• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Ataques / Doki, el nuevo malware de Linux fija como objetivo las APIs de contenedores docker mal configurados

Doki, el nuevo malware de Linux fija como objetivo las APIs de contenedores docker mal configurados

29 julio, 2020 Por Daniel Púa Deja un comentario

Descubierto un malware de Linux indetectable que explota técnicas indocumentadas para permanecer bajo el radar y apunta a servidores Docker de acceso público alojados en plataformas de cloud populares, incluidas AWS, Azure y Alibaba Cloud.

Docker es una solución popular de plataforma como servicio (PaaS) para Linux y Windows. Está diseñada para facilitar a los desarrolladores la creación, prueba y ejecución de sus aplicaciones en un entorno aislado aislado denominado contenedor.

Según la última investigación de Intezer, en la actualidad existe una campaña de bots de minería de Ngrok que realiza escaneos en busca de puntos finales de la API de Docker mal configurados. Parece haber infectado muchos servidores vulnerables con nuevo malware.

Esta nueva campaña se centra de forma principal en tomar el control de los servidores Docker mal configurados y explotarlos para configurar contenedores maliciosos con criptomineros que se ejecutan en la infraestructura de las víctimas.

Apodado ‘Doki‘, el malware:

  • Ha sido diseñado para ejecutar comandos recibidos de sus operadores.
  • Utiliza un explorador de bloques de criptomonedas Dogecoin para generar su dominio C2 en tiempo real dinámicamente,
  • Usa la biblioteca embedTLS para funciones criptográficas y comunicación de red,
  • Crea URLs únicas con una vida útil corta y las usa para la descarga de payloads durante el ataque.

«El malware utiliza el servicio DynDNS y un algoritmo de generación de dominio único (DGA) basado en la cadena de bloques de criptomonedas Dogecoin para encontrar el dominio de su C2 en tiempo real».

Investigadores de Intezer

Además de esto, los atacantes detrás de esta nueva campaña también han logrado comprometer las máquinas host al vincular los contenedores recién creados con el directorio raíz del servidor, lo que les permite acceder o modificar cualquier archivo en el sistema.

Una vez que el equipo está infectado, el malware también aprovecha los sistemas comprometidos para escanear aún más la red en busca de puertos asociados con Redis, Docker, SSH y HTTP, utilizando una herramienta de escaneo como zmap, zgrap y jq. Doki ha logrado permanecer bajo el radar durante más de seis meses a pesar de haber sido cargado en VirusTotal el 14 de enero de 2020, y escaneado varias veces desde entonces. De manera sorprendente, a día de hoy aún no es detectable por ninguno de los 61 principales motores de detección de malware.

Es la segunda vez que el software de contenedores más destacado se ha convertido en el objetivo de ciberdelincuentes. A fines del mes pasado, se encontraron actores maliciosos que apuntaban a puntos finales expuestos de la API de Docker e imágenes infestadas de malware para facilitar los ataques DDoS y minar criptomonedas.

Desde Hispasec recomendamos a los usuarios y organizaciones que ejecutan instancias de Docker que no expongan las API de Docker a Internet, pero si aún lo necesita, asegúrese de que solo sea accesible desde una red o VPN de confianza, y solo a usuarios de confianza para controlar su demonio Docker.

Si administra Docker desde un servidor web para aprovisionar contenedores a través de una API, debe ser aún más cuidadoso de lo habitual con la verificación de parámetros para asegurarse de que un usuario malintencionado no pueda pasar parámetros diseñados que hacen que Docker cree contenedores arbitrarios.

Más información:
https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Hacking Windows

Hacking de dispositivos iOS

Técnicas de Análisis Forense

Publicado en: Ataques Etiquetado como: Criptomonedas, docker, dogecoin, doki, malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Reacción ante ciberataques... en vacaciones
  • Chema Alonso entrevista a Richard Stallman - Parte II
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.

Entradas recientes

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Los ataques de ransomware conocidos apenas supondrían una sexta parte del total
  • SAMBA puede poner en riesgo miles de instalaciones si no son actualizadas a tiempo.
  • Boletín de seguridad de Android
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Los ataques de ransomware conocidos apenas supondrían una sexta parte del total

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...