無法檢測(cè)到的Linux后門是什么

小編給大家分享一下無法檢測(cè)到的Linux后門是什么，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

Ngrok挖礦僵尸網(wǎng)絡(luò)活動(dòng)正在Internet上掃描配置不當(dāng)?shù)腄ocker API端點(diǎn)，并且已經(jīng)用新的惡意軟件感染了無數(shù)服務(wù)器。

確實(shí)，Ngrok挖礦僵尸網(wǎng)絡(luò)在過去兩年中一直都非?；钴S，但不同的是，新活動(dòng)主要針對(duì)配置錯(cuò)誤的Docker服務(wù)器，并利用它們?cè)谑芎φ叩幕A(chǔ)架構(gòu)上運(yùn)行帶有加密礦工的惡意容器。

這種新的多線程惡意軟件被稱為“Doki”。

Doki，被稱為是一個(gè)完全無法檢測(cè)到的Linux后門，主要利用一種無記錄的方法，通過狗狗幣(一種加密貨幣)區(qū)塊鏈來聯(lián)系其運(yùn)營商，從而動(dòng)態(tài)生成其C2域地址。

據(jù)研究人員稱，Doki

可以執(zhí)行從操作人員發(fā)出的命令

使用Dogecoin加密貨幣區(qū)塊鏈瀏覽器實(shí)時(shí)動(dòng)態(tài)生成其C2域

使用embedTLS庫進(jìn)行加密功能和網(wǎng)絡(luò)通信

創(chuàng)建短生命周期的獨(dú)一無二的URL，并在攻擊期間使用它們下載有效負(fù)載

除此之外，攻擊者還設(shè)法將新創(chuàng)建的容器與服務(wù)器的根目錄綁定，從而使主機(jī)訪問或修改系統(tǒng)上的任何文件，造成破壞。

通過使用綁定配置，攻擊者還可以控制主機(jī)的cron工具，從而修改主機(jī)的cron以每分鐘執(zhí)行下載的有效負(fù)載。

容器逃逸技術(shù)使得攻擊者能夠完全控制受害人的基礎(chǔ)架構(gòu)，因此Doki的威脅程度可見一斑。再加上Doki還利用zmap、zgrap和jq等掃描工具，利用受感染的系統(tǒng)進(jìn)一步掃描網(wǎng)絡(luò)中與Redis，Docker，SSH和HTTP相關(guān)的端口，存在更大的威脅隱患。

盡管2020年1月14日，Doki已上載到VirusTotal，并在此后進(jìn)行了多次掃描，但仍設(shè)法躲藏了六個(gè)月以上。令人驚訝的是，目前它仍然無法被61個(gè)頂級(jí)惡意軟件檢測(cè)引擎中的任何一個(gè)所檢測(cè)到。

因此，建議運(yùn)行Docker實(shí)例的用戶和組織不要將Docker API設(shè)置為公開訪問，或者確保僅從受信任的網(wǎng)絡(luò)或VPN訪問Docker。

以上是“無法檢測(cè)到的Linux后門是什么”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道！