Death by Doki: una nueva vulnerabilidad de Docker con graves consecuencias (y qué puedes hacer al respecto)
En la onomatopeya japonesa, la frase «doki-doki» («"») representa el sonido de un corazón que late con fuerza... que es exactamente lo que podrían experimentar los miembros del equipo de seguridad si su servidor Docker se infecta con Doki, una nueva vulnerabilidad que proporciona una puerta trasera para la inyección de código malicioso y mucho más. Un nombre apropiado, por decir lo menos.
A medida que adoptamos una dependencia cada vez mayor de la infraestructura de nube, la necesidad de precisión y eficacia escalable de las mejores prácticas de seguridad es vital, y debe extenderse mucho más allá de lo mínimo indispensable para una implementación segura de las aplicaciones, con medidas personalizadas para la seguridad de los contenedores que se den a conocer e implementar en todo el SDLC.
Los ciberataques son cada vez más frecuentes y las amenazas que afectan a la infraestructura basada en Linux son cada vez más comunes, con el objetivo final de tener la oportunidad de abrir un cofre de botín de datos confidenciales almacenados en la nube. Ese es precisamente el objetivo de Doki, y su uso de múltiples tecnologías para no ser detectado, potente y eficaz no se parece a nada que se haya visto anteriormente en el ámbito de los problemas de seguridad basados en Docker.
¿Qué es Doki y cómo funciona?
Como es un tema común en muchas aplicaciones comprometidas, mala configuración de seguridad desempeña un papel inaceptablemente importante en la forma en que se violó el software. En el caso específico de Docker, la API de Docker Engine mal configurada ha demostrado ser beneficiosa para los atacantes. El Botnet Ngrok El robot de criptominería ha estado rastreando servidores Docker inseguros desde 2018, creando sus propios contenedores y ejecutando malware en la infraestructura de la víctima.
Doki es una versión más astuta y maliciosa de este malware, que tuvo éxito a través de la misma red de bots y expuso el mismo vector de ataque: la mala configuración de la API, que debería haberse solucionado mucho antes de cualquier implementación de código o visibilidad pública del servidor. Doki utiliza la cadena de bloques de la criptomoneda satírica favorita de todos, Dogecoin, para actuar como una puerta trasera prácticamente indetectable. Tal como está, se ha deslizado sin dejar rastro desde enero.
Básicamente, el malware abusa de una billetera blockchain para generar nombres de dominio de comando y control (C2), lo que no es nuevo en sí mismo, pero Doki proporciona una capacidad continua para la ejecución remota de código en un servidor infectado, lo que da paso a una serie de ataques dañinos basados en malware, como el ransomware y los DDoS. Es implacable, como un «dux con un hueso», por así decirlo. La buena gente de Intezer tiene un reseña completa sobre toda la amenaza y su enorme carga útil.
Detectando una ruta de Doki en el código.
El hecho de que Doki sea una puerta trasera que opera en una red blockchain descentralizada, que emplea técnicas rápidas y elusivas de escape de contenedores para cubrir las pistas, acceder a más áreas del host y seguir propagando la infección, lo convierte en una pesadilla tanto para los desarrolladores como para los equipos de seguridad.
Aun así, Doki no puede infectar un servidor Docker que tenga puertos API seguros. Configurarlos mal durante el proceso de producción es un error que puede tener consecuencias de gran alcance, pero si se trata de un malware tan complejo y contundente, se puede decir que es una solución un tanto «sencilla» para que los desarrolladores de la nube adquieran conocimientos eficaces sobre seguridad y habilidades prácticas de codificación segura.
Veamos este ejemplo de una API de Docker insegura, una en la que Doki podría encontrar una forma de entrar y empezar a difundirse:
acoplado -H tcp: //0.0.0. 0:2375
¿Puedes detectar los errores de configuración? La versión segura tiene este aspecto:
dockerd -H tcp: //0.0.0. 0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem
En el ejemplo inseguro, la API de Docker Engine escucha en el puerto TCP 2375 y aceptará ninguna solicitud de conexión, por lo que está disponible para cualquiera que acceda al servidor Docker.
En el ejemplo seguro, la API de Docker Engine se configuró para usar la validación de certificados TLS y solo aceptará conexiones de clientes que proporcionen un certificado en el que confíe su CA.
Tenemos un conjunto completamente nuevo de desafíos gamificados para ayudar a los desarrolladores a identificar y corregir la causa principal de una infección de Doki, y tú puedes jugar a uno. aquí:
La infraestructura de nube segura es un deporte de equipo.
