ネットワークに接続されているデバイスは、サイバー攻撃を受ける可能性があります。 私たちはコンピューター、モバイルデバイス、サーバーについて話している…今日私たちはエコー ドキ 、影響を与えるマルウェア Linux サーバ 構成が不十分です。 これは、2018年からアクティブになっているNgrok Cryptominerボットネットキャンペーンの一部です。このタイプのシステムに影響を与えるすべての脅威に加わる新たな問題。
Linuxサーバーに対するもうXNUMXつの脅威、ドキ
私たちが言うように、 ドキ Linuxサーバーをチェックするマルウェアです。 具体的には、クラウドベースで構成が不十分なDockerに焦点を当てています。 このようにして、ハッカーはなんとか脅威を実行します。
ドキを特に面白くする側面のXNUMXつは、 動的行動 コマンドアンドコントロールインフラストラクチャへの接続方法について。 特定のドメインや悪意のあるIPプールを信頼せず、代わりに動的を使用します DNS DynDNSのようなサービス。 これは、独自のブロックチェーンベースのドメイン生成アルゴリズムと組み合わせて、C2サーバーのアドレスをリアルタイムで生成および特定できます。
これは非常にステルス的な動作をするマルウェアであることを覚えておいてください。 実際、昨年XNUMX月にVirusTotalマルウェア分析エンジンに送信されたにもかかわらず、XNUMXか月以上検出されていません。
脅威を検出するウイルス対策はほとんどありません
本日現在、 VirusTotalの 、この脅威を検出できるウイルス対策エンジンは2,400つだけです。 攻撃を実行するために、彼らはインターネットアクセスでクラウド内のDockersを常に追跡しています。 これまでに、Shodanは、Amazon AWSインフラストラクチャでLinuxを実行しているこのタイプのXNUMX以上を明らかにしました。
ここで、これらのクラウドコンテナーのすべてが脆弱になるわけではないことを覚えておいてください。 ただし、ハッカーが悪用した場合の例です。
公的にアクセス可能なものを特定したら Dockerポート 、攻撃者はこれらの環境でクラウドインスタンスの生成を開始し、既存のインスタンスを削除することもあります。
セキュリティ研究者によると、公開されている画像を使用する利点は、攻撃者がDocker Hubまたは他のホスティングソリューションで画像を隠す必要がないことです。 その代わり、攻撃者は既存のイメージを使用してマルウェアを実行できます。
前述のように、サードパーティのサービスを使用してペイロードを実行します。 Ngrok Cryptominerボットネットキャンペーンの一部です。
要するに、これ Dokiと呼ばれるマルウェア 誤って構成されたLinuxサーバーを危険にさらす可能性があります。 私たちのシステムを保護し、機器を露出したままにしないようにするために必要なすべての構成を常に持っていることが非常に重要です。 さらに、それらが正しく更新されることも不可欠です。 多くの場合、サイバー犯罪者によって悪用される可能性のある脆弱性が発生し、パッチを使用してこれを回避できます。
