ترندمیکرو هفتهی گذشته هشدار داد که باتنتهای منع سرویس توزیعشده (DDoS) به نام XORDDoS و Kaiji بهتازگی سرورهای Docker را هدف قرار دادهاند. باتنت XORDDoS که با نام XOR.DDoS نیز شناخته میشود، از سال ۲۰۱۴ میلادی فعال است و سیستمهای لینوکس را هدف قرار داده است. Kaiji که در اوایل سال جاری کشف شد، یک بدافزار مبتنیبر Golang است که سیستمهای لینوکس ازجمله دستگاههای اینترنت اشیا را هدف قرار داده است. هر دو عامل تهدید با چین مرتبط بودهاند.
باتنت XORDDoS و Kaiji با اسکن درگاههای SSH و Telnet که در معرض خطر قرار گرفتهاند، گسترش یافتهاند و برای دستیابی به دسترسیها از حملات کورکورانه استفاده میکنند. بااینحال، ترندمیکرو بهتازگی انواع مختلفی را مشاهده کرده است که سرورهای Docker را هدف قرار میدهند.
بهگفتهی این شرکت امنیتی، نفوذگران بهدنبال سرورهای Docker هستند که درگاه ۲۳۷۵ را در معرض خطر قرار میدهند. این درگاه یکی از دو درگاه Docker API است و برای ارتباطات غیرمجاز و رمزنگارینشده استفاده میشود. تفاوت اصلی در نحوهی هدف قرار گرفتن سرورهای Docker توسط XORDDoS و Kaiji این است که XORDDoS همهی Containerهای موجود در سرور را آلوده میکند، درحالیکه Kaiji این بدافزار را در Container خود مستقر میکند.
پس از آنکه یک سرور Docker در معرض خطر قرار گرفت، XORDDoS مجموعهای از دستورات را برای شناسایی Containerها اجرا میکند و با بدافزاری که در راهاندازی حملات منع سرویس توزیعشده به عاملان تهدید کمک میکند، آنها را آلوده میکند. این بدافزار همچنین میتواند اطلاعات مربوط به سیستم آسیبدیده را جمعآوری کند و نرمافزار مخرب دیگری را اجرا کند. پژوهشگران ترندمیکرو ارتباطی بین XORDDoS و یک باتنت DDoS به نام AESDDoS و یا Dofloo یافتهاند که Docker را هدف قرار میدهد.
اپراتورهای Kaiji برای یافتن سرورهای Docker آسیبدیده وب را اسکن میکنند و یک ARM container میزبان بدافزار را مستقر میکنند. این حمله برای بارگیری و اجرای بار دادهی اصلی و حذف فایلهای سیستم عامل غیرضروری برای راهاندازی حملات منع سرویس توزیعشده به یک اسکرپیت نیاز دارد. Kaiji همچنین اطلاعاتی دربارهی سیستم آسیبدیده به دست میآورد. این بدافزار میتواند انواع مختلفی از حملات منع سرویس توزیعشده ازجمله حملات ACK، IPS spoof، SSH، SYN، SYNACK، UDP و TCP راهاندازی کند. پژوهشگران ترندمیکرو بیان کردند که هیچ تغییر قابل توجه دیگری در باتنتهای XORDDoS و KAiji مشاهده نکردند.