s0600-doki - RunkIntel

# Doki > Tipo: **backdoor** · S0600 · [MITRE ATT&CK](https://attack.mitre.org/software/S0600) ## Attack Flow ```mermaid graph TB A["🔍 Scan automatizado Docker API exposta sem auth T1133 - porta 2375/2376"] --> B["📦 Container malicioso Deploy alpine-curl T1610 + bind root dir"] B --> C["🔓 Escape de container Bind host root filesystem T1611 - acesso total ao host"] C --> D["💰 Cryptominer + Doki Cron modificado no host Execução a cada minuto"] D --> E["📡 C2 via DGA Dogecoin dogechain.info API T1568.002 + T1102"] classDef scan fill:#e74c3c,color:#fff classDef deploy fill:#e67e22,color:#fff classDef escape fill:#3498db,color:#fff classDef persist fill:#27ae60,color:#fff classDef c2 fill:#9b59b6,color:#fff class A scan class B deploy class C escape class D persist class E c2 ``` ## Descrição [[s0600-doki|Doki]] e um backdoor Linux multi-thread que emprega uma técnica sem precedentes para comunicação C2: um algoritmo de geracao de dominio (DGA) baseado na blockchain do Dogecoin. Documentado pela Intezer em julho de 2020, o [[s0600-doki|Doki]] foi parte de uma campanha do Ngrok Mining Botnet ativa ha pelo menos dois anos antes de sua descoberta. O malware permaneceu nao detectado por mais de seis meses após ser enviado ao VirusTotal em janeiro de 2020 - nenhum dos 61 motores de detecao o identificava no momento da públicacao do relatorio pela Intezer. O mecanismo DGA baseado em blockchain e inovador técnicamente: para gerar o endereco C2, o malware consulta a API pública `dogechain.info` e busca o valor total de Dogecoin já enviado de uma carteira específica controlada pelo atacante. Os primeiros 12 caracteres hexadecimais do hash SHA256 desse valor formam o subdominio C2 hospedado no servico DynDNS. Para mudar o servidor C2, o atacante simplesmente transfere uma quantidade específica de Dogecoin da carteira - fazendo com que o dominio gerado mude automaticamente em todos os implants ativos. Esse design e resiliente a bloqueio de DNS e takedowns de infraestrutura: como a blockchain e pública, descentralizada e imutavel, nenhuma autoridade pode impedir que os implants calculem o novo endereco C2. O malware também implementa um mecanismo kill switch - se a carteira tiver saldo zero enviado, o hash SHA256 resultante instrui o malware a parar a execução. O vetor de infecção explora APIs Docker expostas públicamente sem autenticação - um problema sistematico em ambientes cloud. O [[s0600-doki|Doki]] usa a API Docker para criar um container com configuração `bind` que monta o diretorio root do host, permitindo escape completo do container ([[t1611-escape-to-host|T1611]]) e acesso a todos os arquivos do servidor. Uma vez com acesso ao host, modifica o crontab para executar payloads a cada minuto e instala cryptominers. Ferramentas de scan de rede como zmap, zgrap e jq sao usadas para identificar novos alvos vulneraveis na mesma faixa IP de provedores cloud. **Plataformas:** Linux, Containers ## DGA Dogecoin ```mermaid graph TB WALLET["Carteira Dogecoin Controlada pelo atacante"] QUERY["Consulta dogechain.info T1102 - Web Service Valor total enviado"] HASH["SHA256 do valor Primeiros 12 chars hex"] DOMAIN["Subdominio DynDNS ex: 6d77335c4f23.ddns.net Servidor C2 ativo"] CHANGE["Mudanca de C2 Atacante transfere Dogecoin Todos implants atualizam"] WALLET --> QUERY QUERY --> HASH HASH --> DOMAIN WALLET --> CHANGE CHANGE --> DOMAIN ``` ## Técnicas Utilizadas - [[t1568-002-domain-generation-algorithms|T1568.002 - Domain Generation Algorithms]] - [[t1611-escape-to-host|T1611 - Escape to Host]] - [[t1020-automated-exfiltration|T1020 - Automated Exfiltration]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1610-deploy-container|T1610 - Deploy Container]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1102-web-service|T1102 - Web Service]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1133-external-remote-services|T1133 - External Remote Services]] - [[t1057-process-discovery|T1057 - Process Discovery]] ## Detecao A detecao do [[s0600-doki|Doki]] requer controles específicos para ambientes containerizados. Nunca expor a API Docker (porta 2375/2376) sem autenticação e TLS - qualquer servidor com essa porta aberta sera comprometido em horas. Monitorar a criação de containers com configuração `bind` que montam o diretorio root do host ([[t1610-deploy-container|T1610]]). Detectar modificacoes no crontab do host por processos de container ([[t1611-escape-to-host|T1611]]). Analisar conexoes de saida para `dogechain.info` ou dominios `ddns.net` por processos de sistema Linux - um padrao altamente suspeito. Ferramentas de segurança de container como Falco, Sysdig e soluções de CSPM podem detectar configuracoes de bind privilegiadas. Verificar regularmente Shodan e ferramentas similares para identificar APIs Docker expostas na infraestrutura propria. ## Relevância LATAM/Brasil O [[s0600-doki|Doki]] e altamente relevante para o ecossistema cloud brasileiro, onde a adocao rapida de Docker e Kubernetes frequentemente precede a implementacao de controles de segurança adequados. Empresas brasileiras em transformacao digital - especialmente startups e empresas medias migrando para cloud AWS, Azure ou GCP - que nao configuram autenticação em APIs Docker sao alvos imediatos: pesquisas Shodan identificam milhares de instancias Docker expostas públicamente no Brasil. O modelo de negocio do Doki - backdoor + cryptomining - impacta diretamente custos de infraestrutura cloud e pode escalar para exfiltração de dados sensiveis. A técnica de DGA via blockchain Dogecoin e uma evolução técnica que outros malwares targeting cloud infrastructure brasileira poderao adotar. ## Referências - [1](https://attack.mitre.org/software/S0600/) MITRE ATT&CK - Doki S0600 - [2](https://intezer.com/blog/cloud-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/) Intezer - Watch Your Containers: Doki Infecting Docker Servers (2020) - [3](https://www.bleepingcomputer.com/news/security/sneaky-doki-linux-malware-infiltrates-docker-cloud-instances/) BleepingComputer - Sneaky Doki Linux malware infiltrates Docker cloud instances (2020)