Descripción
Las botnets DDoS llamadas XORDDoS y Kaiji recientemente comenzaron a dirigir sus ataques a servidores Docker expuestos. Según la firma Trend Micro se han detectado estas dos variantes de malware para GNU/Linux, XORDDoS identificado como “Backdoor.Linux.XORDDoS.AE” y Kaiji DDoS identificado como “DDoS.Linux.KAIJI.A”.
Los atacantes generalmente usan estas botnets para realizar ataques de fuerza bruta después de buscar puertos “SSH” y “Telnet” abiertos. Ahora, también buscan servidores Docker con el puerto 2375 expuesto, dicho puerto es uno de los dos puertos que utiliza la API de Docker para comunicaciones no cifradas ni autenticadas.
Existe una diferencia notable entre el método de ataque de las dos variantes de malware. El ataque de XORDDoS se infiltra en el servidor Docker para infectar todos los contenedores alojados en él, lo que ayuda a los actores de amenazas a lanzar ataques DDoS, incluidos los ataques SYN, ACK y DNS. El malware también puede recopilar información sobre el sistema comprometido, además de descargar y ejecutar programas maliciosos.
En el caso de Kaiji, sus operadores realizan escaneos en Internet en busca de servidores Docker expuestos e implementan un contenedor ARM que aloja el malware. Después, el atacante ejecuta un script para descargar y ejecutar la carga principal, y para eliminar los archivos del sistema operativo que no son necesarios para lanzar ataques DDoS. Kaiji también recopila información sobre el sistema comprometido. Este malware puede lanzar varios tipos de ataque DDoS como lo son los ataques ACK, IPS spoof, SSH, SYN, SYNACK, UDP y TCP.
Nivel de riesgo
- [Alto]
Sistemas/tecnologías afectadas
- Servidores Docker implementados en sistemas operativos GNU/Linux.
Indicadores de compromiso IoCs
A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña maliciosa reportada:
Indicadores de compromiso para Kaiji:
- SHA 256
- 301d983e9d8fad3cc205ad67746cd1
11024daeb4f597a77934c7cfc1328c 3d8 - d315b83e772dfddbd2783f016c38f0
21225745eb43c06bbdfd92364f68fa 4c56
- 301d983e9d8fad3cc205ad67746cd1
- Filename
- 123.sh
- Linux_arm
- Patrón de detección de Trend Micro
- Trojan.SH.KAIJI.A
- DDoS.Linux.KAIJI.A
- URLs
- hxxp://62[.]171[.]160[.]189/
linux_arm - hxxp://62[.]171[.]160[.]189/
11/123.sh
- hxxp://62[.]171[.]160[.]189/
Indicadores de compromiso para XORDDoS:
- SHA 256
- dba757c20fbc1d81566ef2877a9bfc
a9b3ddb84b9f04c0ca5ae668b7f40e a8c3 - 6c8f95b82592ac08a03bfe32e4a4db
e637d1f542eb3ab3054042cec8ec30 1a3c - 286f774eb5b4f2f7c62d5e68f02a37
b674cca7b8c861e189f1f596789322 f9fe
- dba757c20fbc1d81566ef2877a9bfc
- Patrón de detección de Trend Micro
- Backdoor.Linux.XORDDOS.AE
- Backdoor.Linux.DOFLOO.AB
- Backdoor.Win32.SDDOS.A
- URLs
- hxxp://122[.]51[.]133[.]49:
10086/VIP
- hxxp://122[.]51[.]133[.]49:
Medidas de contención
- Asegurar el host del contenedor implementando herramientas de monitoreo, además de implementar los contenedores de host en un sistema operativo centrado en contenedores.
- Asegurar el entorno de red implementando un sistema de prevención de intrusiones (IPS) y el filtrado web para proporcionar visibilidad y observar el tráfico interno y externo.
- Asegurar la vía de administracion remota implementando un esquema de control de acceso completo y consistente e instalar controles de punto final sólidos.
- Adherirse a las mejores prácticas recomendadas.
- Utilizar herramientas de seguridad para escanear y asegurar contenedores.
Referencias
- https://www.securityweek.com/
xorddos-kaiji-ddos-botnets- target-docker-servers - https://otx.alienvault.com/
pulse/ 5ef223cce7849b037b7614a5?utm_ userid=juccar&utm_medium= InProduct&utm_source=OTX&utm_ content=Email&utm_campaign= new_pulse_from_subscribed - https://blog.trendmicro.com/
trendlabs-security- intelligence/xorddos-kaiji- botnet-malware-variants- target-exposed-docker-servers/ - https://community.blueliv.com/
#!/s/5ef1ae7182df413eb53365fb