Para peneliti keamanan siber baru-baru ini menemukan malware Linux yang sulit dideteksi menargetkan server Docker yang dapat diakses secara publik dan dihosting dalam platform cloud populer, termasuk AWS, Azure, dan Alibaba Cloud.
Menurut laporan analisa yang diterbitkan oleh Intezer, operasi botnet mining Ngrok yang sedang berlangsung melakukan pemindaian di Internet untuk endpoint API Docker yang tidak terkonfigurasi dengan benar dan telah menginfeksi banyak server rentan dengan sebuah malware baru.
Operasi baru ini memiliki fokus utama untuk mengambil kendali atas server Docker yang tidak terkonfigurasi dengan benar dan mengeksploitasi hal itu untuk membuat kontainer berbahaya dengan cryptominers yang berjalan di infrastruktur korban.
Dijuluki ‘Doki,’ malware baru ini menggunakan metode yang belum pernah terdokumentasi untuk menghubungi operatornya, menyalahgunakan blockchain cryptocurrency Dogecoin dengan cara yang unik untuk secara dinamis menghasilkan alamat domain command-and-control (C2)-nya, meskipun sampel malware ini tersedia untuk diakses di VirusTotal.
Menurut peneliti, malware ini:
- telah dirancang untuk menjalankan perintah yang diterima dari operatornya,
- menggunakan Dogecoin cryptocurrency block explorer untuk menghasilkan domain C2 secara real-time juga dinamis,
- menggunakan library embedTLS untuk fungsi kriptografi dan komunikasi jaringan,
- membuat URL unik dengan waktu berlaku yang singkat dan menggunakannya untuk mengunduh payload selama serangan.
“Malware ini menggunakan layanan DynDNS dan Domain Generation Algorithm (DGA) yang unik berdasarkan pada blockchain cryptocurrency Dogecoin untuk menemukan domain C2 secara real time.” kata peneliti.
Selain itu, operator di balik operasi baru ini juga telah berhasil menyusupi mesin host dengan me-binding kontainer yang baru dibuat dengan direktori root server, yang memungkinkan mereka untuk mengakses atau memodifikasi file apa pun dalam sistem.
Baca Juga: “Kerentanan Privilege Escalation Ditemukan Dalam Docker Untuk Windows“
“Dengan menggunakan konfigurasi bind, penyerang dapat mengontrol utilitas cron dari host. Penyerang memodifikasi cron host untuk mengeksekusi payload yang diunduh setiap menit.”
“Serangan ini sangat berbahaya karena penyerang menggunakan teknik container escape untuk mendapatkan kendali penuh atas infrastruktur korban.”
Setelah itu, malware juga memanfaatkan sistem yang disusupi untuk memindai port di jaringan yang terkait dengan Redis, Docker, SSH, dan HTTP, menggunakan alat pemindaian seperti zmap, zgrap, dan jq.
Doki berhasil bertahan di bawah radar dan tidak terdeteksi selama lebih dari enam bulan meskipun sampelnya telah diunggah ke VirusTotal pada 14 Januari 2020, dan dipindai berkali-kali sejak itu. Anehnya, pada saat artikel ini diterbitkan pun masih tidak terdeteksi oleh salah satu dari 61 mesin pendeteksi malware teratas.
Pengguna menjalankan Docker disarankan untuk tidak mengekspos API Docker ke Internet, tetapi jika memang hal tersebut diperlukan, pastikan bahwa itu hanya dapat dijangkau dari jaringan tertentu atau VPN tepercaya, dan hanya untuk pengguna tepercaya yang mengontrol daemon Docker.
Atau kamu bisa merujuk pada tautan berikut untuk penerapan keamanan yang baik untuk Docker: https://docs.docker.com/engine/security/security/.
