Orice dispozitiv conectat la rețea poate suferi atacuri cibernetice. Vorbim despre computere, dispozitive mobile, servere ... Astăzi facem ecou Docuri , un malware care afectează Linux servere care sunt slab configurate. Face parte din campania Ngrok Cryptominer Botnet, care este activă din 2018. O nouă problemă care se alătură tuturor amenințărilor care afectează acest tip de sistem.
Doki, încă o amenințare pentru serverele Linux
După cum spunem, Docuri este un malware care pune serverele Linux în verificare. Mai exact, acestea se concentrează pe Dockers bazate pe cloud și slab configurate. În acest fel, hackerii reușesc să își execute amenințările.
Unul dintre aspectele care îl fac pe Doki deosebit de interesant este comportament dinamic cu privire la modul în care se conectează la infrastructura sa de comandă și control. Nu are încredere într-un anumit domeniu sau într-un pool IP periculos, ci folosește în schimb dinamic DNS servicii precum DynDNS. Acest lucru, împreună cu un algoritm unic de generare a domeniului bazat pe blockchain, poate genera și localiza adresa unui server C2 în timp real.
Rețineți că este un malware cu un comportament foarte furtiv. De fapt, nu a fost detectat mai mult de șase luni, în ciuda faptului că a fost trimis în ianuarie anul trecut motorului de analiză malware VirusTotal.
Puține antivirus detectează amenințarea
În ziua de azi, conform VirusTotal , doar șase motoare antivirus sunt capabile să detecteze această amenințare. Pentru a efectua atacurile, ei urmăresc constant Dockers în cloud cu acces la Internet. Până în prezent, Shodan a dezvăluit peste 2,400 de acest tip care rulează Linux pe infrastructura Amazon AWS.
Acum, rețineți că nu toate aceste containere cloud vor fi vulnerabile. Cu toate acestea, acestea sunt un exemplu al celor care ar putea fi exploatate de hackeri dacă ar fi.
Odată identificate accesibile publicului Porturi de andocare , atacatorii încep să-și genereze instanțele cloud în aceste medii și uneori șterg cele existente.
Potrivit cercetătorilor de securitate, avantajul utilizării unei imagini disponibile public este că atacatorul nu are nevoie să o ascundă în Docker Hub sau în alte soluții de găzduire. În schimb, atacatorii pot utiliza o imagine existentă și pot rula malware pe ea.
Ei folosesc servicii terțe pentru a rula sarcina utilă, așa cum am menționat. Face parte din campania Botrok Cryptominer Botnet.
Pe scurt, aceasta malware numit Doki poate pune în pericol serverele Linux configurate greșit. Este întotdeauna foarte important să avem toată configurația necesară pentru a ne proteja sistemele și a evita lăsarea echipamentului expus. În plus, va fi esențial și actualizarea corectă a acestora. În multe ocazii apar vulnerabilități care pot fi exploatate de infractorii cibernetici și putem evita acest lucru cu patch-uri.
