研究人员最近发现了一种可以窃取AWS凭证的加密货币蠕虫。这是第一个包含AWS特定功能的蠕虫,可窃取本地凭证并扫描网络以查找配置错误的Docker平台。研究人员发现,黑客组织TeamTNT已成功入侵大量Docker和Kubernetes系统。随着越来越多的企业和组织将计算资源迁移到云和容器环境中,未来此类攻击将会增加。图1:TeamTNT蠕虫首次运行配置文件时屏幕上打印的消息。窃取AWS凭证的代码非常简单。执行后默认的AWS.credentials(凭证)和.config(配置)文件会被上传到攻击者的服务器——sayhi.bplace[.]net:图2:从受害者系统代码窃取AWS凭证攻击者使用Curl来将AWS凭据发送到TeamTNT的服务器,服务器以“THX”消息响应:图3:被盗的AWS凭据产生的网络流量研究人员将CanaryTokens.org创建的凭据发送到TeamTNT服务器,但未使用。这表明TeamTNT手动评估或使用了凭证,或者之前创建的自动化工具无法正常工作。大多数加密货币挖矿蠕虫通过简单地复制和粘贴其他蠕虫的代码并对其进行修改来传播。TeamTNT的蠕虫还包含来自Kinsing蠕虫的代码以阻止阿里云安全工具:图4:阻止阿里云安全工具运行的代码未来,很可能会有更多的蠕虫复制窃取AWS凭证文件的能力。Docker蠕虫还包含使用masscan扫描开放DockerAPI的代码,然后将其自身安装到新容器中:图5:扫描开放DockerAPI,然后将蠕虫安装到新容器中漏洞利用蠕虫部署XMRig加密货币挖掘工具来挖掘门罗币为攻击者赚钱。其中一个矿池提供了被蠕虫入侵的系统的详细信息:图6:MoneroOcean矿池中的Monero钱包数据该页面共有119个被入侵的系统,包括Kubernetes集群和JenkinsBuild服务器。到目前为止,研究人员已经找到了2个与此次攻击相关的门罗币地址,并获得了TeamTNT3个门罗币,价值约300美元,但这只是其中一次攻击。该蠕虫还部署了大量恶意软件:punk.py——SSH漏洞利用工具日志清除工具DiamorphineRootkitTsunamiIRC后门TeamTNT在TeamTNT蠕虫中被大量引用,使用的域名也是teamtnt[.]red。该域存储恶意软件,主页TeamTNTRedTeamPentesting引用了一个公开的恶意软件沙箱:图7:teamtnt[.]red主页结论这些攻击其实并不复杂,有很多黑客组织部署挖矿蠕虫成功感染大量的商业系统。研究人员给出了以下建议:了解哪些系统存储了AWS凭证文件,如果不需要则将其删除。事实上,开发阶段的凭据被意外地保留在许多生产系统中。使用防火墙规则来限制对DockerAPI的访问。研究人员强烈建议在设置防火墙时使用白名单方法。查看所有连接到矿池的网络流量,或者使用Stratum挖矿工具。检查通过HTTP发送AWS凭证文件的所有连接。
