Los expertos en seguridad han descubierto dos nuevas botnets que se lanzan contra servidores Docker y están diseñadas para ejecutarse en sistemas Linux, se llaman XORDDoS y Kaiji. Los ataques en vivo se han detectado durante una campaña mundial a gran escala que se considera extremadamente peligrosa..
Servidores Docker dirigidos activamente por las botnets XORDDoS y Kaiji Linux
Los hackers continúan lanzando ataques devastadores contra los servidores Docker, empresas de hosting y redes empresariales. Esto generalmente se hace mediante el uso de mensajes de phishing por correo electrónico que intentan manipular a los empleados y usuarios para que descarguen un virus en una red informática y, a partir de ahí, causen una infección generalizada peligrosa. El otro método popular se basa en el uso de herramientas de pirateo automatizadas o configuradas manualmente que están diseñadas para eliminar o piratear un ataque de red vulnerable..
El XORDDoS y Kaiji Las botnets son las últimas amenazas detectadas por la comunidad de seguridad.. Se destacan por haber sido creados específicamente para servidores Docker que se utilizan en la industria del alojamiento web., instalaciones industriales y redes empresariales de productividad en la nube. La botnet Kaiji es una infección más antigua que se usaba anteriormente en infecciones de dispositivos IoT de gran tamaño..
Por otro lado, la botnet XORDDoS es una nueva infección que no se conoce hasta el momento.. Los ataques que utilizan estas dos redes de bots tienen lugar aproximadamente al mismo tiempo, lo que nos da razones para creer que pueden ser operados por los mismos grupos de piratería o varios colectivos criminales a la vez. Están apuntando redes de computadoras alrededor del mundo sin tener en cuenta una sola ubicación o empresa.
Los ataques que utilizan estas botnets se realizan realizando ataques de fuerza bruta que se dirigen contra las redes de destino. La configuración actual busca debilidades en tres servicios: Secure Shell, Telnet y Docker. El puerto utilizado por Docker es 2375 se ha encontrado que utiliza un canal de comunicaciones no cifrado y no autenticado.
Capacidades en XORDDoS y Kaiji Botnet: Qué hacen?
Hay una diferencia notable entre el mecanismo de infección.. La botnet XORDDoS se lanzará contra las redes con el objetivo principal de infectar el servidor Docker y todo contenido dentro de los contenedores, mientras que Kaiji desplegará su propio contenedor que contiene el código de virus. Ambos confían en DDoS mecanismo de ataque: se enviará una gran cantidad de paquetes de red a las redes de destino que alojan un servidor receptor. Cuando el número de solicitudes de red es demasiado, se bloquea y se aprovecha la vulnerabilidad..
Tan pronto como se instala la botnet XORDDoS en una computadora determinada, se activará un comando para descargar un archivo remoto cuál será el código de virus real. El malware está oculto dentro de este archivo usando un cifrado XOR, el mecanismo de descifrado de la carga útil lo descomprimirá en las máquinas víctimas. Esto lanzará un módulo de Troya eso establecerá una conexión a un servidor controlado por piratas informáticos que permitirá a los delincuentes tomar el control de los sistemas. Otra acción maliciosa que se ejecutará como parte de la infección es la creación de un infección persistente — la amenaza reconfigurará el sistema para que el virus se inicie automáticamente y se dificulte su eliminación mediante métodos manuales.
El objetivo principal de la botnet es iniciar ataque distribuido de denegación de servicio utilizando los tipos de paquetes comunes SYN, ACK y DNS. Como parte del motor de malware, también puede descargarse y actualizarse. El malware de la botnet XORDDoS también es responsable de recopilación de información de los siguientes datos:
- Informe de información del procesador
- Sumas de comprobación de los procesos en ejecución
- Información de memoria
- Velocidad de red
- ID de los procesos en ejecución
Mientras que la Kaiji botnet sigue aproximadamente la misma secuencia también se diferencia al tener un conjunto ampliado de paquetes de soporte para el ataque de denegación de servicio: ACK, Parodia IPS, SSH, SYN, SYNACK, TCP flood y UDP flood.
Se ha descubierto que los ataques provienen de URls y redes que han servido malware anterior. Por esta razón, se sospecha que los grupos de piratería tienen experiencia o que la infraestructura se presta a diferentes grupos de piratería..