Malware de Linux indetectable dirigido a servidores Docker con API expuestas

Escrito por Jose Rivera

2 agosto, 2020

¿Que es Docker?

Docker es una popular solución de plataforma como servicio (PaaS) para Linux y Windows diseñada para facilitar a los desarrolladores la creación, prueba y ejecución de sus aplicaciones en un entorno poco aislado llamado contenedor.

De acuerdo con la última investigación que Intezer compartió , se trata de una campaña de botnet de minería Ngrok en curso que escanea Internet en busca de puntos finales de API de Docker mal configurados y ya ha infectado muchos servidores vulnerables con nuevo malware.

Si bien la botnet de minería Ngrok ha estado activa durante los últimos dos años, la nueva campaña se centra principalmente en tomar el control de los servidores Docker mal configurados y explotarlos para configurar contenedores maliciosos con criptomineros que se ejecutan en la infraestructura de las víctimas.

Apodado «Doki», el nuevo malware de subprocesos múltiples aprovecha «un método no documentado para contactar a su operador abusando de la cadena de bloques de criptomonedas Dogecoin de una manera única para generar dinámicamente su dirección de dominio C2 a pesar de que las muestras están disponibles públicamente en VirusTotal».

Hallazgos importantes

Según los investigadores, el malware:

  • fue diseñado para ejecutar comandos recibidos de sus operadores
  • utiliza un explorador de bloques de criptomonedas Dogecoin para generar su dominio C2 en tiempo real de forma dinámica,
  • utiliza la biblioteca embedTLS para funciones criptográficas y comunicación de red,
  • crea URL únicas con una vida útil corta y las usa para descargar cargas útiles durante el ataque.

«El malware utiliza el servicio DynDNS y un algoritmo de generación de dominios (DGA) único basado en la cadena de bloques de criptomonedas Dogecoin para encontrar el dominio de su C2 en tiempo real»

Además de esto, los atacantes detrás de esta nueva campaña también han logrado comprometer las máquinas host vinculando contenedores recién creados con el directorio raíz del servidor, permitiéndoles acceder o modificar cualquier archivo en el sistema.

Lea esta noticia similar  Un adolescente de 17 años fue arrestado por el "hackeo" más grande en la historia de Twitter, sus complices tienen 19 y 22 años

«Al usar la configuración de vinculación, el atacante puede controlar la utilidad cron del host. El atacante modifica el cron del host para ejecutar la carga útil descargada cada minuto »

«Este ataque es muy peligroso debido a que el atacante utiliza técnicas de escape de contenedores para obtener el control total de la infraestructura de la víctima».

Una vez hecho esto, el malware también aprovecha los sistemas comprometidos para escanear aún más la red en busca de puertos asociados con Redis, Docker, SSH y HTTP, utilizando una herramienta de escaneo como zmap, zgrap y jq.

Recientes ataques a servidores Docker

Doki logró permanecer fuera del radar durante más de seis meses a pesar de haber sido subido a VirusTotal el 14 de enero de 2020 y escaneado varias veces desde entonces. Sorprendentemente, en el momento de redactar este artículo, aún no es detectable por ninguno de los 61 principales motores de detección de malware.

El software de contenedores más destacado fue atacado por segunda vez en un mes. A fines del mes pasado, se encontraron actores maliciosos apuntando a puntos finales expuestos de la API de Docker y crearon imágenes infestadas de malware para facilitar los ataques DDoS y minar criptomonedas.

Investigadores de ciberseguridad descubrieron un malware de Linux completamente indetectable que explota técnicas indocumentadas para permanecer bajo el radar y apunta a servidores Docker de acceso público alojados en plataformas de nube populares, incluidas AWS, Azure y Alibaba Cloud.

Se recomienda a los usuarios y organizaciones que ejecutan instancias de Docker que no expongan las API de Docker a Internet, pero si aún lo necesita, asegúrese de que sea accesible solo desde una red o VPN de confianza, y solo a usuarios de confianza para controlar su demonio de Docker.

Lea esta noticia similar  ¿Qué es un EDR? ¿Por qué es diferente de un antivirus?

Si administra Docker desde un servidor web para aprovisionar contenedores a través de una API, debe ser aún más cuidadoso de lo habitual con la verificación de parámetros para asegurarse de que un usuario malintencionado no pueda pasar parámetros diseñados que causen que Docker cree contenedores arbitrarios.

Siga las mejores prácticas de seguridad de Docker aquí.

Escrito por Jose Rivera

Vea otras noticias interesantes:

Síganos en nuestras redes sociales

Le compartiremos contenido valicioso para que se mantenga actualizado en el campo

Nuestros cursos

CYBER401 Q1-2024 – Analista de Ciberseguridad

Conozca sobre nuestro curso de analista en Ciberseguridad y adéntrese en el mundo de los delitos informáticos y como proteger a las empresas ente los ataques

0 Comentarios

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *