溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
小編給大家分享一下無法檢測到的Linux后門是什么,相信大部分人都還不怎么了解,因此分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后大有收獲,下面讓我們一起去了解一下吧!
Ngrok挖礦僵尸網絡活動正在Internet上掃描配置不當的Docker API端點,并且已經用新的惡意軟件感染了無數服務器。
確實,Ngrok挖礦僵尸網絡在過去兩年中一直都非常活躍,但不同的是,新活動主要針對配置錯誤的Docker服務器,并利用它們在受害者的基礎架構上運行帶有加密礦工的惡意容器。
這種新的多線程惡意軟件被稱為“Doki”。
Doki,被稱為是一個完全無法檢測到的Linux后門,主要利用一種無記錄的方法,通過狗狗幣(一種加密貨幣)區塊鏈來聯系其運營商,從而動態生成其C2域地址。
據研究人員稱,Doki
可以執行從操作人員發出的命令
使用Dogecoin加密貨幣區塊鏈瀏覽器實時動態生成其C2域
使用embedTLS庫進行加密功能和網絡通信
創建短生命周期的獨一無二的URL,并在攻擊期間使用它們下載有效負載
除此之外,攻擊者還設法將新創建的容器與服務器的根目錄綁定,從而使主機訪問或修改系統上的任何文件,造成破壞。
通過使用綁定配置,攻擊者還可以控制主機的cron工具,從而修改主機的cron以每分鐘執行下載的有效負載。
容器逃逸技術使得攻擊者能夠完全控制受害人的基礎架構,因此Doki的威脅程度可見一斑。再加上Doki還利用zmap、zgrap和jq等掃描工具,利用受感染的系統進一步掃描網絡中與Redis,Docker,SSH和HTTP相關的端口,存在更大的威脅隱患。
盡管2020年1月14日,Doki已上載到VirusTotal,并在此后進行了多次掃描,但仍設法躲藏了六個月以上。令人驚訝的是,目前它仍然無法被61個頂級惡意軟件檢測引擎中的任何一個所檢測到。
因此,建議運行Docker實例的用戶和組織不要將Docker API設置為公開訪問,或者確保僅從受信任的網絡或VPN訪問Docker。
以上是“無法檢測到的Linux后門是什么”這篇文章的所有內容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內容對大家有所幫助,如果還想學習更多知識,歡迎關注億速云行業資訊頻道!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
