資安業者Intizer揭露新型態惡意程式Doki,該惡意程式會透過區塊鏈產生C&C中繼站網址,且相關網址大量運用於Docker挖礦攻擊事件。因前述之作法可隱匿中繼站網址,進而使Doki惡意程式在被上傳至惡意軟體分析服務VirusTotal半年後,才陸續有防毒引擎將其判別為惡意程式。
此一鎖定Docker之Linux惡意程式Doki,採用DynDNS提供之DNS服務,透過獨特之網域生成演算法(Domain Generation Algorithm, DGA),建立與攻擊者通訊之管道。Intizer表示,若企業建置之Docker提供可公開存取之API,便可能成為潛在攻擊對象,須加以防範,並指出目前已發現攻擊事件,但並未提及受駭規模。
一般而言,惡意程式透過網域生成演算法取得C&C中繼站網址之方式,係透過一組字串清單,供惡意程式拼湊出可能之網址,並嘗試進行連線,只要其中一個中繼站網址可使用,駭客便能對惡意程式下達指令,不過此作法會因企業以黑名單阻擋網址而失效。Doki所使用之網域生成演算法,運用加密貨幣多奇幣(Dogecoin)之區塊鏈架構,即時產生Doki所需存取之C&C中繼站網址,使企業難以透過封鎖策略進行防禦。
此外,Intizer指出Doki自今年1月14日被上傳至VirusTotal後,直至7月14日,半年內未有防毒引擎將其判別為惡意程式,而在Intizer揭露後,截至7月31日止,已有27個防毒引擎能判別為惡意程式。
資料來源:
https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/
https://www.bleepingcomputer.com/news/security/sneaky-doki-linux-malware-infiltrates-docker-cloud-instances/
https://thehackernews.com/2020/07/docker-linux-malware.html