研究人员发现一款利用无文件技术绕过检测的Linux恶意软件
intezer研究人员发现一款利用无文件技术来绕过检测的linux恶意软件——doki。自2020年1月14日上传到virustotal后,先后有60个恶意软件检测引擎对其就进行了检测分析。doki 成功绕过了这些引擎的检测,其攻击的目标主要是公有云平台上的docker服务器,包括aws、azure和阿里云。docker是linux和windows平台的一种paas 解决方案,开发者利用它可以在隔离的容器环境中创建、测试和运行应用。
样本地址:
https://www.virustotal.com/gui/file/4aadb47706f0fe1734ee514e79c93eed65e1a0a9f61b63f3e7b6367bd9a3e63b/detection
intezer研究人员发现ngrok 挖矿僵尸网络正在扫描互联网上错误配置的docker api端点,并用新的恶意软件来感染有漏洞的服务器。ngrok僵尸网络已经活跃了2年的时间,本次攻击活动主要针对错误配置的docker服务器,并在受害者基础设施上搭建进行加密货币挖矿的恶意容器。
doki是一款多线程的恶意软件,使用了dogecoin区块链以一种动态的方式在生成c2域名地址实现了与运营者通信的无文件方法。doki恶意软件的功能包括:
执行从运营者处接收的命令;
使用dogecoin 区块链浏览器来实时、动态地生成其c2域名;
使用embedtls库用于加密和网络通信;
构造短期有效的url,并使用这些url来下载payload。
恶意软件使用了dyndns 服务和基于dogecoin区块链的域名生成方法来找出实时的c2域名。此外,攻击活动背后的攻击者通过将服务器的root目录与新创建的容器绑定成功入侵了host机器,可以访问和修改系统中的任意文件。通过使用bind配置,攻击者可以控制主机的cron工具。修改主机的cron后就可以每分钟执行一次下载的payload。
由于攻击者可以利用容器逃逸技术完全控制受害者的基础设施,因为攻击非常危险。一旦安装成功,doki既可以利用被入侵的系统来扫描与redis、docker、 ssh、 http相关的端口。
第一个doki样本是2020年1月14日上传到virustotal的,截止目前,61个顶级的恶意软件检测引擎都无法成功检测出doki。也就是说,过去6个月,用户和研究人员对doki的恶意活动是完全无感知的。
docker是最主流的容器软件,这也是一个月内docker第二次成为攻击的目标。上个月,研究人员就发现攻击者利用暴露的docker api终端和伪造的图像来发起ddos攻击和进行加密货币挖矿。
研究人员建议运行docker实例的用户和企业不要暴露docker api到互联网,如果必须要暴露的话,建议使用可信网络或虚拟专用网,并设置只允许可信用户控制docker daemon。如果是通过api来管理docker,建议进行参数检查来确保恶意用户无法传递恶意参数导致docker创建任意容器。
全桥LLC电路工作原理与设计难点解读
dfrobotPYNQ-Z2开发板简介
以物联网的资费思路看“提速降费”是怎样的
未来的橄榄球会是什么样子的?使用科技改变橄榄球的未来
有心有力,致态TiPlus5000发布全新固件ZTA10666
研究人员发现一款利用无文件技术绕过检测的Linux恶意软件
配电列头柜在数据中心机房末端配电的应用
“973”计划新能源研发传喜报
雨量计的应用让城市像海绵一样呼吸
刘庆峰谈科大讯飞的下一步布局和未来几个重要发展方向
瑞银计划使用分布式分类账技术创建永久性记录来验证交易
苹果iPhone 12系列拆解案例:续航下降的原因分析
无人机的四大关键系统是哪四大
苹果多款新品的价格在网络曝光
“真正可穿戴”的电子皮肤问世
2020风向标:锐评工业应用移动机器人
RS-SQUARED采用蓝光测量光源 对零件表面具有极强的适用性
Passwork国际空间站如何保障网络安全
大功率AC/DC机壳开关电源—LM1000-20Bxx系列介绍
三星公布智能指环新专利,具有3D跟踪和触控界面功能
样本地址:
https://www.virustotal.com/gui/file/4aadb47706f0fe1734ee514e79c93eed65e1a0a9f61b63f3e7b6367bd9a3e63b/detection
intezer研究人员发现ngrok 挖矿僵尸网络正在扫描互联网上错误配置的docker api端点,并用新的恶意软件来感染有漏洞的服务器。ngrok僵尸网络已经活跃了2年的时间,本次攻击活动主要针对错误配置的docker服务器,并在受害者基础设施上搭建进行加密货币挖矿的恶意容器。
doki是一款多线程的恶意软件,使用了dogecoin区块链以一种动态的方式在生成c2域名地址实现了与运营者通信的无文件方法。doki恶意软件的功能包括:
执行从运营者处接收的命令;
使用dogecoin 区块链浏览器来实时、动态地生成其c2域名;
使用embedtls库用于加密和网络通信;
构造短期有效的url,并使用这些url来下载payload。
恶意软件使用了dyndns 服务和基于dogecoin区块链的域名生成方法来找出实时的c2域名。此外,攻击活动背后的攻击者通过将服务器的root目录与新创建的容器绑定成功入侵了host机器,可以访问和修改系统中的任意文件。通过使用bind配置,攻击者可以控制主机的cron工具。修改主机的cron后就可以每分钟执行一次下载的payload。
由于攻击者可以利用容器逃逸技术完全控制受害者的基础设施,因为攻击非常危险。一旦安装成功,doki既可以利用被入侵的系统来扫描与redis、docker、 ssh、 http相关的端口。
第一个doki样本是2020年1月14日上传到virustotal的,截止目前,61个顶级的恶意软件检测引擎都无法成功检测出doki。也就是说,过去6个月,用户和研究人员对doki的恶意活动是完全无感知的。
docker是最主流的容器软件,这也是一个月内docker第二次成为攻击的目标。上个月,研究人员就发现攻击者利用暴露的docker api终端和伪造的图像来发起ddos攻击和进行加密货币挖矿。
研究人员建议运行docker实例的用户和企业不要暴露docker api到互联网,如果必须要暴露的话,建议使用可信网络或虚拟专用网,并设置只允许可信用户控制docker daemon。如果是通过api来管理docker,建议进行参数检查来确保恶意用户无法传递恶意参数导致docker创建任意容器。
全桥LLC电路工作原理与设计难点解读
dfrobotPYNQ-Z2开发板简介
以物联网的资费思路看“提速降费”是怎样的
未来的橄榄球会是什么样子的?使用科技改变橄榄球的未来
有心有力,致态TiPlus5000发布全新固件ZTA10666
研究人员发现一款利用无文件技术绕过检测的Linux恶意软件
配电列头柜在数据中心机房末端配电的应用
“973”计划新能源研发传喜报
雨量计的应用让城市像海绵一样呼吸
刘庆峰谈科大讯飞的下一步布局和未来几个重要发展方向
瑞银计划使用分布式分类账技术创建永久性记录来验证交易
苹果iPhone 12系列拆解案例:续航下降的原因分析
无人机的四大关键系统是哪四大
苹果多款新品的价格在网络曝光
“真正可穿戴”的电子皮肤问世
2020风向标:锐评工业应用移动机器人
RS-SQUARED采用蓝光测量光源 对零件表面具有极强的适用性
Passwork国际空间站如何保障网络安全
大功率AC/DC机壳开关电源—LM1000-20Bxx系列介绍
三星公布智能指环新专利,具有3D跟踪和触控界面功能