新的XORDDoS, Kaiji DDoS僵尸网络变种目标Docker服务器

华盟原创文章投稿奖励计划

华盟君引言“Trend Micro的安全研究院报告称,XORDDoS和Kaiji DDoS僵尸网络背后的运营商最近顶上了Docker服务器。

XORDDoS,也称为XOR。DDoS,在2014年首次出现在威胁领域,它是一种Linux僵尸网络,用于攻击游戏和教育网站,大规模DDoS攻击达到每秒150g的恶意流量。

今年4月,安全研究人员MalwareMustDie和Intezer实验室的专家发现了Kaiji僵尸网络,当时它正通过SSH暴力攻击基于linux的物联网设备。
据专家称,这两种威胁都与中国有关,Trend Micro最近发现的变种也针对Docker服务器。
Trend Micro在一份报道中表示:“我们最近发现了两种针对暴露Docker服务器的现有Linux僵尸网络恶意软件的变种;这些是XORDDoS恶意软件(被Trend Micro检测到为后门。linux . XORDDoS . ae)和Kaiji DDoS恶意软件(被Trend Micro检测到为DDoS. linux . Kaiji . a)。
僵尸网络运营商正在寻找暴露2375端口的Docker服务器,该端口是Docker API的两个端口之一,用于未经身份验证和未加密的通信。
专家指出,这两种恶意软件变种实施的攻击方法有明显的区别。当XORDDoS机器人感染托管在Docker服务器上的所有容器时,Kaiji机器人将DDoS恶意软件部署在自己的容器中。
在危及Docker服务器时,XORDDoS将运行一系列命令来识别容器,并用DDoS恶意软件感染它们。该恶意软件还可以收集有关受损系统的信息,并下载和执行其他有效负载。
在调查攻击者链接的URL时,专家发现了其他恶意软件,比如Backdoor.Linux.DOFLOO。AB锁定码头集装箱。
Kaiji机器人的操作人员扫描网络,寻找公开的Docker服务器,并部署一个ARM容器来执行其二进制代码。研究人员发现,操作人员利用脚本下载和执行主有效负载,并删除Linux二进制文件,这些文件是操作系统的基本组件,但不是DDoS操作所必需的。
Kaiji还能够收集有关被破坏系统的信息,当然还可以发起各种类型的DDoS攻击,包括ACK、IPS spoof、SSH、SYN、SYNACK、TCP和UDP攻击。
Trend Micro为安全Docker服务器提供以下建议:

1.保护容器主机。利用监视工具,并在以容器为中心的操作系统中托管容器。
2.保护网络环境。使用入侵预防系统(IPS)和网页过滤提供可见性和观察内部和外部流量。
3.保护管理堆栈。监视和保护容器注册表并锁定Kubernetes安装。
4.保护构建管道。实现一个彻底和一致的访问控制方案,并安装强大的端点控制。
5.坚持推荐的最佳实践
6.使用安全工具扫描和保护容器。

华盟君点评:“这次的顶上了Docker,还说和中国有关,不知会不会搞出什么大动作,有在玩Docker的做好以上保护措施.

外媒报道地址:https://securityaffairs.co/wordpress/105134/breaking-news/xorddos-kaiji-ddos-botnet-docker.html

www.idc126.com

本原创,作者:张,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/77169kx/260730.html