Mã độc Linux nguy hiểm tấn công máy chủ Docker qua các API bị lộ

Mới đây các nhà nghiên cứu an ninh mạng đã tiết lộ về một loại mã độc Linux nguy hiểm, có khả năng qua mắt được toàn bộ các công cụ diệt mã độc hàng đầu. Được biết nó đã sử dụng các kỹ thuật chưa từng được biết tới trước đây để tránh bị phát hiện và nhắm mục tiêu tới các máy chủ Docker lưu trữ trên các nền tảng đám mây phổ biến như AWS, Azure và Alibaba Cloud.

Docker là một nền tảng dịch vụ PaaS phổ biến dành cho Linux và Windows. Nó được thiết kế để giúp các nhà phát triển dễ dàng tạo, kiểm tra và chạy các ứng dụng của họ trong một môi trường tách biệt được gọi là container.

Theo nghiên cứu mới nhất mà Intezer chia sẻ với The Hacker News, một chiến dịch botnet đào tiền ảo qua công cụ Ngrok đang tích cực quét internet để tìm ra các Docker API endpoint có cấu hình sai. Và tính đến thời điểm hiện tại thì chiến dịch mới này đã thực hiện lây nhiễm trên nhiều máy chủ khác nhau.  

Mặc dù Ngrok Mining Botnet đã hoạt động trong suốt hai năm qua, nhưng chiến dịch mới này được phát hiện chỉ tập trung chủ yếu vào việc chiếm quyền kiểm soát các máy chủ Docker có cấu hình sai và khai thác chúng để thiết lập các container độc hại có chứa các phần mềm đào tiền điện tử chạy trái phép trên cơ sở hạ tầng của nạn nhân.

Được đặt tên là ‘Doki‘, mã độc đa luồng mới này đã lợi dụng “một phương thức tấn công mới để liên hệ với kẻ điều khiển đứng sau nó bằng cách lạm dụng blockchain của Dogecoin theo một cách đặc biệt để có thể liên tục tạo địa chỉ tên miền C2 bất chấp việc mẫu mã độc của nó đã được cập nhật công khai trên công cụ quét mã độc VirusTotal.”

docker malware attack

Theo các nhà nghiên cứu, mã độc này:

  • đã được thiết kế để thực thi các lệnh nhận được từ kẻ điều khiển từ xa,
  • sử dụng một Dogecoin Explorer để tạo tên miền C2 theo thời gian thực một cách liên tục,
  • sử dụng embedTLS library cho các chức năng mã hóa và giao tiếp mạng,
  • tạo các URL đặc biệt với thời gian tồn tại ngắn và sử dụng chúng để tải các payload trong suốt cuộc tấn công.

“Mã độc này tận dụng dịch vụ DynDNS và một thuật toán tạo tên miền đặc biệt (DGA) dựa trên blockchain của Dogecoin để tìm tên miền C2 của nó trong thời gian thực.”

Bên cạnh đó, những kẻ tấn công đằng sau chiến dịch mới này cũng đã tìm được cách xâm nhập vào các máy chủ bằng cách liên kết các container mới tạo với thư mục gốc (root directory) của máy chủ. Điều này sẽ cho phép chúng có thể tùy ý truy cập hoặc sửa đổi bất kỳ file nào trên hệ thống.

docker malware attack

“Bằng cách sử dụng cấu hình liên kết, kẻ tấn công có thể kiểm soát tiện ích cron của máy chủ. Chúng sẽ thực hiện sửa đổi cron của máy chủ để có thể thực thi payload đã được tải xuống một cách liên tục.”

“Đây là một cuộc tấn công vô cùng nguy hiểm bởi thực tế kẻ tấn công đã sử dụng các kỹ thuật container escape để giành quyền kiểm soát toàn bộ cơ sở hạ tầng của nạn nhân.”

Sau khi chiếm được quyền điều khiển, mã độc này còn lợi dụng các hệ thống bị xâm nhập để mở rộng việc quét mạng và tìm các cổng (port) được liên kết với Redis, Docker, SSH và HTTP bằng cách sử dụng các công cụ quét như zmap, zgrap hay jq.

Mặc dù đã được tải lên VirusTotal vào ngày 14 tháng 1 năm 2020 và liên tục được quét nhiều lần kể từ đó, nhưng Doki vẫn không bị phát hiện trong khoảng hơn sáu tháng. Đáng ngạc nhiên hơn là, cho đến thời điểm hiện tại, nó vẫn không bị phát hiện bởi bất cứ một trong số 61 công cụ phát hiện mã độc hàng đầu nào.

Docker – phần mềm container nổi bật nhất hiện nay đã bị tấn công hai lần chỉ trong vòng một tháng. Vào cuối tháng trước, kẻ tấn công đã bị phát hiện đang nhắm mục tiêu các API endpoint bị lộ của Docker và phát tán các image độc hại để thực thi các cuộc tấn công DDoS và cho chạy trái phép phần mềm đào tiền ảo.

Các cá nhân và tổ chức đang sử dụng Docker được khuyến cáo không nên tiết lộ công khai API của Docker trên Internet. Tuy nhiên, nếu cần trong các trường hợp đặc biệt thì bạn nên đảm bảo nó chỉ có thể truy cập từ một mạng hoặc một VPN đáng tin cậy, và hãy chỉ để những người dùng đáng tin có quyền kiểm soát Docker daemon của bạn.

Nếu bạn quản lý Docker từ một máy chủ web để cung cấp các container thông qua API, bạn còn nên cẩn trọng hơn nữa trong việc kiểm tra tham số để đảm bảo kẻ tấn công không thể vượt qua các tham số thủ công và khiến Docker tạo ra các container tùy ý.

Theo The Hacker News

Securitydaily.net