企业在公有云构建容器以提供服务的情况,如今逐渐普遍,但这些容器也成为黑客下手用来挖矿的目标。例如,我们看到ZDNet、Hacker News、Bleeping Computer等媒体报道,安全企业Intizer于7月28日,披露一种锁定Docker的Linux恶意软件Doki,它采用了以往曾未出现的攻击手法,导致在今年1月中旬就被上传到恶意软件分析平台VirusTotal,半年内却没有杀毒引擎发现它是恶意软件。该公司表示,如果企业构建的Docker提供了能够公开访问的API,就可能是潜在的攻击对象,必须加以防范,而且他们已经发现到攻击事件。不过,Intizer没有进一步提及受害的规模。
Doki是一款锁定Linux操作系统的后门程序,黑客采用了DynDNS提供的DNS服务,以及极为独特的域名生成算法(Domain Generation Algorithm,DGA),来创建与攻击者通信的渠道。这个DGA的特别之处,在于攻击者运用了一种名为多奇币(Dogecoin)加密货币的区块链,来算出Doki需要访问的C&C中继站域名,而这样的手法让人难以捉摸。
一般来说,后门程序取得C&C中继站位置的方式,往往是采用了一组字符串清单,供后门程序拼凑出可能的网址,尝试进行连接,只要其中一个中继站的网址可用,黑客就能对后门程序下达指令,不过,此种做法很可能被企业以黑名单阻挡网址而失效。而Doki通过区块链来即时产生所需的网址,企业便难以通过封锁的策略来进行防御。
由于因为这样的做法前所未见,Intizer看到有人在今年1月14日把Doki上传到VirusTotal,当时60个杀毒引擎全都没有识别出攻击特征,过了半年之后,也就是到了7月14日,仍然还是没有任何一款杀毒引擎认为有害。而在Intizer披露之后,我们在31日早上查看VirusTotal,发现有27个杀毒引擎指出它就是Doki,其中有趋势、赛门铁克、卡巴斯基、Check Point,以及FireEye等大型安全厂商,验证Doki为后门程序或是木马程序。Intizer呼吁,企业应该要从对外暴露的连接端口着手检查,并留意环境里是否出现未列管的容器等现象。
Intizer指出,Doki自今年1月14日有人上传到VirusTotal后,直到半年后的7月14日,还是没有杀毒引擎认为这个恶意程序有害。
在Doki被披露后,我们实际在7月31日上午浏览VirusTotal分析网页,全部60款杀毒引擎里,有27款已标示为后门程序或是木马。