Malware de Linux indetectable dirigido a servidores Docker con API expuestas

escáner de malware docker

Investigadores de seguridad cibernética descubrieron hoy un malware de Linux completamente indetectable que explota técnicas no documentadas para permanecer bajo el radar y apunta a servidores Docker de acceso público alojados con plataformas populares en la nube, incluidas AWS, Azure y Alibaba Cloud.

Docker es una popular solución de plataforma como servicio (PaaS) para Linux y Windows diseñada para facilitar a los desarrolladores la creación, prueba y ejecución de sus aplicaciones en un entorno vagamente aislado llamado contenedor.

Según la última investigación que Intezer compartió con The Hacker News, una campaña en curso de botnet de minería Ngrok escanea Internet en busca de puntos finales de la API de Docker mal configurados y ya ha infectado muchos servidores vulnerables con nuevo malware.

Si bien la botnet de minería Ngrok estuvo activa durante los últimos dos años, la nueva campaña se enfoca principalmente en tomar el control de los servidores Docker mal configurados y explotarlos para configurar contenedores maliciosos con criptomineros que se ejecutan en la infraestructura de las víctimas.

Apodado ‘Doki‘el nuevo malware de subprocesos múltiples aprovecha «un método no documentado para contactar a su operador al abusar de la cadena de bloques de criptomonedas Dogecoin de una manera única para generar dinámicamente su dirección de dominio C2 a pesar de que las muestras están disponibles públicamente en VirusTotal».

ataque de malware docker

Según los investigadores, el malware:

  • ha sido diseñado para ejecutar comandos recibidos de sus operadores,
  • utiliza un explorador de bloques de criptomonedas Dogecoin para generar su dominio C2 en tiempo real de forma dinámica,
  • utiliza la biblioteca embedTLS para funciones criptográficas y comunicación de red,
  • crea direcciones URL únicas con una vida útil corta y las usa para descargar cargas útiles durante el ataque.

«El malware utiliza el servicio DynDNS y un algoritmo de generación de dominio (DGA) único basado en la cadena de bloques de criptomonedas Dogecoin para encontrar el dominio de su C2 en tiempo real».

Además de esto, los atacantes detrás de esta nueva campaña también lograron comprometer las máquinas anfitrionas al vincular contenedores recién creados con el directorio raíz del servidor, permitiéndoles acceder o modificar cualquier archivo en el sistema.

ataque de malware docker

«Al usar la configuración de enlace, el atacante puede controlar la utilidad cron del host. El atacante modifica el cron del host para ejecutar la carga útil descargada cada minuto».

«Este ataque es muy peligroso debido a que el atacante utiliza técnicas de escape de contenedores para obtener el control total de la infraestructura de la víctima».

Una vez hecho esto, el malware también aprovecha los sistemas comprometidos para escanear más la red en busca de puertos asociados con Redis, Docker, SSH y HTTP, utilizando una herramienta de escaneo como zmap, zgrap y jq.

Doki logró pasar desapercibido durante más de seis meses a pesar de haber sido subido a VirusTotal el 14 de enero de 2020 y escaneado varias veces desde entonces. Sorprendentemente, en el momento de escribir este artículo, todavía no es detectable por ninguno de los 61 principales motores de detección de malware.

El software de contenedores más destacado ha sido atacado por segunda vez en un mes. A fines del mes pasado, se encontraron actores maliciosos que se dirigían a puntos finales expuestos de la API de Docker y crearon imágenes infestadas de malware para facilitar los ataques DDoS y extraer criptomonedas.

Se recomienda a los usuarios y organizaciones que ejecutan instancias de Docker que no expongan las API de Docker a Internet, pero si todavía lo necesita, asegúrese de que solo se pueda acceder a ellas desde una red o VPN de confianza, y solo para que los usuarios de confianza controlen su demonio de Docker.

Si administra Docker desde un servidor web para aprovisionar contenedores a través de una API, incluso debe tener más cuidado de lo habitual con la verificación de parámetros para asegurarse de que un usuario malintencionado no pueda pasar parámetros manipulados que hagan que Docker cree contenedores arbitrarios.

Adhiérase a las mejores prácticas de seguridad de Docker aquí.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática