Doki, el nuevo malware que afecta a los contenedores de Docker en Linux

miércoles, 5 de agosto de 2020

Hace apenas unos días, desde varias webs de seguridad se reportaba un nuevo malware casi in detectable para los sistemas operativos con Linux, más concreto en todos aquellos servidores que usan contenedores Docker para gestionar la instalación de todos los paquetes del servidor de una. Es el caso de plataformas como Amazon Web Services, la plataforma de Azure de Windows, o Alibaba Cloud entre otros, pero afecta a todas las plataformas de servidores PaaS que usan contenedores de Docker.

El malware supuestamente viene originado por una serie de bots de minería de bitcoin que van rastreando la red en busca de servidores con contenedores Docker mal configurados para poder configurarlos y aprovechar sus recursos para realizar labores de minería.

A este malware se le ha apodado como "Doki", haciendo referencia claramente a los contenedores que ataca. Sabemos que es in detectable, pero entonces ¿cómo ataca?.

Doki se beneficia de Docker a través de la API de este servicio, por lo que si tienes un servidor con Linux y estás usando Docker, aseguráte de tener la verificación de parámetros configurada, eso hará mucho más complicado que un tercero pueda acceder e infectarte. Pero veamos qué cosas puede hacer Doki en tu servidor.

Entre otras cosas este malware ha sido diseñado para ejecutar comandos desde un operador y usa embedTLS para la comunicación en red. Por lo que tampoco estaría mal que hagas un registro periódico de tus logs para ver si hay algún comando sospechoso que tú no hayas introducido. Pero no todo acaba ahí, también es capaz de generar URLs únicas para descargar payloads mientras te ataca, además de rastrear las redes típicas de https, ssh, Redis ... para seguir explotando los servicios y comprometer mucho más tu contenedor. Por lo que sería una buena práctica cambiar los puertos predefinidos de estos servicios sino lo has hecho todavía.

Desde aquí te recomendamos que sino has hecho alguna de las actuaciones que hemos recomendado más arriba todavía no dejes de hacerlo para evitarte un susto, además de tener todo siempre actualizado a las últimas versiones.

Artículos relacionados


Comments

No response to “ Doki, el nuevo malware que afecta a los contenedores de Docker en Linux ”
Post a Comment | Enviar comentarios ( Atom )

Publicar un comentario

Deja tu opinión realizando un comentario interesante. Cualquier intento de Spam no será admitido.