Alla enheter som är anslutna till nätverket kan drabbas av cyberattacker. Vi pratar om datorer, mobila enheter, servrar ... Idag ekar vi Doki , en skadlig kod som påverkar Linux servrar som är dåligt konfigurerade. Det är en del av Ngrok Cryptominer Botnet-kampanjen, som har varit aktiv sedan 2018. Ett nytt problem som sammanfogar alla hot som påverkar denna typ av system.
Doki, ytterligare ett hot mot Linux-servrar
Som vi säger, Doki är ett skadligt program som sätter Linux-servrar i schack. De fokuserar specifikt på molnbaserade och dåligt konfigurerade Dockers. På detta sätt lyckas hackare utföra sina hot.
En av de aspekter som gör Doki särskilt intressant är dess dynamiskt beteende om hur den ansluter till sin kommando- och kontrollinfrastruktur. Det litar inte på en viss domän eller skadlig IP-pool, men använder istället dynamisk DNS tjänster som DynDNS. Detta tillsammans med en unik blockchain-baserad domängenereringsalgoritm kan generera och lokalisera adressen till en C2-server i realtid.
Tänk på att det är en skadlig programvara med mycket snyggt beteende. Det har faktiskt inte upptäckts på mer än sex månader, trots att det skickades i januari förra året till VirusTotal-analysanordningen för skadlig programvara.
Få antivirus upptäcker hotet
Från idag, enligt Virustotal , bara sex antivirusmotorer kan upptäcka detta hot. För att genomföra attackerna spårar de ständigt Dockers i molnet med Internet-åtkomst. Hittills har Shodan avslöjat mer än 2,400 XNUMX av denna typ som kör Linux på Amazon AWS-infrastruktur.
Tänk nu på att inte alla dessa molnbehållare kommer att vara sårbara. Men de är ett exempel på de som kan utnyttjas av hackare om de var det.
När de identifierar sig offentligt tillgängliga Docker-portar , attackerare börjar generera sina molninstanser i dessa miljöer och tar ibland bort befintliga.
Enligt säkerhetsforskare är fördelen med att använda en offentligt tillgänglig bild att angriparen inte behöver dölja den i Docker Hub eller andra värdlösningar. I stället kan angripare använda en befintlig bild och köra skadlig programvara på den.
De använder tredjeparts tjänster för att köra nyttolasten, som vi har nämnt. Det är en del av Ngrok Cryptominer Botnet-kampanjen.
Kort sagt, det här skadlig kod som heter Doki kan sätta fel konfigurerade Linux-servrar i riskzonen. Det är alltid mycket viktigt att ha all nödvändig konfiguration för att skydda våra system och undvika att lämna utrustningen utsatt. Dessutom är det också viktigt att de uppdateras korrekt. I många tillfällen uppstår sårbarheter som kan utnyttjas av cyberbrottslingar och vi kan undvika detta med lappar.