„Doki“-Malware greift Docker-Server mit Dogecoin an

Malware, die sechs Monate lang unentdeckt geblieben ist, nutzt falsch konfigurierte Docker-API-Ports aus, um schädliche Payloads zu starten, und missbraucht dabei die Dogecoin-Kryptowährungs-Blockchain.

Die als „Doki“ bekannte Malware zielt laut Intezer-Forschern auf falsch konfigurierte containerisierte Umgebungen ab, die auf Azure, AWS und einer Reihe anderer großer Cloud-Plattformen gehostet werden, wobei Angreifer in der Lage sind, öffentlich zugängliche Docker-API-Ports zu finden und sie auszunutzen, um ihre zu etablieren eigene Container.

Doki ist dann in der Lage, Malware auf der Grundlage des von seinen Betreibern erhaltenen Codes auf der Zielinfrastruktur zu installieren und während des Prozesses Container zu erzeugen und zu löschen.

Doki dient als nicht erkennbare Linux-Hintertür und stellt eine Weiterentwicklung der zwei Jahre alten Ngrok-Botnet-Kampagne dar. Alarmierenderweise ist es ihm auch gelungen, seit seiner ersten Analyse im Januar 2020 jede der 60 Malware-Plattformen zu umgehen, die auf VirusTotal aufgeführt sind.

Diese besondere Sorte ist insofern ungewöhnlich, als sie die Dogecoin-Kryptowährungs-Blockchain missbraucht, um diese containerisierten Umgebungen anzugreifen. Die Angreifer verwenden eine ziemlich ausgeklügelte Methode, um zu verhindern, dass die Botnet-Infrastruktur außer Betrieb genommen wird. Dazu gehört die dynamische Änderung der Domain des Command-and-Control-Servers (C2) basierend auf den in einer Dogecoin-Wallet aufgezeichneten Transaktionen.

Die C2-Domainadresse, von der die Nutzlast gesendet wird, ändert sich basierend auf der Menge an Dogecoin in der Brieftasche zu einem bestimmten Zeitpunkt. Wenn eine Kryptowährung der Brieftasche hinzugefügt oder daraus entfernt wird, verschlüsselt das System die Transaktion und erstellt eine neue eindeutige Adresse, von der aus sie die Doki-Malware kontrollieren können.

Aufgrund der sicheren und dezentralisierten Natur von Blockchain kann diese Infrastruktur nicht von Strafverfolgungsbehörden abgeschaltet werden, und neue Adressen können nicht von anderen vorweggenommen werden, da nur die Angreifer Transaktionen auf ihrer Dogecoin-Wallet durchführen können.

„Linux-Bedrohungen werden immer häufiger. Ein Faktor, der dazu beiträgt, ist die zunehmende Verlagerung und Abhängigkeit von Cloud-Umgebungen, die hauptsächlich auf einer Linux-Infrastruktur basieren“, sagten die Forscher Nicole Fishbein und Michael Kajiloti. „Daher haben sich Angreifer mit neuen Tools und Techniken, die speziell für diese Infrastruktur entwickelt wurden, entsprechend angepasst.“

Historisch gesehen war das Ngrok-Botnet eine der am weitesten verbreiteten Bedrohungen, die falsch konfigurierte Docker-API-Ports so missbrauchten, dass Malware ausgeführt wurde, fügten sie hinzu. Als Teil des Angriffs missbrauchten die Hacker Docker-Konfigurationsfunktionen, um Containerbeschränkungen zu umgehen und verschiedene Payloads vom Host auszuführen.

Solche Bedrohungen setzen auch Netzwerkscanner ein, um die IP-Bereiche der Cloud-Anbieter für zusätzliche potenziell anfällige Ziele zu identifizieren. Was es so gefährlich macht, ist, dass es nur wenige Stunden dauert, bis ein falsch konfigurierter Docker-Server online ist, um infiziert zu werden.

Da die Kryptowährungs-Blockchain, die die Hacker missbrauchen, unveränderlich und dezentralisiert ist, fügten Fishbein und Kajiloti hinzu, ist die Methode unterdessen resistent gegen Infrastrukturabschaltungen sowie Domain-Filterversuche.

Hacker können im Rahmen des Angriffs beliebige Container erstellen und Code vom Hostcomputer ausführen, indem sie eine Container-Escape-Methode ausnutzen. Dies basiert auf der Erstellung eines neuen Containers, was durch das Posten einer „Create“-API-Anfrage erreicht wird.

Jeder Container basiert auf einem Alpine-Image mit installiertem Curl, das an sich nicht bösartig ist, sondern missbraucht wird, um den Angriff mit Curl-Befehlen auszuführen, die aktiviert werden, sobald der Container betriebsbereit ist.

Hacker missbrauchen dann den Ngrok-Dienst, der sichere Tunnel zur Verbindung zwischen lokalen Servern und dem öffentlichen Internet bereitstellt, um eindeutige URLs mit kurzer Lebensdauer zu erstellen und sie zum Herunterladen von Nutzlasten während des Angriffs zu verwenden, indem sie sie an das Curl-basierte Bild weiterleiten.

„Die Ngrok-Botnet-Kampagne läuft seit über zwei Jahren und ist ziemlich effektiv, da sie jeden falsch konfigurierten Docker-API-Server innerhalb weniger Stunden infiziert“, fügten Nicole Fishbein und Michael Kajiloti hinzu. „Die Integration der einzigartigen und unentdeckten Doki-Malware zeigt, dass sich der Vorgang ständig weiterentwickelt.

„Dieser Angriff ist sehr gefährlich, da der Angreifer Container-Escape-Techniken einsetzt, um die vollständige Kontrolle über die Infrastruktur des Opfers zu erlangen. Unsere Beweise zeigen, dass es nur wenige Stunden dauert, bis ein neuer falsch konfigurierter Docker-Server online ist, um von dieser Kampagne infiziert zu werden.“

Die Forscher haben empfohlen, dass sowohl Unternehmen als auch Einzelpersonen, die Cloud-basierte Container-Server besitzen, ihre Konfigurationseinstellungen sofort korrigieren müssen, um zu verhindern, dass sie der Bedrohung ausgesetzt werden. Dieser Prozess umfasst die Überprüfung auf exponierte Ports, die Überprüfung, dass sich unter den vorhandenen Containern keine fremden oder unbekannten Container befinden, und die Überwachung einer übermäßigen Nutzung von Rechenressourcen.