一个没法检测到的Linux恶意软件 Doki
发布时间:2022-07-29 10:20:46 所属栏目:安全 来源:互联网
导读:Intezer研究人员发现Ngrok 挖矿僵尸网络正在扫描互联网上错误配置的Docker API端点,并用新的恶意软件来感染有漏洞的服务器。Ngrok僵尸网络已经活跃了2年的时间,本次攻击活动主要针对错误配置的Docker服务器,并在受害者基础设施上搭建进行加密货币挖矿的恶
|
Intezer研究人员发现Ngrok 挖矿僵尸网络正在扫描互联网上错误配置的Docker API端点,并用新的恶意软件来感染有漏洞的服务器。Ngrok僵尸网络已经活跃了2年的时间,本次攻击活动主要针对错误配置的Docker服务器,并在受害者基础设施上搭建进行加密货币挖矿的恶意容器。 Doki是一款多线程的恶意软件,使用了Dogecoin区块链以一种动态的方式在生成C2域名地址实现了与运营者通信的无文件方法。Doki恶意软件的功能包括: 执行从运营者处接收的命令; 使用Dogecoin 区块链浏览器来实时、动态地生成其C2域名; 使用embedTLS库用于加密和网络通信; 构造短期有效的URL,并使用这些URL来下载payload。 由于攻击者可以利用容器逃逸技术完全控制受害者的基础设施,因为攻击非常危险。一旦安装成功,Doki既可以利用被入侵的系统来扫描与Redis、Docker、 SSH、 HTTP相关的端口。 第一个Doki样本是2020年1月14日上传到VirusTotal的,截止目前,61个顶级的恶意软件检测引擎都无法成功检测出Doki。也就是说,过去6个月,用户和研究人员对Doki的恶意活动是完全无感知的。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号