Os atacantes estão fazendo uma varredura ativa das APIs Docker expostas na porta 2375 e as utilizam para implantar uma carga maliciosa que descarta uma variante Dofloo Trojan, um malware conhecido como uma ferramenta popular para a criação de botnets de grande escala.
O malware Dofloo (aka AESDDoS) foi detectado pela primeira vez em 2014 [1, 2, 3, 4] e é conhecido por permitir que hackers montem rapidamente um grande número de máquinas comprometidas usadas para criar botnets que podem lançar ataques DDoS e – no caso de algumas variantes – para carregar mineiros de criptomoedas para as máquinas infectadas.
Os serviços Docker mal configurados sendo usados abusivamente são uma tendência conhecida, pois estão sob constante ataque desde o início de 2018, depois que as campanhas do coinminer começaram a se espalhar para a nuvem após a queda na atividade vista pelas operações de ransomware após o final de 2017.
Ataques, infecção e abuso
Na campanha observada pela Trend Micro, APIs mal configuradas do utilitário Docker Engine-Community DevOps, que permitem acesso externo às portas de comunicação, são abusadas por invasores, possibilitando a infiltração de servidores configurados incorretamente.
‘Permitir acesso externo – seja intencionalmente ou por configuração incorreta – a portas API permite que invasores obtenham a propriedade do host, dando a eles a capacidade de envenenar instâncias em execução com malware e obter acesso remoto a servidores e recursos de hardware dos usuários’, diz Trend Micro.
Os ataques começam com uma varredura na Internet de hosts Docker vulneráveis enviando pacotes TCP SYN para a porta 2375 – a porta de comunicação do daemon Docker que permite a comunicação não criptografada e não autenticada – usando um scanner de portas SYN / TCP de código aberto, com os mal-intencionados se conectando a todos host ao vivo eles encontraram e pediram a execução de contêineres.
O malware botnet Dofloo é subseqüentemente ‘implantado usando o comando docker exec’ em todos os contêineres descobertos, diz a pesquisa da Trend Micro, executando o malware que permitirá aos ‘invasores lançarem vários tipos de ataques DDoS, como SYN, LSYN, UDP, UDPS, e inundação TCP ‘.
As informações do sistema também são coletadas pelo Trojan após a execução, com os dados sendo empacotados e enviados para seu servidor de comando e controle (C & C), permitindo que seus mestres decidam qual será o próximo curso de ação, dependendo da configuração de hardware do comprometimento. máquina.
A equipe de pesquisa da Trend Micro fornece uma lista de indicadores de comprometimento (IOCs) contendo hashes de amostras de malware usadas durante esses ataques no final do relatório.
Ataques anteriores Dofloo e Docker
O Dofloo foi detectado anteriormente ao ser descartado por uma campanha maliciosa que explorou uma vulnerabilidade de injeção do Atlassian Confluence Server e do Data Center para comprometer os servidores Linux e Windows no final de abril.
As APIs expostas do Docker foram abusadas por outras campanhas maliciosas, sendo uma delas detectada em março pela Imperva durante a exploração da vulnerabilidade CVE-2019-5736, revelada um mês antes, permitindo que invasores sobrescrevessem o binário hostc e obtivessem privilégios de execução de código no nível raiz.
As operações de criptografia também atacaram ativamente os serviços Docker mal configurados em novembro de 2018, conforme descoberto pelos pesquisadores da Juniper Networks, com os cibercriminosos adicionando seus próprios contêineres que executavam os scripts de mineração do Monero.
Mais para trás, em outubro de 2018 e março de 2018, outras campanhas também foram observadas durante a varredura da Internet para facilitar a infiltração de hosts do Docker e implantar contêineres que baixariam e executariam mineradores de moedas.
Protegendo servidores Docker
Embora o abuso da API do Docker Engine não seja algo novo, ele continua sendo um problema porque os administradores não sabem como proteger adequadamente seus sistemas.
Para garantir que seus hosts do Docker sejam protegidos contra esse tipo de ataque, os administradores devem usar controles de segurança adequados que permitam que apenas fontes confiáveis acessem a API do Docker, conforme explicado no capítulo daemon de proteção do Docking Securing disponível no site de documentação do Docker.
E Você o que achou das exposições? Comente logo abaixo para sabermos a sua opnião. E Não deixe de visitar: www.deltaservers.com.br para acompanhar as novidades no site da Delta!
