Docker es una solución popular de plataforma como servicio (PaaS) para Linux y Windows. Está diseñada para facilitar a los desarrolladores la creación, prueba y ejecución de sus aplicaciones en un entorno aislado denominado contenedor.

Apodado ‘Doki‘, el malware:

• Ha sido diseñado para ejecutar comandos recibidos de sus operadores.
• Utiliza un explorador de bloques de criptomonedas Dogecoin para generar su dominio C2 en tiempo real dinámicamente,
• Usa la biblioteca embedTLS para funciones criptográficas y comunicación de red,
• Crea URLs únicas con una vida útil corta y las usa para la descarga de payloads durante el ataque.

«El malware utiliza el servicio DynDNS y un algoritmo de generación de dominio único (DGA) basado en la cadena de bloques de criptomonedas Dogecoin para encontrar el dominio de su C2 en tiempo real».
Investigadores de Intezer

Además de esto, los atacantes detrás de esta nueva campaña también han logrado comprometer las máquinas host al vincular los contenedores recién creados con el directorio raíz del servidor, lo que les permite acceder o modificar cualquier archivo en el sistema.

Una vez que el equipo está infectado, el malware también aprovecha los sistemas comprometidos para escanear aún más la red en busca de puertos asociados con Redis, Docker, SSH y HTTP, utilizando una herramienta de escaneo como zmap, zgrap y jq. Doki ha logrado permanecer bajo el radar durante más de seis meses a pesar de haber sido cargado en VirusTotal el 14 de enero de 2020, y escaneado varias veces desde entonces. De manera sorprendente, a día de hoy aún no es detectable por ninguno de los 61 principales motores de detección de malware.

Desde Hispasec recomendamos a los usuarios y organizaciones que ejecutan instancias de Docker que no expongan las API de Docker a Internet, pero si aún lo necesita, asegúrese de que solo sea accesible desde una red o VPN de confianza, y solo a usuarios de confianza para controlar su demonio Docker.

Si administra Docker desde un servidor web para aprovisionar contenedores a través de una API, debe ser aún más cuidadoso de lo habitual con la verificación de parámetros para asegurarse de que un usuario malintencionado no pueda pasar parámetros diseñados que hacen que Docker cree contenedores arbitrarios.

Tomado de: https://unaaldia.hispasec.com/2020/07/doki-el-nuevo-malware-de-linux-fija-como-objetivo-las-apis-de-contenedores-docker-mal-configurados.html