turvallisuustutkijoiden mukaan julkisesti saatavan kuvan käytön etuna on, että hyökkääjän ei tarvitse piilottaa sitä Docker Hubiin tai muihin isännöintiratkaisuihin. Sen sijaan hyökkääjät voivat käyttää olemassa olevaa kuvaa ja käyttää haittaohjelmia siinä.
He käyttävät hyötykuormaa kolmansien osapuolien palveluilla, kuten olemme jo todenneet. Se on osa Ngrok Cryptominer Botnet -kampanjaa.
Lyhyesti sanottuna tämä haittaohjelma nimeltään Doki voi vaarantaa väärin määritetyt Linux-palvelimet. Aina on erittäin tärkeää, että meillä on kaikki tarvittavat kokoonpanot järjestelmien suojelemiseksi ja laitteiden paljastamisen välttämiseksi. Lisäksi on myös tärkeää, että ne päivitetään oikein. Usein esiintyy haavoittuvuuksia, joita verkkorikolliset voivat hyödyntää, ja voimme välttää tämän laastarilla.
