هدف قرار گرفتن سرورهای Docker توسط بات‌نت‌های XORDDoS و Kaiji

ترندمیکرو هفته‌ی گذشته هشدار داد که بات‌نت‌های منع سرویس توزیع‌شده (DDoS) به نام XORDDoS و Kaiji به‌تازگی سرورهای Docker را هدف قرار داده‌اند. بات‌نت XORDDoS که با نام XOR.DDoS نیز شناخته می‌شود، از سال ۲۰۱۴ میلادی فعال است و سیستم‌های لینوکس را هدف قرار داده است. Kaiji که در اوایل سال جاری کشف شد، یک بدافزار مبتنی‌بر Golang است که سیستم‌های لینوکس ازجمله دستگاه‌های اینترنت اشیا را هدف قرار داده است. هر دو عامل تهدید با چین مرتبط بوده‌اند.

بات‌نت XORDDoS و Kaiji با اسکن درگاه‌های SSH و Telnet که در معرض خطر قرار گرفته‌اند، گسترش یافته‌اند و برای دست‌یابی به دسترسی‌ها از حملات کورکورانه استفاده می‌کنند. بااین‌حال، ترندمیکرو به‌تازگی انواع مختلفی را مشاهده کرده است که سرورهای Docker را هدف قرار می‌دهند.

به‌گفته‌ی این شرکت امنیتی، نفوذگران به‌دنبال سرورهای Docker هستند که درگاه ۲۳۷۵ را در معرض خطر قرار می‌دهند. این درگاه یکی از دو درگاه Docker API است و برای ارتباطات غیرمجاز و رمزنگاری‌نشده استفاده می‌شود. تفاوت اصلی در نحوه‌ی هدف قرار گرفتن سرورهای Docker توسط XORDDoS و Kaiji این است که XORDDoS همه‌ی Containerهای موجود در سرور را آلوده می‌کند، درحالی‌که Kaiji این بدافزار را در Container خود مستقر می‌کند.

پس از آن‌که یک سرور Docker در معرض خطر قرار گرفت، XORDDoS مجموعه‌ای از دستورات را برای شناسایی Containerها اجرا می‌کند و با بدافزاری که در راه‌اندازی حملات منع سرویس توزیع‌شده به عاملان تهدید کمک می‌کند، آن‌ها را آلوده می‌کند. این بدافزار همچنین می‌تواند اطلاعات مربوط به سیستم آسیب‌دیده را جمع‌آوری کند و نرم‌افزار مخرب دیگری را اجرا کند. پژوهش‌گران ترندمیکرو ارتباطی بین XORDDoS و یک بات‌نت DDoS به نام AESDDoS و یا Dofloo یافته‌اند که Docker را هدف قرار می‌دهد.

اپراتورهای Kaiji برای یافتن سرورهای Docker آسیب‌دیده وب را اسکن می‌کنند و یک ARM container میزبان بدافزار را مستقر می‌کنند. این حمله برای بارگیری و اجرای بار داده‌ی اصلی و حذف فایل‌های سیستم عامل غیرضروری برای راه‌اندازی حملات منع سرویس توزیع‌شده به یک اسکرپیت نیاز دارد. Kaiji همچنین اطلاعاتی درباره‌ی سیستم آسیب‌دیده به دست می‌آورد. این بدافزار می‌تواند انواع مختلفی از حملات منع سرویس توزیع‌شده ازجمله حملات ACK، IPS spoof، SSH، SYN، SYNACK، UDP و TCP راه‌اندازی کند. پژوهش‌گران ترندمیکرو بیان کردند که هیچ تغییر قابل توجه دیگری در بات‌نت‌های XORDDoS و KAiji مشاهده نکردند.

منبع

پست‌های مشابه

Leave a Comment