Docker sotto assedio: arriva Doki

Cosa succede quando una tecnologia diventa preponderante sulla rete? Che iniziano ad arrivare gli attacchi, ed in genere è li che si vede quanto è stata ben studiata in origine, quanto viene utilizzata ed, in effetti, quanto il supporto, sia esso community o appoggiato da un’azienda, sia veloce nel risolvere i problemi.

E’ il caso quest’oggi di Docker (anche se non è la prima volta): Doki è una nuova backdoor Linux che sta infettando qua e la i server Docker presenti nel cloud. La cosa curiosa è come questa funzioni: utilizzando un portafoglio blockchain per generare dei domini C2 (command-and-control).

Di fatto, quindi, Doki non fa nulla se non fornire la possibilità di eseguire codice sull’host infettato, cosa che apre le porte alle più disparate attività da parte di malware, attacchi DoS, ransomware e chi più ne ha più ne metta.

Il problema? Beh, Doki si propaga grazie alle porte delle API Docker configurati male e troppo lasche: gli attaccanti scansionano in maniera automatica server Docker pubblici in cui la porta delle API risulta aperta, dopodichè la vìola, esegue i propri container ed inizia ad eseguire quel che gli pare (ultimamente vanno molto i cryptominer).

Usando una botnet già presente e basata su ngrok (un servizio di reverse proxy pubblico), utilizza un network scanner che contiene liste fisse di indirizzi IP per i più comuni provider (AWS, etc.). Lo scanner ottiene così una lista di bersagli e relative informazioni a riguardo e carica le informazioni su una url ngrok gestita dagli attaccanti.

Our evidence shows that it takes only a few hours from when a new misconfigured Docker server is up online to become infected by this campaign […] The attackers are spawning and deleting a number of containers during this attack.

Le nostre prove indicano che son necessarie solo poche ore da quando il server Docker è online a quando diventa infetto da questa campagna. […] Gli attaccanti avviano e cancellano diversi container durante questo attacco.

Dopo aver ottenuto l’accesso al server, gli attaccanti caricano delle immagini sul Docker Hub pubblico basate su curl. Queste di fatto non sono malevole di per sè, ma vengono utilizzate per avviare un container e poi “fuggirne” prendendo il controllo dell’host. In alcuni casi, i ricercatori di Intezer, hanno visto che gli attaccanti hanno compromesso immagini esistenti per eseguire i propri malware su di esse.

Per maggiori dettagli l’articolo di Intezer è decisamente esaustivo, nel frattempo controllate di aver chiuso bene tutte le porte.

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l'HA e l'universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.

Tags: ,