专栏首页FreeBuf一个号称完全无法检测到的Linux后门

一个号称完全无法检测到的Linux后门

Ngrok挖矿僵尸网络活动正在Internet上扫描配置不当的Docker API端点,并且已经用新的恶意软件感染了无数服务器。

确实,Ngrok挖矿僵尸网络在过去两年中一直都非常活跃,但不同的是,新活动主要针对配置错误的Docker服务器,并利用它们在受害者的基础架构上运行带有加密矿工的恶意容器。

这种新的多线程恶意软件被称为“Doki”。

Doki,被称为是一个完全无法检测到的Linux后门,主要利用一种无记录的方法,通过狗狗币(一种加密货币)区块链来联系其运营商,从而动态生成其C2域地址。

据研究人员称,Doki

可以执行从操作人员发出的命令 使用Dogecoin加密货币区块链浏览器实时动态生成其C2域 使用embedTLS库进行加密功能和网络通信 创建短生命周期的独一无二的URL,并在攻击期间使用它们下载有效负载

除此之外,攻击者还设法将新创建的容器与服务器的根目录绑定,从而使主机访问或修改系统上的任何文件,造成破坏。

通过使用绑定配置,攻击者还可以控制主机的cron工具,从而修改主机的cron以每分钟执行下载的有效负载。

容器逃逸技术使得攻击者能够完全控制受害人的基础架构,因此Doki的威胁程度可见一斑。再加上Doki还利用zmap、zgrap和jq等扫描工具,利用受感染的系统进一步扫描网络中与Redis,Docker,SSH和HTTP相关的端口,存在更大的威胁隐患。

尽管2020年1月14日,Doki已上载到VirusTotal,并在此后进行了多次扫描,但仍设法躲藏了六个月以上。令人惊讶的是,目前它仍然无法被61个顶级恶意软件检测引擎中的任何一个所检测到。

因此,建议运行Docker实例的用户和组织不要将Docker API设置为公开访问,或者确保仅从受信任的网络或V访问Docker。

参考来源

https://thehackernews.com/2020/07/docker-linux-malware.html

本文分享自微信公众号 - FreeBuf(freebuf),作者:kirazhou

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-07-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 强强合体:Docker版Kali Linux发布

    Kali Linux是一款开源的基于Debian的渗透测试专用操作系统,系统中包含一系列用于渗透测试的神器。最近,Kali的开发者们为喜爱Docker的童鞋们发...

    FB客服
  • VulnHub靶机系列:Os-ByteSec

    Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者Vi...

    FB客服
  • 如何破解12位+字符的高强度密码?

    看到这个标题,你肯定抱着怀疑的态度。破解 12+ 字符的密码,在理论上这是不可能的。因为按照安全专家的说法,想要破解一个 12+ 字符的高强度密码,大概需要 1...

    FB客服
  • 2019-1-25-wcf入门(4)

    创建单向模式的操作很简单,只要在OperationContract中将IsOneWay设置成True即可

    黄腾霄
  • 漫谈C变量——对齐(3)

      前面的两篇文章,我们分别介绍了“为什么变量要对齐到它的尺寸大小”,“编译器会怎么处理内存的对齐问题”以及“非对齐是如何产生的和非对齐的后果”,感觉自己错过了...

    GorgonMeducer 傻孩子
  • 10 道关于 Java 泛型的面试题

    这是在各种Java泛型面试中,一开场你就会被问到的问题中的一个,主要集中在初级和中级面试中。那些拥有Java1.4或更早版本的开发背景的人都知道,在集合中存储对...

    Java技术栈
  • 用面部识别为鱼类建立医疗记录,追踪鱼类健康状况

    在科技发展飞速的今天,甚至连鱼也无法摆脱面部识别相机。数以百万计的大西洋鲑鱼可以将面孔储存在数字数据库中,以追踪他们的健康状况,并挑选哪些对海洋环境构成威胁。

    AiTechYun
  • Python基本常用包整理(data analysis and machine learning),附查询包版本语句

    python 数据分析模块(Numpy、Scipy、Scikit和Pandas等) python进行机器学习(tensorflow) 一、基础包 ①Numpy...

    学到老
  • Javascript将HTML转成PDF并下载「支持多页」

    由于html2canvas只能将它能处理的生成canvas image,因此渲染出来的结果并不是100%与原来一致。但它不需要服务器参与,整个图片都由客户端浏览...

    用户1093975
  • Python基本常用包整理(data analysis and machine learning),附查询包版本语句

    python 数据分析模块(Numpy、Scipy、Scikit和Pandas等)

    学到老

扫码关注云+社区

领取腾讯云代金券