Configuraciones incorrectas en la nube costaron a las organizaciones la asombrosa suma de 5 billones de dólares en 2018 y 2019, lo que representa miles de millones de registros expuestos y un daño irreversible a la reputación. Para un vector de ataque que es en gran medida evitable, esta es una estadística bastante alarmante. Y pensar que medidas como supervisar y corregir los puertos expuestos (idealmente antes de la implementación), comprobar si hay contenedores desconocidos y controlar cualquier carga excesiva de los servidores podrían detener los daños que provoca algo como Doki, es un precio módico a pagar por su tranquilidad.
La conciencia de seguridad en toda la empresa es fundamental y, para cada persona involucrada en el SDLC, operar con las mejores prácticas de seguridad no es negociable. Las mejores organizaciones están comprometidas con un proceso de DevSecOps sólido, en el que la responsabilidad por la seguridad sea compartida, y tanto los desarrolladores como los profesionales de AppSec tienen los conocimientos y las herramientas necesarios para evitar que las vulnerabilidades más comunes lleguen al software y a la infraestructura vital.
¿Quiere empezar como un ingeniero de nube superpotente y consciente de la seguridad? Empieza a poner a prueba tus habilidades ahora.
Los ciberataques son cada vez más frecuentes y las amenazas que afectan a la infraestructura basada en Linux son cada vez más comunes, con el objetivo final de tener la oportunidad de abrir un cofre de botín de datos confidenciales almacenados en la nube.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
En la onomatopeya japonesa, la frase «doki-doki» («"») representa el sonido de un corazón que late con fuerza... que es exactamente lo que podrían experimentar los miembros del equipo de seguridad si su servidor Docker se infecta con Doki, una nueva vulnerabilidad que proporciona una puerta trasera para la inyección de código malicioso y mucho más. Un nombre apropiado, por decir lo menos.
A medida que adoptamos una dependencia cada vez mayor de la infraestructura de nube, la necesidad de precisión y eficacia escalable de las mejores prácticas de seguridad es vital, y debe extenderse mucho más allá de lo mínimo indispensable para una implementación segura de las aplicaciones, con medidas personalizadas para la seguridad de los contenedores que se den a conocer e implementar en todo el SDLC.
Los ciberataques son cada vez más frecuentes y las amenazas que afectan a la infraestructura basada en Linux son cada vez más comunes, con el objetivo final de tener la oportunidad de abrir un cofre de botín de datos confidenciales almacenados en la nube. Ese es precisamente el objetivo de Doki, y su uso de múltiples tecnologías para no ser detectado, potente y eficaz no se parece a nada que se haya visto anteriormente en el ámbito de los problemas de seguridad basados en Docker.
¿Qué es Doki y cómo funciona?
Como es un tema común en muchas aplicaciones comprometidas, mala configuración de seguridad desempeña un papel inaceptablemente importante en la forma en que se violó el software. En el caso específico de Docker, la API de Docker Engine mal configurada ha demostrado ser beneficiosa para los atacantes. El Botnet Ngrok El robot de criptominería ha estado rastreando servidores Docker inseguros desde 2018, creando sus propios contenedores y ejecutando malware en la infraestructura de la víctima.
Doki es una versión más astuta y maliciosa de este malware, que tuvo éxito a través de la misma red de bots y expuso el mismo vector de ataque: la mala configuración de la API, que debería haberse solucionado mucho antes de cualquier implementación de código o visibilidad pública del servidor. Doki utiliza la cadena de bloques de la criptomoneda satírica favorita de todos, Dogecoin, para actuar como una puerta trasera prácticamente indetectable. Tal como está, se ha deslizado sin dejar rastro desde enero.
Básicamente, el malware abusa de una billetera blockchain para generar nombres de dominio de comando y control (C2), lo que no es nuevo en sí mismo, pero Doki proporciona una capacidad continua para la ejecución remota de código en un servidor infectado, lo que da paso a una serie de ataques dañinos basados en malware, como el ransomware y los DDoS. Es implacable, como un «dux con un hueso», por así decirlo. La buena gente de Intezer tiene un reseña completa sobre toda la amenaza y su enorme carga útil.
Detectando una ruta de Doki en el código.
El hecho de que Doki sea una puerta trasera que opera en una red blockchain descentralizada, que emplea técnicas rápidas y elusivas de escape de contenedores para cubrir las pistas, acceder a más áreas del host y seguir propagando la infección, lo convierte en una pesadilla tanto para los desarrolladores como para los equipos de seguridad.
