您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
:::
> 首頁 > 資安新聞

資安新聞

駭客利用區塊鏈技術隱匿連線行蹤,鎖定Docker環境建置殭屍網路

資安業者Intizer揭露新型態惡意程式Doki,該惡意程式會透過區塊鏈產生C&C中繼站網址,且相關網址大量運用於Docker挖礦攻擊事件。因前述之作法可隱匿中繼站網址,進而使Doki惡意程式在被上傳至惡意軟體分析服務VirusTotal半年後,才陸續有防毒引擎將其判別為惡意程式。

 

此一鎖定Docker之Linux惡意程式Doki,採用DynDNS提供之DNS服務,透過獨特之網域生成演算法(Domain Generation Algorithm, DGA),建立與攻擊者通訊之管道。Intizer表示,若企業建置之Docker提供可公開存取之API,便可能成為潛在攻擊對象,須加以防範,並指出目前已發現攻擊事件,但並未提及受駭規模。

 

一般而言,惡意程式透過網域生成演算法取得C&C中繼站網址之方式,係透過一組字串清單,供惡意程式拼湊出可能之網址,並嘗試進行連線,只要其中一個中繼站網址可使用,駭客便能對惡意程式下達指令,不過此作法會因企業以黑名單阻擋網址而失效。Doki所使用之網域生成演算法,運用加密貨幣多奇幣(Dogecoin)之區塊鏈架構,即時產生Doki所需存取之C&C中繼站網址,使企業難以透過封鎖策略進行防禦。

 

此外,Intizer指出Doki自今年1月14日被上傳至VirusTotal後,直至7月14日,半年內未有防毒引擎將其判別為惡意程式,而在Intizer揭露後,截至7月31日止,已有27個防毒引擎能判別為惡意程式。

Reference

資料來源:

https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/

https://www.bleepingcomputer.com/news/security/sneaky-doki-linux-malware-infiltrates-docker-cloud-instances/

https://thehackernews.com/2020/07/docker-linux-malware.html

技術服務中心整理

Publish Date
2020/7/30 0:00:00