新型 Linux 恶意软件 Doki 出现,它使用 Dogecoin API 查找 C&C 服务器地址
安全研究人员发现了Doki,它是一个新的后门恶意软件,用来针对Docker实例。
虽然Linux恶意软件曾经处于恶意软件生态系统的边缘,但新的Linux威胁每周都在被发现。
最新的发现来自Intezer实验室。在本周的一份报告中,该公司分析了一种新的后门木马Doki,他们发现它是一种老的威胁行动者的一部分,这种老的威胁行动者以网络服务器为目标进行密码挖掘。
这个威胁行动者被称为Ngrok,因为它最初喜欢使用Ngrok服务来托管控制和命令(C&C)服务器,它至少在2018年底就开始活跃了。
Intezer实验室的研究人员说,在最近由Ngrok组织实施的攻击中,黑客的目标是管理API在网上暴露的Docker安装。
黑客滥用Docker API在公司的云基础设施中部署新服务器。运行Alpine Linux版本的服务器随后感染了加密恶意软件,也感染了Doki。
DOKI如何使用DOGECOIN API
研究人员说,Doki的目的是让黑客控制他们新部署的Alpine Linux服务器,以确保密码挖掘行动按计划进行。
然而,虽然它的目的和使用可能看起来平庸,在引线下,Intezer说Doki不同于其他类似的后门木马。
最明显的细节是Doki如何确定它需要为新指令连接的C&C服务器的URL。
当一些恶意软件连接到原始IP地址或包含在其源代码中的硬编码的url时,Doki使用了一种动态算法——称为DGA(域生成算法)——使用Dogecoin API来确定C&C地址。
这个过程由Intezer的研究人员进行逆向工程,具体如下:
- 查询dogechain.info API,一个Dogecoin加密货币块浏览器,因为valuet帽子是从一个由攻击者控制的硬编码钱包地址发送(花)的。查询格式为:https://dogechain.info/api/v1/address/sent/{address}
- 对“sent”下面返回的值执行SHA256
- 将SHA256值的十六进制字符串表示形式中的前12个字符保存为子域。
- 通过将子域附加到ddns.net来构造完整的地址。一个例子域是:6d77335c4f23[.]ddns[.]net
以上所有步骤的意思是,Doki的创建者Ngrok gang可以通过在他们控制的一个Dogecoin钱包里做一笔交易来改变Doki获取命令的服务器。
如果DynDNS (ddns.net)收到关于当前Doki C&C URL的滥用报告并将其删除,Ngrok gang只需要做一个新的交易,确定子域名的值,并建立一个新的DynDNS帐户并获取子域名。
这个机制,虽然很聪明,也是一个有效的方式来防止执法部门破坏Doki后端基础设施,因为他们需要控制Ngrok团伙的Dogecoin钱包,没有钱包的密码钥匙是不可能实现的。
Intezer表示,根据提交给VirusTotal网络扫描仪的样本,Doki似乎从今年1月就已经存在了。然而,Intezer还指出,尽管已经存在了6个多月,但这种恶意软件仍然没有被大多数病毒扫描Linux引擎发现。
针对DOCKER实例的攻击增加
此外,虽然Doki恶意软件的C&C机制是聪明和新奇的,但真正的威胁是对Docker服务器的持续攻击。
在过去的几个月里,Docker服务器越来越多地成为了恶意软件运营商的攻击目标,特别是密码挖掘团伙。
就在上个月,网络安全公司详细介绍了几种不同的加密活动,针对配置不当的Docker api,部署新的Linux服务器,在服务器上运行加密恶意软件,利用受害者的基础设施获利。
这包括来自Palo Alto Networks的报告和来自Aqua的两份报告。此外,网络安全公司趋势科技(Trend Micro)也报道了一系列攻击,黑客针对Docker服务器安装DDoS恶意软件,这是黑客没有选择加密挖掘有效载荷的罕见案例。
总而言之,这里的结论是,在云中作为虚拟化软件运行Docker的公司需要确保管理界面的API不会暴露在互联网上,一个小小的错误配置使得第三方能够控制他们的Docker安装。
在报告中,Intezer特别提到了这个问题,并警告说,Ngrok团伙在扫描和攻击中非常具有侵略性,他们通常会在Docker服务器被在线曝光后的数小时内部署恶意软件。
