駭客利用區塊鏈技術隱匿連線行蹤，鎖定Docker環境建置殭屍網路

• 發布日期：109-10-06
• 發布單位：刑事警察大隊

參考網站：
行政院國家資通安全會報技術服務中心 駭客利用區塊鏈技術隱匿連線行蹤，鎖定Docker環境建置殭屍網路
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16432

資安業者Intizer揭露新型態惡意程式Doki，該惡意程式會透過區塊鏈產生C&C中繼站網址，且相關網址大量運用於Docker挖礦攻擊事件。因前述之作法可隱匿中繼站網址，進而使Doki惡意程式在被上傳至惡意軟體分析服務VirusTotal半年後，才陸續有防毒引擎將其判別為惡意程式。
此一鎖定Docker之Linux惡意程式Doki，採用DynDNS提供之DNS服務，透過獨特之網域生成演算法(Domain Generation Algorithm, DGA)，建立與攻擊者通訊之管道。Intizer表示，若企業建置之Docker提供可公開存取之API，便可能成為潛在攻擊對象，須加以防範，並指出目前已發現攻擊事件，但並未提及受駭規模。
一般而言，惡意程式透過網域生成演算法取得C&C中繼站網址之方式，係透過一組字串清單，供惡意程式拼湊出可能之網址，並嘗試進行連線，只要其中一個中繼站網址可使用，駭客便能對惡意程式下達指令，不過此作法會因企業以黑名單阻擋網址而失效。Doki所使用之網域生成演算法，運用加密貨幣多奇幣(Dogecoin)之區塊鏈架構，即時產生Doki所需存取之C&C中繼站網址，使企業難以透過封鎖策略進行防禦。
此外，Intizer指出Doki自今年1月14日被上傳至VirusTotal後，直至7月14日，半年內未有防毒引擎將其判別為惡意程式，而在Intizer揭露後，截至7月31日止，已有27個防毒引擎能判別為惡意程式。
資料來源：
https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/
https://www.bleepingcomputer.com/news/security/sneaky-doki-linux-malware-infiltrates-docker-cloud-instances/
https://thehackernews.com/2020/07/docker-linux-malware.html
技術服務中心整理