-
09/04/2020
-
112
-
1.098 bài viết
Mã độc mới khai thác Docker API bị lộ, chiếm quyền root vĩnh viễn qua SSH
Các chuyên gia bảo mật cảnh báo về một biến thể phần mềm độc hại mới nhắm vào các Docker API bị cấu hình lộ, với khả năng tấn công vượt ra ngoài các hoạt động khai thác tiền điện tử truyền thống. Malware này phát triển từ biến thể ban đầu do Trend Micro báo cáo vào tháng 6/2025, nhưng phiên bản hiện tại có các chức năng nguy hiểm hơn, bao gồm thiết lập quyền truy cập root bền vững, loại bỏ các đối thủ cạnh tranh và tiềm năng mở rộng thành botnet phức tạp.
Cuộc tấn công bắt đầu bằng việc quét các Docker API bị lộ trên port 2375 và gửi yêu cầu tạo container độc hại dựa trên Alpine Linux, trong đó chứa lệnh shell mã hóa Base64. Container thực thi lệnh này, cài đặt curl và tor, khởi động Tor daemon nền và xác nhận kết nối qua dịch vụ checkip.amazonaws.com của Amazon. Khi Tor hoạt động, malware tải và thực thi script docker-init.sh từ Tor hidden service. Script này thêm khóa công khai SSH do kẻ tấn công kiểm soát vào /root/.ssh/authorized_keys, cho phép truy cập root trực tiếp, đồng thời tạo cron job chặn quyền truy cập ngoài tới port 2375 bằng các công cụ tường lửa sẵn có như iptables, nftables, ufw hay firewall-cmd.
Đoạn code minh họa cơ chế chặn cổng Docker API 2375 mà malware triển khai trên host:
Ngoài ra, malware cài đặt masscan, torsocks, libpcap và zstd để hỗ trợ quét mạng, lan truyền và né tránh phòng thủ. Đặc biệt, biến thể mới tải một Go binary nén bằng Zstandard (system-linux-ARCH.zst) qua Tor, giải nén ra /tmp/system, cấp quyền thực thi và chạy. Binary này hoạt động như dropper, giải nén và thực thi binary thứ hai, đồng thời phân tích file utmp để xác định người dùng đang đăng nhập. Malware quét các Docker API bị lộ khác, tự lan truyền bằng phương pháp tạo container tương tự và loại bỏ container đối thủ, cho thấy cơ chế tự nhân bản đặc trưng của botnet, có khả năng lây nhiễm các nút mới một cách tự động mà không cần chỉ đạo bên ngoài.
Các nhà phân tích còn phát hiện logic tiềm ẩn chưa hoạt động để khai thác Telnet (port 23) với mặc định router credentials và tương tác với Chrome remote debugging (port 9222), mở ra khả năng đánh cắp thông tin đăng nhập, chiếm quyền session trình duyệt, tải file từ xa và triển khai các cuộc tấn công từ chối dịch vụ phân tán trong tương lai. Những đặc điểm này cho thấy biến thể hiện tại là phiên bản đầu của một botnet phức tạp, với khả năng di chuyển ngang, duy trì quyền truy cập lâu dài và tiềm năng mở rộng đa vector.
Sự kết hợp giữa quyền truy cập bền vững, loại bỏ đối thủ cạnh tranh, khả năng tự lan truyền và các vector mở rộng tiềm năng khiến biến thể này trở thành mối đe dọa nghiêm trọng đối với môi trường container. Các doanh nghiệp được cảnh báo cần rà soát cấu hình Docker, bảo vệ các API truy cập từ Internet và tăng cường giám sát để ngăn chặn khả năng hình thành botnet quy mô lớn và các tấn công đa vector trong tương lai.
Cuộc tấn công bắt đầu bằng việc quét các Docker API bị lộ trên port 2375 và gửi yêu cầu tạo container độc hại dựa trên Alpine Linux, trong đó chứa lệnh shell mã hóa Base64. Container thực thi lệnh này, cài đặt curl và tor, khởi động Tor daemon nền và xác nhận kết nối qua dịch vụ checkip.amazonaws.com của Amazon. Khi Tor hoạt động, malware tải và thực thi script docker-init.sh từ Tor hidden service. Script này thêm khóa công khai SSH do kẻ tấn công kiểm soát vào /root/.ssh/authorized_keys, cho phép truy cập root trực tiếp, đồng thời tạo cron job chặn quyền truy cập ngoài tới port 2375 bằng các công cụ tường lửa sẵn có như iptables, nftables, ufw hay firewall-cmd.
Đoạn code minh họa cơ chế chặn cổng Docker API 2375 mà malware triển khai trên host:
Mã:
PORT=2375
PROTOCOL=tcp
for fw in firewall-cmd ufw pfctl iptables nft; do
if command -v "$fw" >/dev/null 2>&1; then
case "$fw" in
firewall-cmd)
firewall-cmd --permanent --zone=public \
--add-rich-rule="rule family='ipv4' port protocol='tcp' port='$PORT' reject"
firewall-cmd --reload
;;
ufw)
ufw deny $PORT/tcp
;;
iptables)
iptables -A INPUT -p tcp --dport $PORT -j REJECT
;;
nft)
nft add rule inet filter input tcp dport $PORT reject
;;
esac
fi
doneNgoài ra, malware cài đặt masscan, torsocks, libpcap và zstd để hỗ trợ quét mạng, lan truyền và né tránh phòng thủ. Đặc biệt, biến thể mới tải một Go binary nén bằng Zstandard (system-linux-ARCH.zst) qua Tor, giải nén ra /tmp/system, cấp quyền thực thi và chạy. Binary này hoạt động như dropper, giải nén và thực thi binary thứ hai, đồng thời phân tích file utmp để xác định người dùng đang đăng nhập. Malware quét các Docker API bị lộ khác, tự lan truyền bằng phương pháp tạo container tương tự và loại bỏ container đối thủ, cho thấy cơ chế tự nhân bản đặc trưng của botnet, có khả năng lây nhiễm các nút mới một cách tự động mà không cần chỉ đạo bên ngoài.
Các nhà phân tích còn phát hiện logic tiềm ẩn chưa hoạt động để khai thác Telnet (port 23) với mặc định router credentials và tương tác với Chrome remote debugging (port 9222), mở ra khả năng đánh cắp thông tin đăng nhập, chiếm quyền session trình duyệt, tải file từ xa và triển khai các cuộc tấn công từ chối dịch vụ phân tán trong tương lai. Những đặc điểm này cho thấy biến thể hiện tại là phiên bản đầu của một botnet phức tạp, với khả năng di chuyển ngang, duy trì quyền truy cập lâu dài và tiềm năng mở rộng đa vector.
Sự kết hợp giữa quyền truy cập bền vững, loại bỏ đối thủ cạnh tranh, khả năng tự lan truyền và các vector mở rộng tiềm năng khiến biến thể này trở thành mối đe dọa nghiêm trọng đối với môi trường container. Các doanh nghiệp được cảnh báo cần rà soát cấu hình Docker, bảo vệ các API truy cập từ Internet và tăng cường giám sát để ngăn chặn khả năng hình thành botnet quy mô lớn và các tấn công đa vector trong tương lai.
Tổng hợp