Aun así, Doki no puede infectar un servidor Docker que tenga puertos API seguros. Configurarlos mal durante el proceso de producción es un error que puede tener consecuencias de gran alcance, pero si se trata de un malware tan complejo y contundente, se puede decir que es una solución un tanto «sencilla» para que los desarrolladores de la nube adquieran conocimientos eficaces sobre seguridad y habilidades prácticas de codificación segura.
Veamos este ejemplo de una API de Docker insegura, una en la que Doki podría encontrar una forma de entrar y empezar a difundirse:
acoplado -H tcp: //0.0.0. 0:2375
¿Puedes detectar los errores de configuración? La versión segura tiene este aspecto:
dockerd -H tcp: //0.0.0. 0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem
En el ejemplo inseguro, la API de Docker Engine escucha en el puerto TCP 2375 y aceptará ninguna solicitud de conexión, por lo que está disponible para cualquiera que acceda al servidor Docker.
En el ejemplo seguro, la API de Docker Engine se configuró para usar la validación de certificados TLS y solo aceptará conexiones de clientes que proporcionen un certificado en el que confíe su CA.
Tenemos un conjunto completamente nuevo de desafíos gamificados para ayudar a los desarrolladores a identificar y corregir la causa principal de una infección de Doki, y tú puedes jugar a uno. aquí:
La infraestructura de nube segura es un deporte de equipo.
Configuraciones incorrectas en la nube costaron a las organizaciones la asombrosa suma de 5 billones de dólares en 2018 y 2019, lo que representa miles de millones de registros expuestos y un daño irreversible a la reputación. Para un vector de ataque que es en gran medida evitable, esta es una estadística bastante alarmante. Y pensar que medidas como supervisar y corregir los puertos expuestos (idealmente antes de la implementación), comprobar si hay contenedores desconocidos y controlar cualquier carga excesiva de los servidores podrían detener los daños que provoca algo como Doki, es un precio módico a pagar por su tranquilidad.
La conciencia de seguridad en toda la empresa es fundamental y, para cada persona involucrada en el SDLC, operar con las mejores prácticas de seguridad no es negociable. Las mejores organizaciones están comprometidas con un proceso de DevSecOps sólido, en el que la responsabilidad por la seguridad sea compartida, y tanto los desarrolladores como los profesionales de AppSec tienen los conocimientos y las herramientas necesarios para evitar que las vulnerabilidades más comunes lleguen al software y a la infraestructura vital.
¿Quiere empezar como un ingeniero de nube superpotente y consciente de la seguridad? Empieza a poner a prueba tus habilidades ahora.
En la onomatopeya japonesa, la frase «doki-doki» («"») representa el sonido de un corazón que late con fuerza... que es exactamente lo que podrían experimentar los miembros del equipo de seguridad si su servidor Docker se infecta con Doki, una nueva vulnerabilidad que proporciona una puerta trasera para la inyección de código malicioso y mucho más. Un nombre apropiado, por decir lo menos.
A medida que adoptamos una dependencia cada vez mayor de la infraestructura de nube, la necesidad de precisión y eficacia escalable de las mejores prácticas de seguridad es vital, y debe extenderse mucho más allá de lo mínimo indispensable para una implementación segura de las aplicaciones, con medidas personalizadas para la seguridad de los contenedores que se den a conocer e implementar en todo el SDLC.
Los ciberataques son cada vez más frecuentes y las amenazas que afectan a la infraestructura basada en Linux son cada vez más comunes, con el objetivo final de tener la oportunidad de abrir un cofre de botín de datos confidenciales almacenados en la nube. Ese es precisamente el objetivo de Doki, y su uso de múltiples tecnologías para no ser detectado, potente y eficaz no se parece a nada que se haya visto anteriormente en el ámbito de los problemas de seguridad basados en Docker.
¿Qué es Doki y cómo funciona?
Como es un tema común en muchas aplicaciones comprometidas, mala configuración de seguridad desempeña un papel inaceptablemente importante en la forma en que se violó el software. En el caso específico de Docker, la API de Docker Engine mal configurada ha demostrado ser beneficiosa para los atacantes. El Botnet Ngrok El robot de criptominería ha estado rastreando servidores Docker inseguros desde 2018, creando sus propios contenedores y ejecutando malware en la infraestructura de la víctima.
Doki es una versión más astuta y maliciosa de este malware, que tuvo éxito a través de la misma red de bots y expuso el mismo vector de ataque: la mala configuración de la API, que debería haberse solucionado mucho antes de cualquier implementación de código o visibilidad pública del servidor. Doki utiliza la cadena de bloques de la criptomoneda satírica favorita de todos, Dogecoin, para actuar como una puerta trasera prácticamente indetectable. Tal como está, se ha deslizado sin dejar rastro desde enero.
