La porte dérobée Doki infiltre les serveurs Docker

Une nouvelle porte dérobée Linux nommée Doki infiltre les serveurs Docker dans le cloud, préviennent les chercheurs. Cette porte dérobée utilise un portefeuille blockchain pour générer des noms de domaine de serveurs de commande et de contrôle (C2).

Cependant, Doki est censé fournir de la persistance dans l’exécution de code sur un hôte infecté, ouvrant la voie à des attaques de logiciels malveillants, de déni de service, d’exfiltration d’informations ou encore de rançongiciels, selon Intezer.

La campagne commence par un vecteur d’attaque de plus en plus courant: le compromis de ports API Docker mal configurés. Les attaquants recherchent automatiquement des serveurs Docker accessibles au public, puis les exploitent afin de créer leurs propres conteneurs et exécuter des logiciels malveillants sur l’infrastructure de la victime. Habituellement, ce malware est un cryptominer, comme on l’a vu en Avril dans une campagne de minage de Bitcoin utilisant le malware Kinsing – mais Doki représente une évolution du payload.

doki docker

Les pirates derrière Doki utilisent un botnet basé sur Ngrok pour distribuer la porte dérobée, via un scanner de réseau qui cible des plages d’adresses IP codées en dur pour les fournisseurs de cloud, tels qu’Amazon Web Services et les fournisseurs de cloud locaux en Autriche, en Chine et au Royaume-Uni. Ngrok est un service de proxy inverse légitime utilisé par les cybercriminels pour les communications C2 avec des points de terminaison infectés(bot). Le scanner recherche les cibles potentiellement vulnérables, rassemble les informations pertinentes et les télécharge sur une URL Ngrok contrôlée par les attaquants. Les attaquants compromettent alors les nouvelles cibles.

«Nos preuves montrent qu’il ne faut que quelques heures à partir du moment où un nouveau serveur Docker mal configuré est en ligne pour être infecté par cette campagne», selon les chercheurs d’Intezer dans leur analyse. «Les attaquants génèrent et suppriment un certain nombre de conteneurs au cours de cette attaque.»

La routine d’infection

Après avoir identifié un serveur vulnérable et accédé au serveur via l’API ouverte, les attaquants mettent en place des images accessibles au public dans le Docker Hub. Ces images ne sont pas malveillantes en elles-mêmes, mais elles peuvent être exploitées à des fins malveillantes, telles que la mise en place d’un conteneur, puis l’échapper pour obtenir un accès plus large à l’hôte. Les chercheurs d’Intezer ont noté que les attaquants pouvaient également compromettre une image existante et «exécuter leur propre logique et leur propre logiciel malveillant par-dessus».

Suite à cela, la prochaine étape de l’attaque consiste à créer un conteneur à l’aide d’une requête API «create».

«Le corps de la requête contient des paramètres de configuration pour le conteneur», selon les chercheurs. «L’un des paramètres est ‘ bind ’, qui permet à l’utilisateur de configurer le fichier ou le répertoire de la machine hôte à monter dans un conteneur.»

Dans ce cas, le conteneur est configuré pour lier le répertoire /tmpXXXXXX au répertoire racine du serveur d’hébergement. Cela permet à un conteneur de s’échapper, c’est-à-dire de se libérer des limites du conteneur créé par l’attaquant afin d’interagir avec d’autres conteneurs, et d’afficher et de modifier les configurations. Cela signifie essentiellement que chaque fichier sur le système de fichiers du serveur peut être consulté et modifié, avec les autorisations d’utilisateur appropriées, depuis l’intérieur du conteneur créé par l’attaquant.

«Cette attaque est très dangereuse du fait que l’attaquant utilise des techniques d’évacuation des conteneurs pour prendre le contrôle total de l’infrastructure de la victime», selon Intezer.

Après cela, «l’attaquant abuse de Ngrok pour créer des URL uniques avec une courte durée de vie et les utilise pour télécharger des charges utiles pendant l’attaque en les passant à l’image curl», explique l’analyse. “La charge utile téléchargée est enregistrée dans le répertoire /tmpXXXXXX du conteneur.”

L’une des premières charges utiles est un script de téléchargement, responsable du téléchargement et de l’installation de divers binaires de logiciels malveillants de deuxième étape. Intezer a récemment remarqué que la nouvelle charge utile Doki était récupérée comme l’un des échantillons de deuxième étape.

La charge utile (payload) Doki

Doki est une porte dérobée pour Linux qui exécute tout code reçu par les opérateurs. Il arbore une caractéristique unique: une méthode auparavant non documentée pour trouver et contacter son domaine C2 de manière dynamique en temps réel, en abusant de la blockchain de crypto-monnaie Dogecoin.

Il lance un processus distinct pour établir ses propres communications C2, en plus de celle du botnet. Comme Intezer l’a expliqué, afin de générer un domaine C2 à l’aide de son algorithme de génération de domaine unique (DGA), il interroge l’API dogechain.info, un explorateur de blocs de crypto-monnaie Dogecoin, pour récupérer un montant qui a été dépensé à partir d’une adresse de portefeuille codée en dur contrôlée par l’attaquant. Cette valeur est renvoyée puis hachée avec SHA256; le logiciel malveillant enregistre ensuite les 12 premiers caractères de la représentation sous forme de chaîne hexadécimale de la valeur SHA256 et l’utilise comme sous-domaine.

Il peut ensuite construire une adresse complète en ajoutant le sous-domaine à ddns.net, qui est un domaine proposé par le service DynDNS.

“En utilisant cette technique, l’attaquant contrôle quelle adresse le malware va contacter en transférant une quantité spécifique de Dogecoin depuis son portefeuille”, ont expliqué les chercheurs d’Intezer. «Puisque seul l’attaquant a le contrôle sur le portefeuille, lui seul peut contrôler quand et combien de Dogecoin transférer, et donc changer de domaine en conséquence. De plus, étant donné que la blockchain est à la fois immuable et décentralisée, cette nouvelle méthode peut s’avérer assez résistante à la fois aux suppressions d’infrastructure venant des forces de l’ordre et aux tentatives de filtrage de domaine des produits de sécurité.

doki docker

Les chercheurs ont déclaré que Doki était jusqu’à présent «un composant malveillant totalement non détecté». À savoir, ils n’ont noté que récemment que Doki n’avait été détecté par aucun des 60 moteurs de détection de logiciels malveillants de VirusTotal, bien qu’il ait été téléchargé dans le référentiel le 14 janvier. Au moment de la rédaction de cet article, 24 des 60 moteurs de recherche détectent le malware.

Le botnet Ngrok est une menace urgente qui s’améliore activement au fil du temps, a averti Intezer. Ngrok intègre de nouvelles charges utiles en plus de son activité habituelle de cryptomining.

«La campagne de botnet Ngrok est en cours depuis plus de deux ans et est plutôt efficace, infectant tout serveur API Docker mal configuré en quelques heures», ont déclaré les chercheurs. «L’incorporation du malware Doki unique et non détecté indique que l’opération continue d’évoluer.»

Pour éviter toute infection, les administrateurs Docker doivent rechercher tous les ports exposés, vérifier qu’il n’y a pas de conteneurs étrangers ou inconnus parmi les conteneurs existants et surveiller l’utilisation excessive des ressources.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x