Οι ερευνητές της εταιρείας κυβερνοασφάλειας Trend Micro ανέφεραν ότι οι χειριστές που βρίσκονται πίσω από τα XORDDoS και Kaiji DDoS botnets άρχισαν πρόσφατα να στοχεύουν Docker servers που είναι εκτεθειμένοι στο Διαδίκτυο. Το XORDDoS botnet, που είναι γνωστό και ως XOR.DDoS, εμφανίστηκε για πρώτη φορά το 2014. Πρόκειται για ένα Linux Botnet που χρησιμοποιήθηκε σε επιθέσεις εναντίον εκπαιδευτικών και gaming site, με μαζικές DDoS επιθέσεις που έφτασαν τα 150 gigabytes κακόβουλης κίνησης ανά δευτερόλεπτο. Το Kaiji botnet ανακαλύφθηκε πριν δύο περίπου μήνες από την ερευνητική ομάδα ασφαλείας MalwareMustDie και τους εμπειρογνώμονες της Intezer Labs και στοχεύει Linux-based IoT συσκευές μέσω SSH brute-force επιθέσεων. Σύμφωνα με τους εμπειρογνώμονες, και τα δύο botnets συνδέονται με την Κίνα, ενώ οι παραλλαγές τους που εντοπίστηκαν πρόσφατα από την Trend Micro στόχευσαν πρόσφατα Docker servers. Συγκεκριμένα, η ερευνητές της Trend Micro ανέφεραν πως εντόπισαν παραλλαγές των δύο υπαρχόντων τύπων Linux botnet malware που στοχεύουν εκτεθειμένους Docker servers. Πρόκειται για το XORDDoS malware, που εντοπίστηκε ως Backdoor.Linux.XORDDOS.AE, και το Kaiji DDoS malware, που εντοπίστηκε ως DDoS.Linux.KAIJI.A.
Οι χειριστές των botnets αναζητούν Docker servers των οποίων η θύρα 2375 είναι εκτεθειμένη. Αυτή είναι μία από τις δύο θύρες του Docker API και χρησιμοποιείται για μη εξουσιοδοτημένες και μη κρυπτογραφημένες επικοινωνίες. Οι εμπειρογνώμονες επεσήμαναν ότι υπάρχει μια διαφορά μεταξύ των μεθόδων επίθεσης που εφαρμόζονται από τις δύο παραλλαγές malware. Ειδικότερα, ενώ το XORDDoS botnet μολύνει όλα τα container που φιλοξενούνται στον Docker server, το Kaiji botnet αναπτύσσει το DDoS malware στο δικό του container. Επιπλέον, αφού θέσει σε κίνδυνο έναν Docker server, το XORDDoS εκτελεί μια ακολουθία εντολών για τον εντοπισμό container και τη μόλυνσή τους με το DDoS malware. Το malware μπορεί επίσης να συλλέξει πληροφορίες σχετικά με το παραβιασμένο σύστημα καθώς και να κατεβάσει και να εκτελέσει άλλα payload. Κατά τη διερεύνηση της διεύθυνσης URL που συνδέεται με τον εισβολέα, οι εμπειρογνώμονες ανακάλυψαν άλλα malware, όπως το Backdoor.Linux.DOFLOO.AB, που στοχεύουν Docker container. Οι χειριστές του Kaiji botnet αναζητούν στο Διαδίκτυο εκτεθειμένους Docker servers και αναπτύσσουν ένα ARM container που εκτέλεσε το binary του. Οι ερευνητές ανακάλυψαν ότι οι χειριστές αξιοποιούν ένα script για να κατεβάσουν και να εκτελέσουν το κύριο payload και για να αφαιρέσουν δυαδικά αρχεία Linux που είναι βασικά στοιχεία του λειτουργικού συστήματος αλλά δεν είναι απαραίτητα για την DDoS λειτουργία του. To Kaiji botnet μπορεί επίσης να συλλέξει πληροφορίες σχετικά με το παραβιασμένο σύστημα και να ξεκινήσει διάφορους τύπους DDoS επιθέσεων, συμπεριλαμβανομένων των επιθέσεων ACK, IPS spoof, SSH, SYN, SYNACK, TCP και UDP.
Η Trend Micro συνιστά για την ασφάλεια των Docker servers τα εξής:
- Τηρήστε τις προτεινόμενες βέλτιστες πρακτικές.
- Χρησιμοποιήστε εργαλεία ασφαλείας για σάρωση και ασφαλή container.
- Ασφαλίστε το container host. Επωφεληθείτε από τα εργαλεία παρακολούθησης και “φιλοξενήστε” το container σε ένα λειτουργικό σύστημα που εστιάζει στα container.
- Ασφαλίστε το περιβάλλον δικτύωσης. Χρησιμοποιήστε το σύστημα πρόληψης εισβολής (IPS) και το φιλτράρισμα του Ίντερνετ για να παρέχετε ορατότητα και να παρακολουθείτε την εσωτερική και εξωτερική κίνηση.
- Ασφαλίστε το management stack. Παρακολουθήστε και ασφαλίστε το container registry και κλειδώστε την εγκατάσταση του Kubernetes.
- Ασφαλίστε το build pipeline. Εφαρμόστε ένα ολοκληρωμένο σχήμα ελέγχου πρόσβασης και εγκαταστήστε ισχυρούς endpoint ελέγχους.