Básicamente, el malware abusa de una billetera blockchain para generar nombres de dominio de comando y control (C2), lo que no es nuevo en sí mismo, pero Doki proporciona una capacidad continua para la ejecución remota de código en un servidor infectado, lo que da paso a una serie de ataques dañinos basados en malware, como el ransomware y los DDoS. Es implacable, como un «dux con un hueso», por así decirlo. La buena gente de Intezer tiene un reseña completa sobre toda la amenaza y su enorme carga útil.
Detectando una ruta de Doki en el código.
El hecho de que Doki sea una puerta trasera que opera en una red blockchain descentralizada, que emplea técnicas rápidas y elusivas de escape de contenedores para cubrir las pistas, acceder a más áreas del host y seguir propagando la infección, lo convierte en una pesadilla tanto para los desarrolladores como para los equipos de seguridad.
Aun así, Doki no puede infectar un servidor Docker que tenga puertos API seguros. Configurarlos mal durante el proceso de producción es un error que puede tener consecuencias de gran alcance, pero si se trata de un malware tan complejo y contundente, se puede decir que es una solución un tanto «sencilla» para que los desarrolladores de la nube adquieran conocimientos eficaces sobre seguridad y habilidades prácticas de codificación segura.
Veamos este ejemplo de una API de Docker insegura, una en la que Doki podría encontrar una forma de entrar y empezar a difundirse:
acoplado -H tcp: //0.0.0. 0:2375
¿Puedes detectar los errores de configuración? La versión segura tiene este aspecto:
dockerd -H tcp: //0.0.0. 0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem
En el ejemplo inseguro, la API de Docker Engine escucha en el puerto TCP 2375 y aceptará ninguna solicitud de conexión, por lo que está disponible para cualquiera que acceda al servidor Docker.
En el ejemplo seguro, la API de Docker Engine se configuró para usar la validación de certificados TLS y solo aceptará conexiones de clientes que proporcionen un certificado en el que confíe su CA.
Tenemos un conjunto completamente nuevo de desafíos gamificados para ayudar a los desarrolladores a identificar y corregir la causa principal de una infección de Doki, y tú puedes jugar a uno. aquí:
La infraestructura de nube segura es un deporte de equipo.
Configuraciones incorrectas en la nube costaron a las organizaciones la asombrosa suma de 5 billones de dólares en 2018 y 2019, lo que representa miles de millones de registros expuestos y un daño irreversible a la reputación. Para un vector de ataque que es en gran medida evitable, esta es una estadística bastante alarmante. Y pensar que medidas como supervisar y corregir los puertos expuestos (idealmente antes de la implementación), comprobar si hay contenedores desconocidos y controlar cualquier carga excesiva de los servidores podrían detener los daños que provoca algo como Doki, es un precio módico a pagar por su tranquilidad.
La conciencia de seguridad en toda la empresa es fundamental y, para cada persona involucrada en el SDLC, operar con las mejores prácticas de seguridad no es negociable. Las mejores organizaciones están comprometidas con un proceso de DevSecOps sólido, en el que la responsabilidad por la seguridad sea compartida, y tanto los desarrolladores como los profesionales de AppSec tienen los conocimientos y las herramientas necesarios para evitar que las vulnerabilidades más comunes lleguen al software y a la infraestructura vital.
¿Quiere empezar como un ingeniero de nube superpotente y consciente de la seguridad? Empieza a poner a prueba tus habilidades ahora.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
En la onomatopeya japonesa, la frase «doki-doki» («"») representa el sonido de un corazón que late con fuerza... que es exactamente lo que podrían experimentar los miembros del equipo de seguridad si su servidor Docker se infecta con Doki, una nueva vulnerabilidad que proporciona una puerta trasera para la inyección de código malicioso y mucho más. Un nombre apropiado, por decir lo menos.
A medida que adoptamos una dependencia cada vez mayor de la infraestructura de nube, la necesidad de precisión y eficacia escalable de las mejores prácticas de seguridad es vital, y debe extenderse mucho más allá de lo mínimo indispensable para una implementación segura de las aplicaciones, con medidas personalizadas para la seguridad de los contenedores que se den a conocer e implementar en todo el SDLC.
Los ciberataques son cada vez más frecuentes y las amenazas que afectan a la infraestructura basada en Linux son cada vez más comunes, con el objetivo final de tener la oportunidad de abrir un cofre de botín de datos confidenciales almacenados en la nube. Ese es precisamente el objetivo de Doki, y su uso de múltiples tecnologías para no ser detectado, potente y eficaz no se parece a nada que se haya visto anteriormente en el ámbito de los problemas de seguridad basados en Docker.
