穿越“火线”的Doki号称无法检测到的Linux后门

近两年非常活跃的Ngrok挖矿僵尸网络又有新“活动”，在Internet上扫描配置不当的Docker API端点，并利用它们在受害者的基础架构上运行带有加密矿工的恶意容器。这种新的多线程恶意软件被称为“Doki”。

Doki利用“一种未经证明的方法”，以这种独特的方式利用Dogecoin加密货币区块链与攻击操作者对接，借此动态生成其C2域地址。目前VirusTotal中已经公开提供相关示例。
该恶意软件具有以下特征：

• 在设计上能够从攻击操作者处接收命令。
  
• 利用Dogecoin加密货币区块浏览器实时动态生成其C2域。
  
• 使用embedTLS库实现加密货币采矿功能与网络通信。
  
• 使用寿命极短的唯一URL，并在攻击过程中利用URL下载载荷。
  
• “该恶意软件利用DynDNS服务以及基于Dogecoin加密货币区块链的独特域生成算法（DGA）以实时查找其C2域。”
  

除此之外，攻击者还设法将新创建的容器与服务器根目录进行绑定，借此成功入侵主机，进而访问或修改主机系统上的各项文件。
一旦成功感染，该恶意软件还利用zmap、zgrap以及jq等扫描工具，经由受感染的系统进一步扫描网络中与Redis、Docker、SSH以及HTTP相关的端口。尽管2020年1月14日，Doki已上载到VirusTotal，并在此后进行了多次扫描，但仍设法躲藏了六个月以上。令人惊讶的是，目前它仍然无法被61个顶级恶意软件检测引擎中的任何一个所检测到。因此，建议运行Docker实例的用户和组织不要将Docker API设置为公开访问，或者确保仅从受信任的网络或VPN访问Docker。