今年早些时候,黑客组织TeamTNT使用XMRig加密货币矿工攻击暴露的DockerAPI。随着时间的推移,研究人员发现TeamTNT继续扩展其功能并从AWS窃取SSH凭证。本文分析了在TeamTNT的最新攻击活动中攻击者自己的IRC的使用。IRCbot是TNTbotinger,能够进行DDoS攻击。为了成功攻击,攻击者首先需要在目标机器上执行远程代码执行。恶意攻击者可以通过错误配置、滥用未修补的漏洞、利用弱密码、重复使用的密码、泄露的凭据和其他安全漏洞来实现远程代码执行。技术分析初始传播是通过在受害机器上运行的恶意shell脚本进行的。此shell脚本检查/dev/shm/.alsp文件是否存在,这也是机器是否已被破坏的标志。如果找不到该文件,脚本将开始工作。图1.恶意脚本检查系统中是否存在/dev/shm/.alsp文件。然后该脚本尝试安装curl、wget、bash、make、gcc和pnscan包。图2.恶意脚本尝试安装curl、wget、bash、make、gcc和pnscan包由于在恶意脚本中使用了apt-get和yum包管理器,研究人员推测恶意软件作者支持Debian和RedHat的Linux发行版。然后该脚本会尝试下载并执行恶意二进制文件,包括端口扫描工具pnscan。如果未在预期目录中找到,将手动下载该工具。在此活动中执行的二进制文件包括:/dev/shm/sbin/usr/bin/tshd/usr/bin/kube/usr/bin/bioset该脚本然后从受感染的系统中窃取不同类型的机密信息,其中包括:RSA(Rivest-Shamir-Adleman)用于SSH访问的密钥;重击历史;AWS和Docker配置文件;/etc组、/etc/passwd、/etc/shadow、/etc/gshadow。然后,恶意行为者向攻击者提供的URL发出HTTPPOST请求,使用TGZ(tar.gz)文件上传窃取的信息。研究人员怀疑被盗信息将作为后续攻击的知识库。图3.窃取的信息通过TGZ文件上传到恶意URL。该脚本还尝试根据iproute命令的结果查找可访问的设备。然后将此信息传递给pnscan工具以扫描网络上的活动SSH守护程序。在系统上发现的密钥用于对新发现的设备进行身份验证尝试。如果这些尝试成功,有效负载将部署到新设备并开始传播攻击。图4.恶意脚本执行SSH守护进程扫描并试图窃取访问联网设备的与密钥相关的二进制文件。二进制文件的目标平台是基于x86-64指令集的CPU。这些二进制文件的第一层是用著名的UPX打包器打包的。(1)/dev/shm/sbin这个二进制文件是使用Go编译器编译的,包含一个用AES加密的ELF文件。研究人员推测该加壳器是Go语言版本的LaufzeitCrypter。图5.包含AES加密ELF文件的GO编译器编译的二进制文件。解密文件后,研究人员找到了二进制文件的最终有效负载——XMRig加密货币矿工。(2)/usr/bin/tshd这个二进制文件是一个绑定外壳,它将监听TCP端口51982。整个通信是用硬编码密钥加密的。图6.绑定shell侦听TCP端口51982(3)/usr/bin/bioset这个二进制文件是一个侦听TCP端口1982的绑定shell。使用Blowfish加密算法和硬编码密钥对通信进行加密。经过分析,研究人员发现该实现在某些平台上无法正常运行。此外,二进制文件将其进程名称修改为systemd。图7.绑定shell监听TCP端口1982(4)/usr/bin/kube这个二进制文件也是用Go编译的,包含一个AES加密的ELF文件。该文件也在执行期间动态加载,并使用相同的打包程序,即LaufzeitCrypter的Go版本。AES密钥和IV(初始化向量)都硬编码在二进制文件中。二进制文件的最终有效载荷是一个IRC机器人,研究人员将其命名为TNTbotinger。bot可以执行DDoS命令、IRCbot命令和Unixshell命令。具体的命令和功能可以参考:https://www.trendmicro.com/en_us/research/20/l/teamtnt-now-deploying-ddos-capable-irc-bot-tntbotinger.html总结Linux系统威胁图为也在不断的进化发展。TeamTNT的最新攻击活动就是一个例子。TeamTNT在攻击活动中使用wget/curl二进制文件进行payload部署,并使用bindshell冗余来提高攻击的成功率和稳定性。在一次成功的TNTbotinger攻击中,攻击者可以破坏受感染的系统以在受害者的设备上实现远程代码执行。研究人员建议用户采取相应的安全措施,保护系统和企业网络安全。本文翻译自:https://www.trendmicro.com/en_us/research/20/l/teamtnt-now-deploying-ddos-capable-irc-bot-tntbotinger.html
