Qualsiasi dispositivo connesso alla rete può subire attacchi informatici. Stiamo parlando di computer, dispositivi mobili, server ... Oggi riecheggiamo Doc , un malware che colpisce Linux server che sono configurati male. Fa parte della campagna Ngrok Cryptominer Botnet, attiva dal 2018. Un nuovo problema che unisce tutte le minacce che colpiscono questo tipo di sistema.
Doki, un'altra minaccia per i server Linux
Come diciamo Doc è un malware che mette sotto controllo i server Linux. In particolare, si concentrano su Docker basati su cloud e mal configurati. In questo modo, gli hacker riescono a eseguire le loro minacce.
Uno degli aspetti che rende Doki particolarmente interessante è il suo comportamento dinamico su come si collega alla sua infrastruttura di comando e controllo. Non si fida di un particolare dominio o pool di IP dannosi, ma utilizza invece dinamico DNS servizi come DynDNS. Questo, insieme a un algoritmo di generazione di domini basato su blockchain unico, può generare e localizzare l'indirizzo di un server C2 in tempo reale.
Tieni presente che si tratta di un malware con un comportamento molto furtivo. In realtà, non è stato rilevato per più di sei mesi, nonostante sia stato inviato lo scorso gennaio al motore di analisi del malware VirusTotal.
Pochi antivirus rilevano la minaccia
Ad oggi, secondo VirusTotal , solo sei motori antivirus sono in grado di rilevare questa minaccia. Per eseguire gli attacchi, monitorano costantemente i Docker nel cloud con accesso a Internet. Finora, Shodan ha rivelato oltre 2,400 di questo tipo che eseguono Linux sull'infrastruttura Amazon AWS.
Ora, tieni presente che non tutti questi contenitori cloud saranno vulnerabili. Tuttavia sono un esempio di quelli che potrebbero essere sfruttati dagli hacker se lo fossero.
Una volta identificati, accessibili al pubblico Porte Docker , gli aggressori iniziano a generare le loro istanze cloud in questi ambienti e talvolta eliminano quelle esistenti.
Secondo i ricercatori della sicurezza, il vantaggio di utilizzare un'immagine pubblicamente disponibile è che l'attaccante non ha bisogno di nasconderla in Docker Hub o altre soluzioni di hosting. Invece, gli aggressori possono usare un'immagine esistente ed eseguire malware su di essa.
Usano servizi di terze parti per eseguire il payload, come abbiamo detto. Fa parte della campagna Botnet di Ngrok Cryptominer.
In breve, questo malware chiamato Doki può mettere a rischio server Linux configurati in modo errato. È sempre molto importante disporre di tutte le configurazioni necessarie per proteggere i nostri sistemi ed evitare di lasciare le apparecchiature esposte. Inoltre, sarà anche essenziale che vengano aggiornati correttamente. In molte occasioni sorgono vulnerabilità che possono essere sfruttate dai cyber criminali e possiamo evitarlo con le patch.