Auf dieser Seite: [ausblenden]
Sicherheitsforscher haben herausgefunden, dass die Doki-Malware aktiv von Hacking-Gruppen verwendet wird, um Docker-Server zu infizieren. Alle gängigen Webhosting-Unternehmen und Unternehmensnetzwerke sind Gegenstand der anhaltenden Angriffe. Einer der Gründe, warum dieser Angriff als besonders gefährlich angesehen wird, ist die Tatsache, dass mehrere Botnets verwendet wurden, um ihn zu verbreiten.
Docker-Server werden von der Doki-Malware angegriffen!
Docker-Server werden von einer neuen Malware namens angegriffen Doc. All dies wird von der Ngrok Botnet, Ein gefährliches Netzwerk infizierter Hosts, das seit mindestens zwei Jahren aktiv ist. Die Malware selbst ist eine zuvor unentdeckter Linux-Virus Dies nutzt die große Anzahl kompromittierter Hosts. Dieses Botnetz ist so konfiguriert, dass Docker-Server verfügbar gemacht werden, die auf gängigen Cloud-Plattformen wie Azure und Amazon AWS gehostet werden.
Die verwendete Technik ist völlig neu — Eine Blockchain-Brieftasche generiert die Befehls- und Steuerungsserver, die für die Hacker-Kommunikation verwendet werden. Die dafür verwendete Kryptowährung war Dogecoin — Sein Algorithmus wurde missbraucht, um die verwendete Adresse dynamisch zu generieren und die erforderliche Adresse zu erstellen, über die die kriminelle Kommunikation erfolgt. Da dies ständig zu neuen Adressen führt, ist die Malware etwa unentdeckt geblieben 6 Monate.
Lesen Sie auch Stealthworker-Malware zur Entführung von WordPress-Sites
Der Fehler nutzt falsch konfigurierte Docker-Container aus - die am häufigsten verwendete Methode ist das Ausnutzen von Bildern, die die Curl-Software enthalten - ein Programm, mit dem Dateien von entfernten Standorten abgerufen werden. Die Remoteangreifer können bereitstellen Malware-haltige Bilder ins Internet - gängige Phishing-Strategien können eingesetzt werden, um Benutzer zum Herunterladen und Bereitstellen auf ihren Servern zu bewegen.
Lesen Sie auch So testen Sie die Sicherheit Ihrer WordPress-Site
Während das Botnetzwerk nach anfälligen Docker-Instanzen suchen kann, Gleichzeitig können die kriminellen Gruppen auch verschiedene Phishing-Strategien anwenden, um die infizierten Kopien zu verbreiten. Die Doki-Malware richtet Parameter und Berechtigungen für den Cloud-Hosting-Dienst ein, indem sie den Remoteangreifern den Zugriff darauf ermöglicht. Das Ngrok-Botnetz enthält auch ein Skript, das einen sicheren Tunnel zwischen den infizierten Hosts und den Hackern herstellt. Die URLs sind eindeutig und werden nur für eine kurze Lebensdauer beibehalten. Nach der Aktivierung werden die Remote-Skripte automatisch heruntergeladen. Doki-Malware-Fälle können so konfiguriert werden, dass eine der folgenden Aktionen ausgeführt wird:
- Zusätzliche Virusinfektionen — Die Doki-Malware kann verwendet werden, um andere Viren auf den infizierten Computern bereitzustellen. Die häufigsten sind Cryptocurrency Miner — Skripte, die leistungsintensive Aufgaben von einem Remote-Host abrufen. Für jede abgeschlossene und gemeldete Aufgabe erhalten die Hacker Cryptocurency-Assets als Zahlung.
- Systemmanipulation — Die Doki-Malware kann verwendet werden, um das System zu manipulieren und die kontaminierten Hosts neu zu konfigurieren.
- Host-Übernahme — Mit der Doki-Malware können die Hacker die infizierten Server vollständig übernehmen, indem sie die Kontrolle übernehmen oder die gespeicherten Dateien stehlen.
Wenn Sie einen Docker-Container ausführen, empfehlen wir a Eine gründliche Sicherheitskontrolle wird durchgeführt. Überprüfen Sie die Berechtigungen der Ordner und Dateisysteme, um festzustellen, ob andere Personen außer Ihnen Zugriff auf die gespeicherten Daten haben.