自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

TEAM TNT:竊取AWS憑證的加密貨幣挖礦蠕蟲(chóng)

作者:ang010ela
安全
研究人員近期發(fā)現(xiàn)一個(gè)可以竊取AWS憑證的加密貨幣蠕蟲(chóng)。這是首個(gè)含有AWS特定功能的蠕蟲(chóng),該蠕蟲(chóng)可以竊取本地憑證、掃描錯(cuò)誤配置的Docker平臺(tái)的網(wǎng)絡(luò)。

研究人員近期發(fā)現(xiàn)一個(gè)可以竊取AWS憑證的加密貨幣蠕蟲(chóng)。這是首個(gè)含有AWS特定功能的蠕蟲(chóng),該蠕蟲(chóng)可以竊取本地憑證、掃描錯(cuò)誤配置的Docker平臺(tái)的網(wǎng)絡(luò)。研究人員發(fā)現(xiàn)黑客組織TeamTNT已經(jīng)成功入侵了大量的Docker和Kubernetes 系統(tǒng)。

隨著越來(lái)越多的企業(yè)和組織將計(jì)算資源遷移到云和容器環(huán)境中,未來(lái)此類攻擊將越來(lái)越多。

圖 1: TeamTNT蠕蟲(chóng)首次運(yùn)行時(shí)在屏幕上打印的消息

AWS憑證竊取

AWS CLI將憑證保存以未加密文件的形式保存在~/.aws/credentials,其他的配置信息保存在名為~/.aws/config 的文件中。

竊取AWS憑證的代碼非常直接,執(zhí)行后會(huì)上傳默認(rèn)的AWS .credentials(憑證)和 .config(配置)文件到攻擊者的服務(wù)器——sayhi.bplace[.]net:

圖 2: 從受害者系統(tǒng)中竊取AWS憑證的代碼

攻擊者用Curl來(lái)發(fā)送AWS憑證到TeamTNT 的服務(wù)器,服務(wù)器會(huì)響應(yīng)消息“THX”:

圖 3: 竊取的AWS憑證生成的網(wǎng)絡(luò)流量

研究人員發(fā)送CanaryTokens.org創(chuàng)建的憑證到TeamTNT 服務(wù)器,但沒(méi)有使用過(guò)。這表明TeamTNT 手動(dòng)評(píng)估或使用該憑證,或之前創(chuàng)建的自動(dòng)化工具無(wú)法正常工作。

傳播

大多數(shù)的加密貨幣挖礦蠕蟲(chóng)都是直接復(fù)制和粘貼其他蠕蟲(chóng)的代碼并進(jìn)行修改。TeamTNT 的蠕蟲(chóng)中也含有來(lái)自Kinsing 蠕蟲(chóng)的代碼,目的是停止阿里云安全工具:

圖 4: 阻止阿里云安全工具運(yùn)行的代碼

未來(lái),將可能會(huì)有更多的蠕蟲(chóng)會(huì)復(fù)制竊取AWS 憑證文件的能力。

Docker

蠕蟲(chóng)中還含有用masscan 掃描開(kāi)放的Docker API的代碼,然后在新容器中安裝自己:

圖 5: 掃描開(kāi)放的Docker API,然后安裝蠕蟲(chóng)到新容器中

漏洞利用

該蠕蟲(chóng)部署了XMRig 加密貨幣挖礦工具來(lái)挖門(mén)羅幣,以此為攻擊者賺錢(qián)。其中一個(gè)礦池提供了蠕蟲(chóng)黑掉的系統(tǒng)的詳細(xì)情況:

圖 6: Monero Ocean 礦池中門(mén)羅幣錢(qián)包的數(shù)據(jù)

該頁(yè)面一共有119個(gè)被黑的系統(tǒng),其中包括Kubernetes 集群和Jenkins Build 服務(wù)器。

截止目前,研究人員共發(fā)現(xiàn)2個(gè)與該攻擊相關(guān)的門(mén)羅幣地址,共為T(mén)eamTNT 賺取了3門(mén)羅幣,價(jià)值約300美元,但這只是其中一起攻擊活動(dòng)。

該蠕蟲(chóng)還部署了大量的惡意軟件:

  • punk.py – SSH 利用工具
  • 日志清除工具
  • Diamorphine Rootkit
  • Tsunami IRC 后門(mén)
  • TeamTNT

蠕蟲(chóng)中大量引用了TeamTNT,并且使用的域名也是teamtnt[.]red。該域名上保存著惡意軟件,主頁(yè)TeamTNT RedTeamPentesting 是對(duì)公開(kāi)惡意軟件沙箱的引用:

圖 7: teamtnt[.]red主頁(yè)

結(jié)論

這些攻擊其實(shí)并不復(fù)雜,有許多部署加密貨幣挖礦蠕蟲(chóng)的黑客組織已經(jīng)成功感染了大量的商業(yè)系統(tǒng)。研究人員給出了如下建議:

  • 了解哪些系統(tǒng)保存了AWS憑證文件,如果不需要那么就刪除。事實(shí)上,許多生產(chǎn)系統(tǒng)中都意外保留了開(kāi)發(fā)階段的憑證。
  • 使用防火墻規(guī)則來(lái)限制對(duì)Docker API的訪問(wèn)。研究人員強(qiáng)烈建議在設(shè)置防火墻時(shí)使用白名單方法。
  • 檢查所有到礦池的連接的網(wǎng)絡(luò)流量,或使用Stratum挖礦工具。
  • 檢查通過(guò)HTTP 發(fā)送AWS 憑證文件的所有連接。

 

責(zé)任編輯:趙寧寧 來(lái)源: 嘶吼網(wǎng)
加密貨幣攻擊蠕蟲(chóng)
相關(guān)推薦

2021-01-18 10:43:19

惡意shellshell腳本網(wǎng)絡(luò)攻擊

2022-09-13 11:15:33

加密貨幣區(qū)塊鏈

2022-01-03 07:21:21

Telegram網(wǎng)絡(luò)罪犯密錢(qián)包

2021-10-22 11:52:26

加密貨幣NPM數(shù)字貨幣

2021-11-10 15:23:48

比特幣加密貨幣貨幣

2021-12-08 11:49:43

KMSPico加密貨幣Red Canary

2024-08-30 11:35:20

2025-03-19 06:00:00

2021-11-22 14:48:53

加密貨幣攻擊雙因素認(rèn)證

2022-08-31 11:24:38

黑客加密貨幣漏洞

2021-12-29 06:23:04

加密貨幣網(wǎng)絡(luò)安全加密劫持

2021-01-04 10:02:54

Facebook憑證攻擊

2020-11-13 16:20:52

Windows登錄憑證命令

2020-10-12 06:32:25

Windows竊取技巧

2021-12-28 00:42:47

加密貨幣挖礦運(yùn)營(yíng)

2021-12-30 10:28:54

僵尸網(wǎng)絡(luò)

2023-08-02 07:03:39

2018-04-03 09:00:00

2024-08-12 15:28:40

2021-08-12 16:57:32

黑客加密貨幣網(wǎng)絡(luò)攻擊
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)