Tout appareil connecté au réseau peut subir des cyberattaques. On parle d'ordinateurs, d'appareils mobiles, de serveurs… Aujourd'hui on se fait l'écho Doki , un malware qui affecte Linux/Unix serveurs qui sont mal configurés. Il fait partie de la campagne Ngrok Cryptominer Botnet, active depuis 2018. Un nouveau problème qui rejoint toutes les menaces qui affectent ce type de système.
Doki, une menace de plus pour les serveurs Linux
Comme on dit, Doki est un malware qui met les serveurs Linux en échec. Plus précisément, ils se concentrent sur les Dockers basés sur le cloud et mal configurés. De cette manière, les pirates parviennent à exécuter leurs menaces.
L'un des aspects qui rend Doki particulièrement intéressant est son comportement dynamique concernant la façon dont il se connecte à son infrastructure de commande et de contrôle. Il ne fait pas confiance à un domaine particulier ou à un pool d'adresses IP malveillantes, mais utilise à la place des DNS services comme DynDNS. Ceci, associé à un algorithme de génération de domaine unique basé sur la blockchain, peut générer et localiser l'adresse d'un serveur C2 en temps réel.
Gardez à l'esprit qu'il s'agit d'un malware au comportement très furtif. En fait, il n'a pas été détecté depuis plus de six mois, malgré le fait qu'il ait été envoyé en janvier dernier au moteur d'analyse de virus VirusTotal.
Peu d'antivirus détectent la menace
À partir d'aujourd'hui, selon VirusTotal , seuls six moteurs antivirus sont capables de détecter cette menace. Pour mener à bien les attaques, ils suivent en permanence les Dockers dans le cloud avec un accès Internet. Jusqu'à présent, Shodan a révélé plus de 2,400 de ce type exécutant Linux sur l'infrastructure Amazon AWS.
Maintenant, gardez à l'esprit que tous ces conteneurs cloud ne seront pas vulnérables. Cependant, ils sont un exemple de ceux qui pourraient être exploités par des pirates s'ils l'étaient.
Une fois qu'ils identifient accessible au public Ports Docker , les attaquants commencent à générer leurs instances cloud dans ces environnements, et parfois suppriment celles existantes.
Selon les chercheurs en sécurité, l'avantage d'utiliser une image accessible au public est que l'attaquant n'a pas besoin de la cacher dans Docker Hub ou d'autres solutions d'hébergement. Au lieu de cela, les attaquants peuvent utiliser une image existante et y exécuter des logiciels malveillants.
Ils utilisent des services tiers pour exécuter la charge utile, comme nous l'avons mentionné. Il fait partie de la campagne Ngrok Cryptominer Botnet.
Bref, ce malware appelé Doki peut mettre en danger les serveurs Linux mal configurés. Il est toujours très important d'avoir toute la configuration nécessaire pour protéger nos systèmes et éviter de laisser les équipements exposés. De plus, il sera également essentiel qu'ils soient correctement mis à jour. Dans de nombreuses occasions, des vulnérabilités surviennent et peuvent être exploitées par des cybercriminels et nous pouvons éviter cela avec des correctifs.
