このページで: [隠れる]
セキュリティ研究者は、DokiマルウェアがDockerサーバーに感染するためにハッキンググループによって積極的に使用されていることを発見しました. すべての人気のあるウェブホスティング会社とエンタープライズネットワークは、進行中の攻撃の対象です. この攻撃が特に危険であると見なされる理由の1つは、複数のボットネットが攻撃を配布するために使用されているという事実です。.
DockerサーバーがDokiマルウェアの攻撃を受けている!
Dockerサーバーは、 ドキ. これはすべて、 Ngrokボットネット, 少なくとも2年間アクティブになっている感染したホストの危険なネットワーク. マルウェア自体は 以前は検出されなかったLinuxウイルス 侵害された多数のホストを利用します. このボットネットは、AzureやAmazonAWSなどの一般的なクラウドプラットフォームでホストされているDockerサーバーを公開するように構成されています.
使用されている技術は完全に新しいものです — ブロックチェーンウォレットは、ハッカー通信に使用されるコマンドアンドコントロールサーバーを生成しています. これに使用されている暗号通貨は ドージコイン — そのアルゴリズムは、犯罪通信が行われる必要なアドレスを作成するために使用されたアドレスを動的に生成するために悪用されました. これにより常に新しいアドレスが生成されるため、マルウェアは約1年間検出されませんでした。 6 月.
また読む WordPressサイトを乗っ取るために使用されるステルスワーカーマルウェア
この欠陥は、誤って構成されたDockerコンテナを悪用します。最も一般的に使用される方法は、curlソフトウェアを含むイメージを悪用することです。このプログラムは、リモートの場所からファイルを取得するために使用されます。. リモートの攻撃者は展開できます マルウェアを含む画像 インターネットへ–ユーザーがサーバーにダウンロードして展開できるようにするために、一般的なフィッシング戦略を採用できます.
また読む WordPressサイトのセキュリティをテストする方法
ボットネットネットワークは脆弱なDockerインスタンスを検索できますが, 同時に、犯罪グループは、感染したコピーを拡散するためにさまざまなフィッシング戦略を使用する可能性があります. Dokiマルウェアは、リモートの攻撃者がそれらにアクセスできるようにすることで、クラウドホスティングサービスにパラメータと権限を設定することで機能します. Ngrokボットネットには、感染したホストとハッカーの間に安全なトンネルを確立するスクリプトも含まれています. URLは一意であり、短い存続期間のみ維持されます. 有効化されると、リモートスクリプトが自動的にダウンロードされます. Dokiマルウェアのケースは、次のアクションのいずれかを実行するように構成できます:
- 追加のウイルス感染 — Dokiマルウェアは、感染したマシンに他のウイルスを展開するために使用される可能性があります. 最も一般的なものは 暗号通貨マイナー — リモートホストからパフォーマンスの高いタスクを取得するスクリプト. 完了して報告されたタスクごとに、ハッカーは支払いとして暗号通貨資産を受け取ります.
- システム操作 — Dokiマルウェアは、汚染されたホストを再構成するためにシステムを操作するために使用できます.
- ホストテイクオーバー — Dokiマルウェアを使用すると、ハッカーは制御を奪ったり、保存されたファイルを盗んだりして、感染したサーバーを完全に乗っ取ることができます。.
Dockerコンテナーを実行している場合は、 徹底したセキュリティチェックが行われます. フォルダとファイルシステムの権限を確認して、保存されているデータにアクセスできるのがあなた以外の誰かであるかどうかを確認します。.