Новые вредоносные программы для Linux использует API Догкоин, чтобы найти C&C сервера адреса

Dogecoin logo

Сайт ZDNet Рекомендует

Best antivirus software and apps in 2020: Keep your PCs, smartphones, and tablets safe

Лучшее антивирусное программное обеспечение и приложения в 2020 году: сохранить ваш ПК, смартфонов и планшетов безопасный

Обзор лучших программ и приложений для Windows и Mac, а также iOS и Android устройств, чтобы держать себя в безопасности от вредоносных программ и вирусов.

Подробнее

В то время как Linux вредоносные программы был один раз, сидя на краю экосистема вредоносных программ, сегодня новые угрозы для Linux обнаруживаются на еженедельной основе.

Последний вывод был сделан из Intezer лаборатории. В отчете поделился с ZDNet на этой неделе, компания проанализировала доки, новый троян они заметили в составе Арсенала старого актера опасный известен, предназначенной для веб-сервера для крипто-майнинг целей.

Актер угрозой, известной как сайту ngrok из-за своей изначальной склонностью к с помощью сервиса сайту ngrok за организацию контроля и управления (С&C) серверов, действует с, по крайней мере, конец 2018 года.

Intezer лаборатории исследователи говорят, что в последних нападениях, совершенных группой сайту ngrok в этом году, хакеры целевых установок, Докер, где API управления была в Контакте онлайн.

Хакеры надругались над Докер API для развертывания новых серверов внутри облачной инфраструктуры компании. Серверы, работает версия Alpine Linux, то были заражены крипто-майнинг вредоносные программы, но и доки.

doki-ngrok.pngdoki-ngrok.png


Изображения: Intezer

Как доки использует API для Dogecoin

Исследователи заявили, что цели доки заключалась в том, чтобы позволить хакерам контролировать их вновь развернуты сервера альпийских Linux, чтобы убедиться, что крипто-майнинг операций выполняется надлежащим образом.

Однако, в то время как его назначение и использование может выглядеть банале, под капотом, Intezer говорит доки отличается от других подобных троянов, бэкдор.

Самая очевидная деталь, как доки определяют URL-адрес сервера, он нужен для подключения новых инструкций.

В то время как некоторые штаммы вредоносных программ, подключение к сырой IP-адреса или жестко задать URL-адрес включены в их исходный код, доки используется динамический алгоритм — известен как ДГА (алгоритм генерации домена) — для определения С и-адрес с использованием API для Dogecoin.

Процесс, как реконструированы исследователями Intezer, подробно ниже:

  1. Dogechain.info API запросов, Догкоин, криптовалюта блок Explorer, для valuet шляпа была отправлены (израсходованы) из жестко-адрес кошелька, подконтрольный злоумышленнику. Запрос формата: https://dogechain.info/api/v1/address/sent/{адрес}
  2. Выполнять SHA256 на значение, возвращаемое в разделе «отправленные»
  3. Сохранить первые 12 символов из шестнадцатеричного-строковое представление значение SHA256,который будет использоваться в качестве поддомена.
  4. Построить полный адрес путем добавления субдомена ddns.net. Пример домена будет: 6d77335c4f23[.]у[.]чистая

Что все описанные выше шаги, это к тому, что создатели доки по сайту ngrok банды, можете сменить сервер, где доки получает своей команды, сделав одну транзакцию внутри Догкоин кошелек, которые они контролируют.

Если с DynDNS (ddns.net) получает уведомление о нарушении о текущем доки URL-адресу C&C и берет его вниз, сайту ngrok банды только сделать новую проводку, определить значение поддомен и настроить аккаунт DynDNS и захватить поддомен.

Этот механизм, умный, как это, также является эффективным способом предотвращения правоохранительных органов снимая доки серверной инфраструктуры, так как они должны были бы взять под контроль сайту ngrok банды бумажник Dogecoin, то, что было бы невозможно без кошелька криптографический ключ.

Intezer говорит, что на основе образцов, представленных на веб-сканером VirusTotal, доки, кажется, были вокруг с января этого года. Однако, Intezer также указывает, что несмотря на то, что вокруг в течение более шести месяцев, вредоносная программа была обнаружена на большинство сегодняшних сайта Линукс проверке.

Рост числа нападений на случаи Докер

Кроме того, в то время как доки механизм вредоносных программ на C&C-это что-то умное и Романа, реальной угрозой здесь является постоянными атаками на сервера Докер.

За последние несколько месяцев, серверов настройки участились случаи нападений на операторов вредоносные программы, и особенно крипто-майнинг банд.

Только за последний месяц, кибер-безопасности фирмы имеют детальный нескольких различных крипто-майнинг кампании, ориентированные неправильно Апис настройки для развертывания новых серверов Linux, где они работают крипто-майнинг вредоносные программы получить прибыль, используя инфраструктуру жертвы.

Это включает в себя сообщения из сетей Пало-Альто, и два сообщения от аква [1, 2]. Кроме того, кибер-безопасность компания Trend Micro также сообщила о серии нападений, где хакеры целевых серверах настройки для установки DDoS-атак вредоносных программ, редкий случай, когда хакеры не остановились на крипто-майнинг полезной нагрузки.

В целом, можно сделать вывод, что работает с докер, как их программное обеспечение виртуализация в облаке, нужно убедиться, что API-интерфейс управления интерфейс не подключен к интернету-небольшой неправильной настройки, которая позволяет третьим сторонам контролировать свои настройки установить.

В своем докладе, Intezer специально указывает на этот вопрос, предупреждая, что сайту ngrok банда была настолько агрессивной и настойчивой в своих сканирования и атак, которые обычно развертывается ее обеспечением в течение нескольких часов после настройки сервера стали открываться онлайн.

15 из 10

Далее

ПРЕД’

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *