今年,黑客联盟TeamTNT应用XMRig 数字货币挖矿机进攻了曝露的Docker API。伴随着時间的发展趋势,科学研究工作人员发觉TeamTNT 在持续拓展其作用,并从AWS 盗取SSH 凭据。文中剖析TeamTNT 全新的进攻主题活动中应用网络攻击机构中自身的IRC。该IRC bot是TNTbotinger,具备DDoS 战斗能力。
为取得成功完成进攻,网络攻击最先要在总体目标设备上实行远程控制执行命令。恶意网络攻击额可以根据不正确配备、乱用未修补的系统漏洞、运用弱口令、器重登陆密码、泄漏的证明等网络安全问题来完成远程控制执行命令。
技术指标分析
原始的散播是根据运作在受害人设备上的一个恶意shell脚本。该shell脚本会查验/dev/shm/.alsp 文档的存有,这也是设备是不是被侵入的一个标示。假如该文件沒有被寻找,脚本便会开始工作。
图 1. 恶意脚本检查检查系统软件中/dev/shm/.alsp文件的存有
随后,脚本会尝试安裝curl、wget、bash、make、gcc 和 pnscan包。
图 2. 恶意脚本尝试安装curl、wget、bash、make、gcc 和 pnscan包
因为恶意脚本中采用了apt-get和yum包管理工具,科学研究工作人员猜想恶意软件作者对Debian 和Red Hat的Linux版本号的适用。
随后脚本回尝试免费下载和实行恶意二进制文件,在其中就包含用以端口扫描器的专用工具pnscan。假如在期待文件目录中沒有寻找,便会手动式免费下载该专用工具。
在该进攻主题活动中实行的二进制文件包含:
- /dev/shm/sbin
- /usr/bin/tshd
- /usr/bin/kube
- /usr/bin/bioset
随后,脚本会从受传染的体系中盗取不一样种类的商业秘密信息,主要包括:
- 用以SSH浏览的RSA (Rivest-Shamir-Adleman)密匙;
- Bash历史时间;
- AWS和Docker 环境变量;
- /etc group, /etc/passwd, /etc/shadow, /etc/gshadow。
随后,恶意网络攻击会向攻击者给予的URL传出HTTP POST要求,应用一个TGZ (tar.gz) 文档来提交盗取的信息。科学研究工作人员猜疑被盗取的信息会做为以后进攻主题活动的知识库系统。
图 3. 盗取的信息根据TGZ上传文件到恶意URL
脚本也会尝试依据ip route command的结论来寻找可以浏览的机器设备。随后,这种信息会传送给pnscan 专用工具来扫描仪互联网上活泼的SSH daemon。系统软件上发觉的key是用来在探索与发现的设施上开展验证尝试的。假如这种尝试成功了,payload便会布署到新的设施上,并逐渐散播进攻。
图 4. 恶意脚本实行SSH daemon扫描仪并尝试盗取浏览连接网络设施的key
有关的二进制文件
二进制文件的总体目标服务平台是根据x86-64指令系统的CPU。这种二进制文件的第一层都被著名的UPX 封装工具装包了。
(1) /dev/shm/sbin
该二进制文件应用Go c语言编译器编译程序,在其中带有一个应用AES 数据加密的ELF 文档。科学研究工作人员猜想该装包器是LaufzeitCrypter的Go语言版本号。
图 5. GO c语言编译器编译成的带有AES数据加密的ELF 文档的二进制文件
在破译该文件后,科学研究工作人员发觉了二进制文件的final payload——XMRig 数字货币挖矿机。
(2) /usr/bin/tshd
该二进制文件是一个bind shell,会监视TCP 51982端口号。全部通讯是用硬编码的密匙数据加密的。
图 6. bind shell监视TCP 51982端口号
(3) /usr/bin/bioset
该二进制文件是一个bind shell,会监视TCP 1982端口号。通讯是用Blowfish 加密技术和硬编码的密匙数据加密的。通过剖析,科学研究工作人员发觉该完成在一部分网站上不可以正常的工作中。除此之外,二进制文件还会继续将其过程名改动为systemd。
图 7. bind shell监视TCP 1982端口号
(4) /usr/bin/kube
该二进制文件也是Go 编译程序的,而且带有一个AES 数据加密的ELF 文档。该文件在实施全过程中也是动态性载入的,而且采用了同样的装包器——LaufzeitCrypter的Go语言版本号。AES密匙和IV (原始空间向量)全是硬编码在二进制文件中的。
该二进制文件的final payload是一个IRC bot,科学研究工作人员将其取名为TNTbotinger。该bot可以实行DDoS 指令、IRC bot命令和Unix shell 指令。实际指令和作用参照:
https://www.trendmicro.com/en_us/research/20/l/teamtnt-now-deploying-ddos-capable-irc-bot-tntbotinger.html
汇总
Linux 系统软件危害图普也在不停的发展趋势。TeamTNT全新的进攻主题活动便是一个事例,TeamTNT在进攻主题活动中采用了wget/curl 二进制文件来开展payload布署,并应用bind shell沉余来提升进攻的通过率和可靠性。在顺利的TNTbotinger 进攻中,网络攻击可以入侵受传染的系统软件,在受害人机器设备上建立远程控制执行命令。科学研究工作人员提议客户采用相应的防范措施来维护系统软件和网络安全防护。
文中翻譯自:
https://www.trendmicro.com/en_us/research/20/l/teamtnt-now-deploying-ddos-capable-irc-bot-tntbotinger.html