研究人员最近发现了一种使用shell脚本执行恶意活动的攻击。根据以往的攻击,这些恶意脚本主要用于部署加密货币矿机。然而,除了在最近的攻击中被用于加密货币矿机下载器之外,还有其他用途。从样本中使用的C2URL、字符串、加密密钥和语言,研究人员推断出最新的攻击活动来自TeamTNT。恶意shell脚本使用bash语言开发。与同类攻击活动相比,样本中的代码风格非常好,按照描述性的函数名组织:图1函数函数代码段shell脚本调用的第一个函数用于准备环境,确保下一阶段所需的资源、攻击、计算机能力等。此外,检查是否存在安全解决方案。shell脚本还会下载一些灰色工具,用于下次攻击。这些工具执行网络扫描和映射以检索和映射易受攻击的容器API。环境设置完成后,shell脚本会检索敏感信息,获取此信息的副本,并将其上传到C2服务器。图2.窃取AWS凭证的代码片段在之前发现的窃取AWS凭证的样本中,仅检查和上传机密文件。在新示例中,开发人员添加了2个路径。一种是请求AWS元数据服务并尝试从中获取凭证。另一个是检查AWS凭据的环境变量,如果存在,则上传到C2服务器。此外,新样本不仅窃取了AWS凭证,还窃取了DockerAPI凭证。图3.用于窃取DockerAPI凭据的代码片段。在窃取凭据和部署加密货币矿工之间,该脚本还删除了另一个base64编码的样本。这是为了在系统上创建一个具有sudo权限的用户,并使用SSH-RSA密钥来确保可以连接到受感染的机器并保持访问权限。图4.显示用户创建的代码然后下载、部署和执行加密货币挖掘程序的片段。最近添加到此活动的最后一步是部署反向shell。到目前为止,这种攻击主要针对容器平台。最近创建的带有恶意样本的容器镜像的下载量已超过2000次。图5.包含恶意样本的容器镜像截图总结随着加密货币恶意变种数量的快速增加,攻击者部署挖矿攻击不再局限于加密货币挖矿。目前,恶意脚本不仅用于窃取凭据等敏感信息,还具有其他功能,例如准备环境以确保有足够的资源用于挖矿,并且还可以悄无声息地确保挖矿等。尽可能长,还留下一个后门,以便日后远程连接到目标。随着攻击开始集中在Docker凭据上,使用API身份验证已不足以确保安全性。系统管理员有责任确保此类API不被公开,并且仅供需要访问的用户访问。
