Sehr schwierig nachweisbare Malware nimmt Docker-Server ins Visier

29. Juli 2020, 13:44
  • security
  • cyberangriff
  • docker
  • cloud
  • linux
  • channel
image

"Doki" verwendet ganz neuartige Tarnungsmethoden und kann aus Containern "ausbrechen."

Wie 'The Hacker News' berichtet, haben Experten des Security-Unternehmens Intezer eine neuartige Linux-Malware beschrieben, die via schlecht konfigurierte APIs Docker-Container infiziert.
Schon seit langer Zeit, schreiben die Experten von Intezer, ist eine Attacke auf offene Docker-APIs via das Botnet "Ngrok" im Gang.
Das Ziel der Angreifer war es bisher, Kryptomining-Malware auf den Hosts zu installieren. Nun aber hat Intezer entdeckt, dass im Rahmen dieser Angriffe eine neue Malware auf die Container geschleust wird. Diese von Intezer "Doki" genannte Malware ist eine Hintertür, über welche die Angreifer die volle Kontrolle übernehmen können. Und schlimmer noch: Sie gibt den Angreifern gemäss den Intezer-Leuten auch die Möglichkeit, aus Containern "auszubrechen" und die Kontrolle über die gesamte Infrastruktur eines Opfers zu übernehmen.

Nur die wenigsten AV-Engines finden "Doki"

Zudem verwendet Doki laut Intezer ganz neue Techniken, um sich selbst und die Kommunikation mit den C2-Servern (Command & Control Server) der Angreifer zu tarnen. Laut Intezer wurde die Doki-Malware bereits am 14. Januar erstmals auf Virustotal hochgeladen. Keine der 60 Antivirenengines auf Virustotal erkannte Doki als Malware. Dies war auch am gestrigen 28. Juli noch so, als die Intezer-Leute ihren Bericht veröffentlichten. Mittlerweile wird Doki aber offenbar immerhin von sechs der Engines erkannt und diese Zahl dürfte weiter steigen.
Doki verwendet beispielsweise den DynDNS-Service sowie eine neuartige Methode, um die Domain zu finden, unter der der C2-Server gegenwärtig erreichbar ist. Dazu schickt Doki eine Anfrage an Dogecoin.info, den Block-Explorer, der Kryptowährung Dogecoin. Die Malware fragt, ob und falls ja wieviel Dogecoin von einer bestimmten Wallet-Adresse ausbezahlt wurde.
Die Höhe dieser Zahlung wird dann von Doki verwendet, um mittels eines Algorithmus zu berechnen, welche Domain der C2-Server gerade benützt und kann ihn so kontaktieren.

Loading

Mehr zum Thema

image

Ransomware-Banden kaufen Erstzugänge extern ein

Für nur gerade 10 Dollar können sich Cyberkriminelle auf Darkweb-Flohmärkten Zugänge zu Systemen kaufen. Damit können sie dann Schlimmes anrichten.

publiziert am 29.9.2022
image

All for One legt Schweizer Töchter zusammen

Die beiden SAP-Dienstleister Process-Partner und ASC werden zu All for One Switzerland.

publiziert am 29.9.2022
image

Geopolitische Lage dämpft Erwartungen der Schweizer ICT-Branche

Der Swico-Index zur Stimmung in der ICT-Branche ist erneut rückläufig. Die Anbieter glauben aber, dass sich die Auftragslage positiv entwickelt.

publiziert am 28.9.2022
image

Abra Software will nach Besitzerwechsel expandieren

Das Investment-Unternehmen Elvaston hat die Aktienmehrheit übernommen. Nun soll der ERP-Anbieter durch weitere Akquisitionen wachsen.

publiziert am 28.9.2022