Linux惡意軟件利用狗幣API入侵

隨著越來越多的公司將工作負(fù)載轉(zhuǎn)移到云中，Linux威脅越來越普遍，網(wǎng)絡(luò)犯罪分子已經(jīng)開發(fā)了新的工具和技術(shù)來對(duì)Linux基礎(chǔ)架構(gòu)發(fā)起攻擊。

其中一種他們常用的手段是掃描可被公開訪問的Docker服務(wù)器，然后利用配置錯(cuò)誤的Docker API端口來設(shè)置自己的環(huán)境并在受害者的基礎(chǔ)設(shè)施上運(yùn)行惡意軟件。而Ngrok botnet則是其中一個(gè)利用這種方法、并且現(xiàn)存持續(xù)時(shí)間最久的一個(gè)攻擊活動(dòng)。根據(jù)Intezer Labs的一份新報(bào)告顯示，只需要僅僅數(shù)小時(shí)攻擊者就可以透過這樣的攻擊來入侵一個(gè)配置錯(cuò)誤的Docker服務(wù)器。

不過最近又有一種新的惡意軟件出現(xiàn)了，而它與那些通常在這種攻擊中都會(huì)部署的挖礦程序不同，Intezer Labs將其稱為Doki。Doki與別不同的地方在于它會(huì)利用狗幣API來尋找目標(biāo)的命令與控制(C&C)服務(wù)器的URL地址。嗯，狗幣就是這個(gè)。

一旦攻擊者利用Docker API在公司的云端環(huán)境中部署新服務(wù)器的話，那么這個(gè)使用Alpine Linux的服務(wù)器就會(huì)被挖礦程序以及Doki所感染。

Intezer研究人員表示，Doki的目的是容許攻擊者對(duì)他們劫持的服務(wù)器進(jìn)行控制，來確保其加密挖礦操作得以繼續(xù)，而Doki就是通過狗幣API來決定其用來接收新指示所需要的C&;C服務(wù)器的URL地址。

Doki使用一種稱為DGA，或者域生成算法的動(dòng)態(tài)算法來確定C&C服務(wù)器的地址。Ngrok botnet的幕后黑手也可以通過在他們控制的狗幣錢包內(nèi)進(jìn)行一次交易，來更改惡意軟件用于接收命令的服務(wù)器，因此攻擊者可以阻止受影響的公司甚至執(zhí)法部門拆除后端基礎(chǔ)架構(gòu)。