OracleIV僵尸网络恶意软件采用各种策略,主要侧重于通过基于UDP和SSL的洪水执行DDoS攻击。虽然OracleIV不是供应链攻击,但它凸显了错误配置的Docker引擎API部署所带来的持续威胁。
Cado安全实验室的网络安全研究人员曝光了一种名为OracleIV的新型(分布式拒绝服务)DDoS僵尸网络恶意软件,其目标是公开暴露的Docker引擎API实例。
这些发现是对恶意活动的调查的一部分,该活动利用 Docker 容器中的错误配置来传播编译为 ELF 可执行文件的Python 恶意软件。
最近,Docker引擎API经常成为网络犯罪分子的目标,因为随着微服务驱动架构的日益普及,该方法变得越来越流行。攻击者利用Docker引擎API的无意暴露,经常扫描易受攻击的实例来传递具有邪恶目标的有效负载。
对于新的OracleIV DDoS僵尸网络恶意软件,攻击者通过向Docker的API(特别是 /images/create 端点)发出HTTP POST请求来发起访问。这会触发docker pull命令,从Dockerhub获取指定的镜像。一旦检索到恶意图像,就会启动一个容器来实现攻击者的目标。
oracleiv_latestCado安全研究人员发现了一个实时Dockerhub页面,其中包含用户“上传的名为“”的图像robbertignacio328832。该镜像看似无害,就像“docker的Mysql镜像”一样,包含一个名为“oracle.sh”的恶意负载,这是一个充当DDoS机器人代理的ELF可执行文件。进一步分析揭示了用于检索XMRig和矿工配置文件的其他命令。
对可执行文件的静态分析暴露了使用Cython编译的64位ELF ,确认了OracleIV恶意软件的Python代码来源。恶意软件代码简洁而有效,包含专用于不同DDoS方法的各种功能。
研究人员在博客文章中解释道:“在撰写本文时,这张图片仍然存在,并且被拉取了3000多次。 ” 此外,它似乎正在频繁更新,最新的修改是在Cado博客发布前三天推送的。
该机器人连接到命令和控制服务器(C2),使用硬编码密码执行基本身份验证。Cado安全实验室监控僵尸网络的活动,目睹对各种目标的DDoS攻击,主要使用UDP和基于SSL的洪水。
发起DDoS攻击的C2命令遵循特定的格式,指定攻击类型、目标IP/域、攻击持续时间、速率和目标端口。该僵尸网络的功能包括UDP洪水、基于SSL的攻击、SYN洪水、slowloris式攻击以及针对FiveM服务器和Valve源引擎的特定于协议的洪水。
虽然OracleIV不是供应链攻击,但它凸显了错误配置的Docker引擎API部署所带来的持续威胁。容器化的可移植性使攻击者能够跨Docker主机一致地执行恶意负载。
尽管Cado Security已向Docker报告了恶意用户,但仍敦促用户对从Dockerhub拉取的镜像进行定期评估,强调需要对恶意代码保持警惕。
总之,OracleIV活动强调了保护面向互联网的服务和实施强大的网络防御的重要性。我们鼓励Docker和类似服务的用户定期检查其暴露情况,并针对潜在的网络安全威胁采取必要的预防措施。
评论已关闭。