¿Qué es Doki y cómo funciona?
Como es un tema común en muchas aplicaciones comprometidas, mala configuración de seguridad desempeña un papel inaceptablemente importante en la forma en que se violó el software. En el caso específico de Docker, la API de Docker Engine mal configurada ha demostrado ser beneficiosa para los atacantes. El Botnet Ngrok El robot de criptominería ha estado rastreando servidores Docker inseguros desde 2018, creando sus propios contenedores y ejecutando malware en la infraestructura de la víctima.
Doki es una versión más astuta y maliciosa de este malware, que tuvo éxito a través de la misma red de bots y expuso el mismo vector de ataque: la mala configuración de la API, que debería haberse solucionado mucho antes de cualquier implementación de código o visibilidad pública del servidor. Doki utiliza la cadena de bloques de la criptomoneda satírica favorita de todos, Dogecoin, para actuar como una puerta trasera prácticamente indetectable. Tal como está, se ha deslizado sin dejar rastro desde enero.
Básicamente, el malware abusa de una billetera blockchain para generar nombres de dominio de comando y control (C2), lo que no es nuevo en sí mismo, pero Doki proporciona una capacidad continua para la ejecución remota de código en un servidor infectado, lo que da paso a una serie de ataques dañinos basados en malware, como el ransomware y los DDoS. Es implacable, como un «dux con un hueso», por así decirlo. La buena gente de Intezer tiene un reseña completa sobre toda la amenaza y su enorme carga útil.
Detectando una ruta de Doki en el código.
El hecho de que Doki sea una puerta trasera que opera en una red blockchain descentralizada, que emplea técnicas rápidas y elusivas de escape de contenedores para cubrir las pistas, acceder a más áreas del host y seguir propagando la infección, lo convierte en una pesadilla tanto para los desarrolladores como para los equipos de seguridad.
Aun así, Doki no puede infectar un servidor Docker que tenga puertos API seguros. Configurarlos mal durante el proceso de producción es un error que puede tener consecuencias de gran alcance, pero si se trata de un malware tan complejo y contundente, se puede decir que es una solución un tanto «sencilla» para que los desarrolladores de la nube adquieran conocimientos eficaces sobre seguridad y habilidades prácticas de codificación segura.
Veamos este ejemplo de una API de Docker insegura, una en la que Doki podría encontrar una forma de entrar y empezar a difundirse:
acoplado -H tcp: //0.0.0. 0:2375
¿Puedes detectar los errores de configuración? La versión segura tiene este aspecto:
dockerd -H tcp: //0.0.0. 0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem
En el ejemplo inseguro, la API de Docker Engine escucha en el puerto TCP 2375 y aceptará ninguna solicitud de conexión, por lo que está disponible para cualquiera que acceda al servidor Docker.
En el ejemplo seguro, la API de Docker Engine se configuró para usar la validación de certificados TLS y solo aceptará conexiones de clientes que proporcionen un certificado en el que confíe su CA.
Tenemos un conjunto completamente nuevo de desafíos gamificados para ayudar a los desarrolladores a identificar y corregir la causa principal de una infección de Doki, y tú puedes jugar a uno. aquí:
La infraestructura de nube segura es un deporte de equipo.
Configuraciones incorrectas en la nube costaron a las organizaciones la asombrosa suma de 5 billones de dólares en 2018 y 2019, lo que representa miles de millones de registros expuestos y un daño irreversible a la reputación. Para un vector de ataque que es en gran medida evitable, esta es una estadística bastante alarmante. Y pensar que medidas como supervisar y corregir los puertos expuestos (idealmente antes de la implementación), comprobar si hay contenedores desconocidos y controlar cualquier carga excesiva de los servidores podrían detener los daños que provoca algo como Doki, es un precio módico a pagar por su tranquilidad.
La conciencia de seguridad en toda la empresa es fundamental y, para cada persona involucrada en el SDLC, operar con las mejores prácticas de seguridad no es negociable. Las mejores organizaciones están comprometidas con un proceso de DevSecOps sólido, en el que la responsabilidad por la seguridad sea compartida, y tanto los desarrolladores como los profesionales de AppSec tienen los conocimientos y las herramientas necesarios para evitar que las vulnerabilidades más comunes lleguen al software y a la infraestructura vital.
¿Quiere empezar como un ingeniero de nube superpotente y consciente de la seguridad? Empieza a poner a prueba tus habilidades ahora.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
