Elk apparaat dat op het netwerk is aangesloten, kan cyberaanvallen ondergaan. We hebben het over computers, mobiele apparaten, servers ... Vandaag echoën we Doki , een malware die van invloed is Linux servers die slecht geconfigureerd zijn. Het maakt deel uit van de Ngrok Cryptominer Botnet-campagne, die actief is sinds 2018. Een nieuw probleem dat zich voegt bij alle bedreigingen die dit type systeem treffen.
Doki, nog een bedreiging voor Linux-servers
Zoals we zeggen, Doki is een malware die Linux-servers onder controle houdt. Ze richten zich met name op cloudgebaseerde en slecht geconfigureerde Dockers. Op deze manier slagen hackers erin hun bedreigingen uit te voeren.
Een van de aspecten die Doki bijzonder interessant maakt, is de dynamisch gedrag over hoe het verbinding maakt met zijn command and control-infrastructuur. Het vertrouwt een bepaald domein of een kwaadaardige IP-pool niet, maar gebruikt in plaats daarvan dynamisch DNS diensten zoals DynDNS. Dit, in combinatie met een uniek algoritme voor het genereren van domeinen op basis van blockchain, kan het adres van een C2-server in realtime genereren en lokaliseren.
Houd er rekening mee dat het malware is met zeer onopvallend gedrag. In feite is het al meer dan zes maanden niet gedetecteerd, ondanks het feit dat het afgelopen januari naar de VirusTotal-malwareanalyse-engine is gestuurd.
Er zijn maar weinig antivirusprogramma's die de bedreiging detecteren
Vanaf vandaag, volgens VirusTotal kunnen slechts zes antivirus-engines deze bedreiging detecteren. Om de aanvallen uit te voeren, volgen ze Dockers constant in de cloud met internettoegang. Tot dusver heeft Shodan meer dan 2,400 van dit type met Linux op de Amazon AWS-infrastructuur onthuld.
Houd er nu rekening mee dat niet al deze cloudcontainers kwetsbaar zullen zijn. Ze zijn echter een voorbeeld van degenen die zouden kunnen worden misbruikt door hackers als ze dat wel waren.
Zodra ze zich openbaar toegankelijk identificeren Docker-poorten , beginnen aanvallers hun cloudinstanties in deze omgevingen te genereren en verwijderen ze soms bestaande.
Volgens beveiligingsonderzoekers is het voordeel van het gebruik van een openbaar beschikbare afbeelding dat de aanvaller deze niet hoeft te verbergen in Docker Hub of andere hostingoplossingen. In plaats daarvan kunnen aanvallers een bestaande afbeelding gebruiken en er malware op uitvoeren.
Ze gebruiken services van derden om de payload uit te voeren, zoals we al hebben vermeld. Het maakt deel uit van de Ngrok Cryptominer Botnet-campagne.
Kort gezegd, dit malware genaamd Doki kan verkeerd geconfigureerde Linux-servers in gevaar brengen. Het is altijd erg belangrijk om alle noodzakelijke configuratie te hebben om onze systemen te beschermen en te voorkomen dat de apparatuur onbedekt blijft. Daarnaast is het ook essentieel dat ze correct worden bijgewerkt. Vaak ontstaan er kwetsbaarheden die door cybercriminelen kunnen worden uitgebuit en dat kunnen we met patches voorkomen.