新型Linux恶意软件使用Dogecoin API查找C&C服务器地址

狗狗币徽标

尽管Linux恶意软件曾经处于恶意软件生态系统的边缘,但今天,每周都会发现新的Linux威胁。

最新发现来自Intezer Labs。本周与ZDNet共享的一份报告中,该公司分析了Doki(一种新的后门特洛伊木马程序),他们发现了一个以网络加密服务器为目标而闻名的老威胁演员的部分武器库。

威胁行动者之所以被称为Ngrok,是因为其最初倾向于使用Ngrok服务托管控制和命令(C&C)服务器,自至少2018年底以来一直活跃。

Intezer Labs的研究人员说,在Ngrok组织今年进行的最近攻击中,黑客针对的是Docker安装,而这些管理API一直在线暴露。

黑客滥用Docker API在公司的云基础架构内部署新服务器。然后,运行Alpine Linux版本的服务器感染了加密采矿恶意软件,但也感染了Doki。

doki-ngrok.png
图片:Intezer

DOKI如何使用DOGECOIN API

研究人员说,Doki的目的是允许黑客控制他们新部署的Alpine Linux服务器,以确保加密采矿操作按预期运行。

然而,尽管它的目的和用途看起来很古怪,但在内部,Intezer说Doki与其他类似的后门特洛伊木马有所不同。

最明显的细节是Doki如何确定连接新指令所需的C&C服务器的URL。

尽管某些恶意软件菌株会连接到其源代码中包含的原始IP地址或硬编码URL,但Doki使用动态算法(称为DGA(域生成算法))使用Dogecoin API确定C&C地址。

由Intezer研究人员进行逆向工程的过程如下:

  1. 查询dogechain.info API(一种Dogecoin加密货币块浏览器),用于从受攻击者控制的硬编码钱包地址发送(花费)最有价值的帽子。查询格式为:https : //dogechain.info/api/v1/address/sent/{address}
  2. “已发送”下返回的值执行SHA256
  3. 保存SHA256值的十六进制字符串表示形式的前12个字符,用作子域。
  4. 通过将子域附加到ddns.net来构造完整地址。一个示例域是:6d77335c4f23 [。] ddns [。] net

以上所有步骤的意思是,Doki的创建者Ngrok帮派可以通过在其控制的Dogecoin钱包内进行一次交易来更改Doki获取其命令的服务器。

如果DynDNS(ddns.net)收到有关当前Doki C&C URL的滥用报告并将其删除,则Ngrok团伙只需进行一次新交易,确定子域值,并设置一个新的DynDNS帐户并获取该子域。

这种机制非常聪明,也是防止执法机构破坏Doki后端基础设施的有效方法,因为他们需要控制Ngrok帮派的Dogecoin钱包,而如果没有钱包的加密密钥,这是不可能的。 。

Intezer说,根据提交给VirusTotal网络扫描仪的样本,Doki似乎已经存在于今年1月。但是,Intezer还指出,尽管存在时间已超过六个月,但在当今大多数VirusTotal Linux扫描引擎中仍未发现该恶意软件。

针对DOCKER实例的攻击增加

此外,尽管Doki恶意软件C&C机制巧妙而新颖,但真正的威胁在于对Docker服务器的持续攻击。

在过去的几个月中,Docker服务器越来越受到恶意软件运营商的攻击,尤其是加密采矿团伙。

就在上个月,网络安全公司详细介绍了几种不同的加密采矿活动,这些活动针对配置错误的Docker API来部署新的Linux服务器,这些服务器在其中运行加密采矿恶意软件以利用受害人的基础设施获利。

这包括来自报告帕洛阿尔托网络,以及从水族[两份报告12 ]。此外,网络安全公司趋势科技还报告了一系列攻击,其中黑客针对Docker服务器安装DDoS恶意软件,这是一种罕见的案例,黑客没有选择使用加密挖矿有效载荷。

总而言之,这里的结论是,在云中运行Docker作为其虚拟化软件的公司需要确保管理界面的API不会暴露在互联网上-这是一个很小的错误配置,允许第三方控制其Docker安装。

Intezer在其报告中特别提到了此问题,警告说Ngrok帮派在扫描和攻击方面如此激进和持久,以至于通常在Docker服务器在线暴露后数小时内就部署了恶意软件。

 

*编译:Domino

*来自:ZDNET