Doki, la nueva amenaza contra servidores Linux mal configurados
Cualquier dispositivo que esté conectado a la red puede sufrir ataques cibernéticos. Hablamos de ordenadores, dispositivos móviles, servidores… Hoy nos hacemos eco de Doki, un malware que afecta a los servidores Linux que estén mal configurados. Forma parte de la campaña Ngrok Cryptominer Botnet, que lleva activa desde 2018. Un nuevo problema que se une a todas las amenazas que afectan a este tipo de sistemas.
Doki, una amenaza más para los servidores Linux
Como decimos, Doki se trata de un malware que pone en jaque a servidores Linux. Concretamente se centran en Dockers basados en la nube y mal configurados. De esta forma los piratas informáticos logran ejecutar sus amenazas.
Uno de los aspectos que hace que Doki sea particularmente interesante es su comportamiento dinámico con respecto a cómo se conecta a su infraestructura de comando y control. No confía en un dominio particular o un conjunto de IP maliciosas, sino que usa servicios DNS dinámicos como DynDNS. Esto, unido a un algoritmo de generación de dominio basado en blockchain único, puede generar y localizar la dirección de un servidor C2 en tiempo real.
Hay que tener en cuenta que se trata de un malware con un comportamiento muy sigiloso. De hecho no ha sido detectado durante más de seis meses a pesar de que ya fue enviado el pasado mes de enero al motor de análisis de malware de VirusTotal.
Pocos antivirus detectan la amenaza
A día de hoy, según indican desde VirusTotal, únicamente seis motores de antivirus son capaces de detectar esta amenaza. Para llevar a cabo los ataques, rastrean constantemente Dockers en la nube con acceso a Internet. Hasta el momento, Shodan ha revelado más de 2.400 de este tipo que ejecutan Linux en la infraestructura de Amazon AWS.
Ahora bien, hay que tener en cuenta que no todos estos contenedores en la nube van a ser vulnerables. Sin embargo sí son un ejemplo de los que podrían ser explotados por los piratas informáticos en caso de que lo fueran.
Una vez que identifican los puertos de Docker accesibles públicamente, los atacantes comienzan a generar sus instancias en la nube en estos entornos y en ocasiones eliminan las existentes.
Según indican los investigadores de seguridad, la ventaja de utilizar una imagen disponible públicamente es que el atacante no necesita ocultarla en Docker Hub u otras soluciones de alojamiento. En cambio, los atacantes pueden usar una imagen existente y ejecutar malware encima.
Utilizan servicios de terceros para ejecutar la carga útil, como hemos mencionado. Forma parte de la campaña Ngrok Cryptominer Botnet.
En definitiva, este malware denominado Doki puede poner en riesgo servidores Linux que estén mal configurados. Siempre es muy importante contar con toda la configuración necesaria para proteger nuestros sistemas y evitar dejar expuestos los equipos. Además, también será esencial que estén actualizados correctamente. En muchas ocasiones surgen vulnerabilidades que pueden ser explotadas por los ciberdelincuentes y eso lo podemos evitar con parches.
Os dejamos un artículo donde hablamos de cómo mejorar la seguridad de los servidores.
El artículo Doki, la nueva amenaza contra servidores Linux mal configurados se publicó en RedesZone.
Powered by WPeMatico