译者:知道创宇404实验室翻译组
原文链接:https://www.trendmicro.com/en_us/research/20/l/teamtnt-now-deploying-ddos-capable-irc-bot-tntbotinger.html

前言

今年早些时候,我们观察到网络犯罪组织TeamTNT使用XMRig加密货币矿工攻击暴露的Docker API。TeamTNT使用窃取Amazon Web Services(AWS)secure shell(SSH)凭证和用于传播的自我复制行为开展攻击。

TeamTNT的最新攻击涉及到该组织自己的IRC(互联网中继聊天)bot。IRC bot被称为TNTbotinger,能够进行分布式拒绝服务(DDoS)。

需要注意的是,攻击者首先必须在初始目标机器上执行远程代码(RCE),然后才能成功地对系统发起攻击。攻击者可以通过利用错误配置问题、滥用未修补的漏洞、利用脆弱或重复使用的密码、密钥或泄漏的凭据等安全缺陷来执行RCE。

技术分析

最初的传播始于在受害者机器上运行的恶意Shell脚本。Shell脚本会检查是否存在/dev/shm/.alsp文件。如果找不到该文件,脚本将开始执行。

图1.恶意脚本检查系统中是否存在/dev/shm/.alsp文件

然后,脚本将尝试安装curl,wget,bash,make,gcc和pnscan软件包。

图2.恶意脚本试图安装curl,wget,make,gcc和pnscan软件包

由于恶意脚本中使用了包管理器,特别是apt-get和yum。

然后,该脚本将尝试下载并执行多个二进制文件,包括pnscan(一个用于端口扫描的工具)。如果在预期的目录中找不到该工具,也可以手动下载。

以下是此攻击中执行的二进制文件:

  • /dev/shm/sbin
  • /usr/bin/tshd
  • /usr/bin/kube
  • /usr/bin/bioset

之后,该脚本从受感染的系统中窃取了一些机密信息,例如:

  • 用于SSH访问的RSA(Rivest-Shamir-Adleman)密钥(包括AWS路径)
  • Bash历史
  • AWS和Docker配置文件
  • /etc group、/etc/passwd、/etc/shadow、/etc/gshadow

恶意攻击者将使用TGZ(tar.gz)通过HTTP POST请求上传这些被盗信息到攻击者提供的URL。我们怀疑收集到的信息将作为改进后续攻击的知识库。

图3.从受感染机器窃取的信息通过TGZ文件上传到恶意URL

该脚本还尝试根据ip route命令的输出查找可访问的设备,该命令将显示到可访问网络的路由。然后将此信息传递给pnscan工具,以便扫描网络上的SSH守护进程。在系统上找到的密钥用于在新发现的设备上进行身份验证尝试。如果这些尝试成功,则在新设备上部署相同的有效负载,并传播攻击。

图4.恶意脚本对受感染的网络上的SSH守护进程进行扫描,并尝试使用被盗的密钥访问网络连接的设备

相关的二进制文件

二进制目标平台是基于x86-64指令集的CPU。所有这些二进制文件的第一层都由著名的UPX包装器进行包装。

/dev/shm/sbin

二进制文件使用Go编译器进行编译,并且包含使用AES(高级加密标准)加密的ELF(可执行和可链接格式)文件。我们假定使用的打包程序是LaufzeitCrypter的Go版本。

图5. Go编译的二进制文件,其中包含一个AES加密的ELF文件

解密文件后,我们找到了二进制文件的最终有效负载:XMRig加密货币矿工。

  • /usr/bin/tshd

此shell监听TCP端口51982。通信用硬编码的密钥加密。

图6.侦听TCP端口51982的绑定shell

  • /usr/bin/bioset

这是一个在TCP端口1982上侦听的shell。通信使用带有硬编码密钥的Blowfish加密算法进行加密。经过分析,我们发现这某些平台上不能正常工作。二进制文件还将其进程名重命名为systemd。

图7.监听TCP端口1982的shell

  • /usr/bin/kube

这个二进制文件是Go编译的,包含AES加密的ELF文件。这是在执行过程中动态加载的,使用的是Go版本的LaufzeitCrypter。AES密钥和初始化向量(IV)硬编码在二进制文件中。

这个二进制文件的最终有效负载是IRC bot,我们将其命名为TNTbotinger。这个bot具有以下DDoS命令:

TNTbotinger还具有以下IRC bot命令:

该bot还具有以下Unix shell命令:

结论

Linux的威胁形势在不断演变。TeamTNT的这一最新攻击很好地说明了攻击者是如何破坏包括云在内的整个网络段的。攻击者不断提高攻击的成功率和稳定性,这从TeamTNT使用wget/curl二进制文件进行有效负载部署和使用shell冗余可以看出。

在成功的TNTbotinger攻击中,攻击者能够渗透到受感染的系统中。一旦进入,他们将能够在可访问的网段上看到易受攻击的实例,并且可以对那些本应被外界屏蔽的设备执行RCE。

对于企业来说,采用严格的安全措施(如以下几点)来保持系统的安全性非常重要:

IOCs

文档名称 功能性 SHA-256 检测结果
SSH Shell script dropper, uploader D9C46904D5BB808F2F0C28E819A31703F5155C4DF66C4C4669F5D9E81F25DC66 Trojan.SH.MALXMR.UWEKQ
sbin XMRig E52646F7CB2886D8A5D4C1A2692A5AB80926E7CE48BDB2362F383C0C6C7223A2 Trojan.Linux.BTCWARE.A
tshd Bind shell (TCP port 51982) 252BF8C685289759B90C1DE6F9DB345C2CFE62E6F8AAD9A7F44DFB3C8508487A Backdoor.Linux.REKOOBE.AA
kube IRC bot B666CD08B065132235303727F2D77997A30355AE0E5B557CD08D41C9ADE7622D Trojan.Linux.MALXMR.UWEKY
bioset Bind shell (TCP port 1982) E15550481E89DBD154B875CE50CC5AF4B49F9FF7B837D9AC5B5594E5D63966A3 Trojan.Linux.MALXMR.UWEKW

Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1436/