TLP: White
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar las medidas de contención especificadas en este aviso.
Vector de ataque: Remoto, ejecución de código
Impacto: Uso no autorizado de recursos, acceso no autorizado y ejecución de código remotamente.

Descripción

Las botnets DDoS llamadas XORDDoS y Kaiji recientemente comenzaron a dirigir sus ataques a servidores Docker expuestos. Según la firma Trend Micro se han detectado estas dos variantes de malware para GNU/Linux, XORDDoS identificado como “Backdoor.Linux.XORDDoS.AE” y Kaiji DDoS identificado como “DDoS.Linux.KAIJI.A”.

Los atacantes generalmente usan estas botnets para realizar ataques de fuerza bruta después de buscar puertos “SSH” y “Telnet” abiertos. Ahora, también buscan servidores Docker con el puerto 2375 expuesto, dicho puerto es uno de los dos puertos que utiliza la API de Docker para comunicaciones no cifradas ni autenticadas.

Existe una diferencia notable entre el método de ataque de las dos variantes de malware. El ataque de XORDDoS se infiltra en el servidor Docker para infectar todos los contenedores alojados en él, lo que ayuda a los actores de amenazas a lanzar ataques DDoS, incluidos los ataques SYN, ACK y DNS. El malware también puede recopilar información sobre el sistema comprometido, además de descargar y ejecutar programas maliciosos.

En el caso de Kaiji, sus operadores realizan escaneos en Internet en busca de servidores Docker expuestos e implementan un contenedor ARM que aloja el malware. Después, el atacante ejecuta un script para descargar y ejecutar la carga principal, y para eliminar los archivos del sistema operativo que no son necesarios para lanzar ataques DDoS. Kaiji también recopila información sobre el sistema comprometido. Este malware puede lanzar varios tipos de ataque DDoS como lo son los ataques ACK, IPS spoof, SSH, SYN, SYNACK, UDP y TCP.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas

  • Servidores Docker implementados en sistemas operativos GNU/Linux.

Indicadores de compromiso IoCs

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña maliciosa reportada:

Indicadores de compromiso para Kaiji:

  • SHA 256
    • 301d983e9d8fad3cc205ad67746cd111024daeb4f597a77934c7cfc1328c3d8
    • d315b83e772dfddbd2783f016c38f021225745eb43c06bbdfd92364f68fa4c56
  • Filename
    • 123.sh
    • Linux_arm
  • Patrón de detección de Trend Micro
    • Trojan.SH.KAIJI.A
    • DDoS.Linux.KAIJI.A
  • URLs
    • hxxp://62[.]171[.]160[.]189/linux_arm
    • hxxp://62[.]171[.]160[.]189/11/123.sh

Indicadores de compromiso para XORDDoS:

  • SHA 256
    • dba757c20fbc1d81566ef2877a9bfca9b3ddb84b9f04c0ca5ae668b7f40ea8c3
    • 6c8f95b82592ac08a03bfe32e4a4dbe637d1f542eb3ab3054042cec8ec301a3c
    • 286f774eb5b4f2f7c62d5e68f02a37b674cca7b8c861e189f1f596789322f9fe
  • Patrón de detección de Trend Micro
  • URLs
    • hxxp://122[.]51[.]133[.]49:10086/VIP

Medidas de contención

  • Asegurar el host del contenedor implementando herramientas de monitoreo, además de implementar los contenedores de host en un sistema operativo centrado en contenedores.
  • Asegurar el entorno de red implementando un sistema de prevención de intrusiones (IPS) y el filtrado web para proporcionar visibilidad y observar el tráfico interno y externo.
  • Asegurar la vía de administracion remota implementando un esquema de control de acceso completo y consistente e instalar controles de punto final sólidos.
  • Adherirse a las mejores prácticas recomendadas.
  • Utilizar herramientas de seguridad para escanear y asegurar contenedores.

Referencias