今年初，黑客組織TeamTNT使用XMRig 加密貨幣挖礦機攻擊了暴露的Docker API。隨著時間的發(fā)展，研究人員發(fā)現(xiàn)TeamTNT 在不斷擴展其功能，并從AWS 竊取SSH 憑證。本文分析TeamTNT 最新的攻擊活動中使用攻擊者組織中自己的IRC。該IRC bot是TNTbotinger，具有DDoS 攻擊能力。

為成功實現(xiàn)攻擊，攻擊者首先需要在目標機器上執(zhí)行遠程代碼執(zhí)行。惡意攻擊者額可以通過錯誤配置、濫用未修復的漏洞、利用弱口令、重用密碼、泄露的憑證等安全漏洞來實現(xiàn)遠程代碼執(zhí)行。

[[359438]]

技術分析

初始的傳播是通過運行在受害者機器上的一個惡意shell腳本。該shell腳本會檢查/dev/shm/.alsp 文件的存在，這也是機器是否被入侵的一個標志。如果該文件沒有被找到，腳本就會開始工作。

圖 1. 惡意腳本檢查檢查系統(tǒng)中/dev/shm/.alsp文件的存在

然后，腳本會嘗試安裝curl、wget、bash、make、gcc 和 pnscan包。

圖 2. 惡意腳本嘗試安裝curl、wget、bash、make、gcc 和 pnscan包

由于惡意腳本中使用了apt-get和yum包管理器，研究人員猜測惡意軟件作者對Debian 和Red Hat的Linux版本的支持。

然后腳本回嘗試下載和執(zhí)行惡意二進制文件，其中就包括用于端口掃描的工具pnscan。如果在期望目錄中沒有找到，就會手動下載該工具。

在該攻擊活動中執(zhí)行的二進制文件包括：

• /dev/shm/sbin
• /usr/bin/tshd
• /usr/bin/kube
• /usr/bin/bioset

然后，腳本會從受感染的系統(tǒng)中竊取不同類型的機密信息，其中包括：

• 用于SSH訪問的RSA (Rivest-Shamir-Adleman)密鑰;
• Bash歷史;
• AWS和Docker 配置文件;
• /etc group, /etc/passwd, /etc/shadow, /etc/gshadow。

然后，惡意攻擊者會向攻擊者提供的URL發(fā)出HTTP POST請求，使用一個TGZ (tar.gz) 文件來上傳竊取的信息。研究人員懷疑被竊取的信息會作為之后攻擊活動的知識庫。

圖 3. 竊取的信息通過TGZ文件上傳到惡意URL

腳本也會嘗試根據(jù)ip route command的結果來找到可以訪問的設備。然后，這些信息會傳遞給pnscan 工具來掃描網(wǎng)絡上活躍的SSH daemon。系統(tǒng)上發(fā)現(xiàn)的key是用于在新發(fā)現(xiàn)的設備上進行認證嘗試的。如果這些嘗試成功了，payload就會部署到新的設備上，并開始傳播攻擊。

圖 4. 惡意腳本執(zhí)行SSH daemon掃描并嘗試竊取訪問聯(lián)網(wǎng)設備的key

相關的二進制文件

二進制文件的目標平臺是基于x86-64指令集的CPU。這些二進制文件的第一層都被知名的UPX 打包工具打包了。

(1) /dev/shm/sbin

該二進制文件使用Go 編譯器編譯，其中含有一個使用AES 加密的ELF 文件。研究人員猜測該打包器是LaufzeitCrypter的Go語言版本。

圖 5. GO 編譯器編譯的含有AES加密的ELF 文件的二進制文件

在解密該文件后，研究人員發(fā)現(xiàn)了二進制文件的final payload——XMRig 加密貨幣挖礦機。

(2) /usr/bin/tshd

該二進制文件是一個bind shell，會監(jiān)聽TCP 51982端口。整個通信是用硬編碼的密鑰加密的。

圖 6. bind shell監(jiān)聽TCP 51982端口

(3) /usr/bin/bioset

該二進制文件是一個bind shell，會監(jiān)聽TCP 1982端口。通信是用Blowfish 加密算法和硬編碼的密鑰加密的。經(jīng)過分析，研究人員發(fā)現(xiàn)該實現(xiàn)在部分平臺上不能正常工作。此外，二進制文件還會將其進程名修改為systemd。

圖 7. bind shell監(jiān)聽TCP 1982端口

(4) /usr/bin/kube

該二進制文件也是Go 編譯的，并且含有一個AES 加密的ELF 文件。該文件在執(zhí)行過程中也是動態(tài)加載的，并且使用了相同的打包器——LaufzeitCrypter的Go語言版本。AES密鑰和IV (初始向量)都是硬編碼在二進制文件中的。

該二進制文件的final payload是一個IRC bot，研究人員將其命名為TNTbotinger。該bot可以執(zhí)行DDoS 命令、IRC bot命令和Unix shell 命令。具體命令和功能參見：

https://www.trendmicro.com/en_us/research/20/l/teamtnt-now-deploying-ddos-capable-irc-bot-tntbotinger.html

總結

Linux 系統(tǒng)威脅圖譜也在不斷的發(fā)展。TeamTNT最新的攻擊活動就是一個例子，TeamTNT在攻擊活動中使用了wget/curl 二進制文件來進行payload部署，并使用bind shell冗余來增加攻擊的成功率和穩(wěn)定性。在成功的TNTbotinger 攻擊中，攻擊者可以侵入受感染的系統(tǒng)，在受害者設備上實現(xiàn)遠程代碼執(zhí)行。研究人員建議用戶采取對應的安全措施來保護系統(tǒng)和企業(yè)網(wǎng)絡安全。

本文翻譯自：

https://www.trendmicro.com/en_us/research/20/l/teamtnt-now-deploying-ddos-capable-irc-bot-tntbotinger.html