Beveiligingsexperts hebben twee nieuwe botnets ontdekt die tegen Docker-servers worden gelanceerd en die zijn ontworpen om op Linux-systemen te draaien, ze heten XORDDoS en Kaiji. De live-aanvallen zijn gedetecteerd tijdens een grootschalige wereldwijde campagne die als extreem gevaarlijk wordt beoordeeld.
Dockerservers actief geactiveerd door de XORDDoS- en Kaiji Linux-botnets
Hackers blijven verwoestende aanvallen uitvoeren op Docker-servers, hostingbedrijven en bedrijfsnetwerken. Dit wordt meestal gedaan door e-mail-phishingberichten te gebruiken die proberen werknemers en gebruikers te manipuleren om een virus naar een computernetwerk te downloaden en van daaruit een gevaarlijke wijdverspreide infectie veroorzaken. De andere populaire methode is gebaseerd op het gebruik van geautomatiseerde of handmatig geconfigureerde hacktools die zijn ontworpen om een kwetsbare netwerkaanval te verwijderen of te hacken.
Het XORDDoS en Kaiji botnets zijn de nieuwste bedreigingen die door de beveiligingsgemeenschap zijn gedetecteerd. Ze staan erom bekend dat ze speciaal zijn gemaakt voor Docker-servers die worden gebruikt in de webhostingindustrie, industriële faciliteiten en cloudnetwerken voor bedrijfsproductiviteit. Het Kaiji-botnet is een oudere infectie die eerder werd gebruikt bij grote IoT-apparaten.
Aan de andere kant is het XORDDoS-botnet een nieuwe infectie die tot op heden niet bekend is. De aanvallen die deze twee botnets gebruiken, vinden ongeveer tegelijkertijd plaats, wat ons redenen geeft om aan te nemen dat ze door dezelfde hackgroepen of meerdere criminele collectieven tegelijk kunnen worden beheerd.. Ze zijn gericht computernetwerken over de hele wereld zonder rekening te houden met één locatie of bedrijf.
De aanvallen die deze botnets gebruiken, worden uitgevoerd door te presteren brute force-aanvallen die zijn gericht tegen de doelnetwerken. De huidige configuratie zoekt naar zwakke punten in drie services: Secure Shell, Telnet en Docker. De poort die Docker gebruikt is 2375 is gevonden een niet-versleuteld en niet-geverifieerd communicatiekanaal te gebruiken.
Mogelijkheden in XORDDoS en Kaiji Botnet: Wat doen ze?
Er is een opmerkelijk verschil tussen het infectiemechanisme. Het XORDDoS-botnet zal tegen de netwerken worden gelanceerd met als hoofddoel de Docker-server en alles in containers te infecteren, terwijl Kaiji zijn eigen container met viruscode zal inzetten. Beiden vertrouwen erop DDoS aanvalsmechanisme: een groot aantal netwerkpakketten wordt verzonden naar de doelnetwerken die een ontvangende server hosten. Wanneer het aantal netwerkaanvragen te hoog is, crasht het en leidt het tot misbruik van kwetsbaarheden.
Zodra het XORDDoS-botnet op een bepaalde computer is geïnstalleerd, wordt er een opdracht gegeven download een extern bestand wat de daadwerkelijke viruscode zal zijn. De malware is in dit bestand verborgen met een XOR-code, het ontsleutelingsmechanisme van de lading zal het uitpakken op de slachtoffermachines. Dit zal een Trojan module die een verbinding tot stand zal brengen met een door een hacker bestuurde server waardoor de criminelen de controle over de systemen kunnen overnemen. Een andere kwaadaardige actie die als onderdeel van de infectie wordt uitgevoerd, is het maken van een persistente infectie — de bedreiging zal het systeem opnieuw configureren zodat het virus automatisch wordt gestart en het zeer moeilijk zal worden gemaakt om het handmatig te verwijderen.
Het belangrijkste doel van het botnet is om te initiëren gedistribueerde denial of service-aanval met behulp van de algemene pakkettypen SYN, ACK en DNS. Als onderdeel van de malware-engine kan het zichzelf ook downloaden en updaten. De XORDDoS-botnet-malware is ook verantwoordelijk voor wijdverbreid informatie verzamelen van de volgende gegevens:
- Processor Information Report
- Controlesommen van de lopende processen
- Geheugeninformatie
- Netwerksnelheid
- ID's van de lopende processen
Terwijl de Kaiji-botnet volgt ongeveer dezelfde volgorde, maar onderscheidt zich ook door een uitgebreide set pakkettenondersteuning voor de denial-of-service-aanval: ACK, IPS-spoof, SSH, SYN, SYNACK, TCP-overstroming en UDP-overstroming.
De aanvallen zijn afkomstig van URls en netwerken die eerdere malware hebben gebruikt. Om deze reden wordt vermoed dat de hackgroepen ervaren zijn of dat de infrastructuur wordt uitgeleend aan verschillende hackgroepen.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: