Doki: den nya skadliga programvaran som påverkar Linux-servrar

Doki: den nya skadliga programvaran som påverkar Linux-servrar

Doki, ytterligare ett hot mot Linux-servrar

Som vi säger, Doki är ett skadligt program som sätter Linux-servrar i schack. Specifikt fokuserar de på molnbaserade och dåligt konfigurerade dockare. På detta sätt lyckas hackare att utföra sina hot.

Doki: den nya skadliga programvaran som påverkar Linux-servrar

En av de aspekter som gör Doki särskilt intressant är dess dynamiskt beteende om hur den ansluter till sin kommando- och kontrollinfrastruktur. Det litar inte på en viss domän eller skadlig IP-pool, men använder istället dynamiska DNS-tjänster som DynDNS. Detta, tillsammans med en unik blockchain-baserad domängenereringsalgoritm, kan generera och lokalisera adressen till en C2-server i realtid.

Tänk på att det är en skadlig kod med mycket smygande beteende. I själva verket har det inte upptäckts på mer än sex månader, trots att det skickades i januari förra året till VirusTotal malware analysmotor.

Mozi, una nueva amenaza en forma de malware

Få antivirusprogram upptäcker hotet

Från och med idag, enligt VirusTotal , endast sex antivirusmotorer kan upptäcka detta hot. För att utföra attackerna spårar de ständigt Dockers i molnet med internetåtkomst. Hittills har Shodan avslöjat mer än 2400 av denna typ som kör Linux på Amazon AWS-infrastrukturen.

Tänk nu på att inte alla dessa molnbehållare kommer att vara sårbara. Men de är ett exempel på de som skulle kunna utnyttjas av hackare om de vore det.

När de identifierar offentligt tillgängliga Docker-portar , attackerare börjar generera sina molninstanser i dessa miljöer och tar ibland bort befintliga.

Enligt säkerhetsforskare är fördelen med att använda en offentligt tillgänglig bild att angriparen inte behöver dölja den i Docker Hub eller andra värdlösningar. I stället kan angripare använda en befintlig bild och köra skadlig kod på den.

De använder tjänster från tredje part för att köra nyttolasten, som vi har nämnt. Det är en del av Ngrok Cryptominer Botnet-kampanjen.

Kort sagt, detta skadlig kod som heter Doki kan riskera felaktigt konfigurerade Linux-servrar. Det är alltid mycket viktigt att ha alla nödvändiga konfigurationer för att skydda våra system och undvika att lämna utrustningen utsatt. Dessutom är det viktigt att de uppdateras korrekt. I många tillfällen uppstår sårbarheter som kan utnyttjas av cyberbrottslingar och vi kan undvika detta med korrigeringar.