Trend Micro: Docker-Server erstmals mit DDoS-Malware infiziert

Trend Micro hat nach eigenen Angaben erstmals organisierte Angriffe auf Docker-Server entdeckt, die das Ziel haben, falsch konfigurierte Cluster mit einer DDoS-Malware zu infizieren. Bisher wurden solche über das Internet frei erreichbare Docker-Server vorwiegend mit Schadsoftware für das Schürfen von Kryptowährungen kompromittiert.

Gleich zwei Botnetze nahmen zuletzt Docker-Server ins Visier: XORDDoS und Kaiji. Beide gelten als gut dokumentiert, vor allem, XORDDoS, das schon vor Jahren entdeckt wurde. Allerdings richteten sich beide bisher gegen Router und andere Smart-Devices – komplexe Cloud-Setups wie Docker Cluster entsprachen nicht den Vorlieben der Hintermänner.

„XORDDoS und Kaiji waren bekannt dafür, Telnet und SSH zur Verbreitung zu nutzen, daher sehe ich Docker als einen neuen Vektor, der das Potenzial des Botnetzes erhöht, eine grüne Wiese voller frischer Früchte, die gepflückt werden können, ohne dass es unmittelbare Konkurrenten gibt“, sagte Pascal Geenens, Cybersecurity-Evangelist bei Radware, im Gespräch mit ZDNet.com. „Docker-Container bieten in der Regel mehr Ressourcen im Vergleich zu IoT-Geräten, aber sie laufen typischerweise in einer besser gesicherten Umgebung, und es könnte für den Container schwierig bis unmöglich sein, DDoS-Angriffe durchzuführen.“

Router oder IP-Kameras hätten in der Regel einen uneingeschränkten Zugriff auf das Internet, aber weniger Bandbreite und Rechenleistung als Container in einer kompromittierten Umgebung. Dafür stünden Containern mehr Ressourcen mit Arbeitsspeicher und CPU zur Verfügung, wobei sie häufig nur wenige Netzwerkprotokolle unterstützten, was das Arsenal der DDoS-Angriffsvektoren reduziere.

Letzteres spielt Geenens zufolge für Cryptomining keine Rolle, das hier nur ein offener HTTPS-Kanal benötigt wird. Docker-Server seien indes auch interessant, weil die Zahl der noch zu kapernden IoT-Geräte inzwischen sehr gering sei – Docker-Server hingegen ein für DDoS-Malware vollkommen neues Betätigungsfeld.

Geenens geht zudem davon aus, dass Docker-Container an sich für die Cyberkriminellen kein Neuland sind. Hacker setzten Docker sehr wahrscheinlich für ihre eigenen Infrastruktur ein, da sich die Vorteile für legitime Anwendungen wie Automation und DevOps auch auf illegale Anwendungen übertragen ließen.

Das häufigste Einfallstor für Docker-Malware sei das ein ohne Authentifizierung über das Internet erreichbares Management-Interface, das auch nicht durch eine Firewall geschützt sei. Trend Micro empfiehlt zudem weitere grundlegende Schritte, um Docker-Installationen abzusichern.