Sicherheitsexperten haben zwei neue Botnets entdeckt, die auf Docker-Servern gestartet werden und auf Linux-Systemen ausgeführt werden können, Sie heißen XORDDoS und Kaiji. Die Live-Angriffe wurden während einer groß angelegten weltweiten Kampagne entdeckt, die als äußerst gefährlich eingestuft wird.
Docker-Server, auf die die Linux-Botnets XORDDoS und Kaiji aktiv abzielen
Hacker starten weiterhin verheerende Angriffe gegen Docker-Server, Hosting-Unternehmen und Unternehmensnetzwerke. Dies geschieht normalerweise mithilfe von E-Mail-Phishing-Nachrichten, mit denen versucht wird, Mitarbeiter und Benutzer dazu zu bringen, einen Virus in ein Computernetzwerk herunterzuladen und von da an eine gefährliche, weit verbreitete Infektion zu verursachen. Die andere beliebte Methode basiert auf der Verwendung automatisierter oder manuell konfigurierter Hacking-Tools, mit denen ein anfälliger Netzwerkangriff beendet oder gehackt werden kann.
Die XORDDoS und Kaiji Botnets sind die neuesten Bedrohungen, die von der Sicherheitsgemeinschaft erkannt wurden. Sie wurden speziell für Docker-Server entwickelt, die in der Webhosting-Branche eingesetzt werden, Industrieanlagen und Cloud-Netzwerke für Unternehmensproduktivität. Das Kaiji-Botnetz ist eine ältere Infektion, die zuvor bei Infektionen mit großen IoT-Geräten verwendet wurde.
Andererseits ist das XORDDoS-Botnetz eine neue Infektion, die bis jetzt nicht bekannt war. Die Angriffe mit diesen beiden Botnetzen finden ungefähr zur gleichen Zeit statt, was Anlass zu der Annahme gibt, dass sie möglicherweise von denselben Hacking-Gruppen oder mehreren kriminellen Kollektiven gleichzeitig betrieben werden. Sie zielen Computernetzwerke auf der ganzen Welt ohne Rücksicht auf einen einzelnen Standort oder ein Unternehmen.
Die Angriffe mit diesen Botnetzen werden durch Ausführen ausgeführt Brute-Force-Angriffe die gegen die Zielnetzwerke gerichtet sind. Die aktuelle Konfiguration sucht in drei Diensten nach Schwachstellen - Secure Shell, Telnet und Docker. Der von Docker verwendete Port ist 2375 Es wurde festgestellt, dass ein unverschlüsselter und nicht authentifizierter Kommunikationskanal verwendet wird.
Funktionen in XORDDoS und Kaiji Botnet: Was machen Sie?
Es gibt einen bemerkenswerten Unterschied zwischen dem Infektionsmechanismus. Das XORDDoS-Botnetz wird gegen die Netzwerke mit dem Hauptziel gestartet, den Docker-Server und alle in Containern enthaltenen zu infizieren, während Kaiji seinen eigenen Container mit Virencode bereitstellt. Beide verlassen sich auf DDoS Angriffsmechanismus - Eine große Anzahl von Netzwerkpaketen wird an die Zielnetzwerke gesendet, in denen sich ein empfangender Server befindet. Wenn die Anzahl der Netzwerkanforderungen zu hoch ist, stürzt dies ab und führt zur Ausnutzung der Sicherheitsanfälligkeit.
Sobald das XORDDoS-Botnetz auf einem bestimmten Computer installiert ist, wird ein Befehl ausgelöst Laden Sie eine Remote-Datei herunter Das wird der eigentliche Virencode sein. Die Malware wird in dieser Datei mithilfe einer XOR-Verschlüsselung versteckt, Der Nutzlast-Entschlüsselungsmechanismus entpackt es auf die Maschinen des Opfers. Dies startet eine Trojan-Modul Dadurch wird eine Verbindung zu einem von Hackern kontrollierten Server hergestellt, über den die Kriminellen die Kontrolle über die Systeme übernehmen können. Eine weitere böswillige Aktion, die im Rahmen der Infektion ausgeführt wird, ist die Erstellung von a persistierende Infektion — Durch die Bedrohung wird das System neu konfiguriert, sodass der Virus automatisch gestartet wird und das Entfernen mit manuellen Methoden nur sehr schwer möglich ist.
Das Hauptziel des Botnetzes ist die Initiierung verteilter Denial-of-Service-Angriff unter Verwendung der allgemeinen Pakettypen SYN, ACK und DNS. Als Teil der Malware-Engine kann sie sich auch selbst herunterladen und aktualisieren. Die XORDDoS-Botnet-Malware ist ebenfalls für die Verbreitung verantwortlich Informationsbeschaffung der folgenden Daten:
- Prozessorinformationsbericht
- Prüfsummen der laufenden Prozesse
- Speicherinformationen
- Netzwerkgeschwindigkeit
- IDs der laufenden Prozesse
Während Kaiji Botnetz folgt ungefähr der gleichen Reihenfolge, in der es sich auch durch eine unterscheidet Erweiterte Paketunterstützung für den Denial-of-Service-Angriff: ACK, IPS-Parodie, SSH, SYN, SYNACK, TCP-Flut und UDP-Flut.
Es wurde festgestellt, dass die Angriffe von URls und Netzwerken stammen, die zuvor Malware bereitgestellt haben. Aus diesem Grund wird vermutet, dass die Hacking-Gruppen erfahren sind oder dass die Infrastruktur an verschiedene Hacking-Gruppen ausgeliehen wurde.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: