執(zhí)行摘要

TeamTNT是一個(gè)專注對(duì)云進(jìn)行加密劫持操作的攻擊組織，以使用XMRig加密工具挖礦而廣為人知。在近期TeamTNT組織的最新動(dòng)態(tài)中，他們?nèi)砸訟WS憑證和Kubernetes集群為目標(biāo)，并且還創(chuàng)建了名為Black-T的新惡意軟件，該軟件集成了開源云原生工具，能協(xié)助他們的加密劫持。除此之外，TeamTNT使用AWS憑據(jù)來(lái)枚舉AWS云環(huán)境，并試圖識(shí)別與之綁定的所有身份和訪問管理(IAM)權(quán)限、彈性計(jì)算云(EC2)實(shí)例、簡(jiǎn)單存儲(chǔ)服務(wù)(S3)存儲(chǔ)桶、CloudTrail配置和CloudFormation操作。該組織目前能收集包括AWS和谷歌云在內(nèi)的16個(gè)云平臺(tái)或應(yīng)用程序的憑據(jù)。

TeamTNT早在2020年8月就開始收集云實(shí)例上的AWS憑據(jù)，而對(duì)谷歌云憑據(jù)的竊取則表示TeamTNT的目標(biāo)在進(jìn)一步拓展，目前尚無(wú)跡象表明微軟Azure、阿里巴巴云、甲骨文云或IBM云的這些云服務(wù)提供商成為攻擊目標(biāo)，但其IAM證書仍有可能通過(guò)類似的方法被鎖定。

此外，TeamTNT還在其活動(dòng)中添加了對(duì)開源Kubernetes和云滲透工具集Peirates的使用。有了這些技術(shù)，TeamTNT越來(lái)越有能力在目標(biāo)云環(huán)境中收集足夠的信息，并用于執(zhí)行后利用操作。這會(huì)導(dǎo)致更多的橫向移動(dòng)或提權(quán)攻擊案例，最終可能讓TeamTNT獲得對(duì)整個(gè)云環(huán)境的管理訪問權(quán)限。

截止本文發(fā)表時(shí)，TeamTNT收集了6.52012192枚門羅幣(價(jià)值1,788美元)。采礦作業(yè)中的八個(gè)礦機(jī)以77.7KH/s的平均速度運(yùn)行，此門羅幣錢包地址存在了114天。

枚舉技術(shù)

Unit42研究人員確定了TeamTNT的惡意軟件存儲(chǔ)庫(kù)之一為hxxp://45.9.148[.]35/chimaera/sh/，其中包含多個(gè)bash腳本，用于執(zhí)行加密劫持、漏洞利用、橫向移動(dòng)和憑據(jù)抓取等操作，圖1所示這個(gè)惡意軟件存儲(chǔ)庫(kù)稱為Chimaera存儲(chǔ)庫(kù)，它能體現(xiàn)TeamTNT在云環(huán)境中不斷擴(kuò)大的業(yè)務(wù)范圍，當(dāng)前和未來(lái)的面向目標(biāo)。

圖1.TeamTNT的Chimaera存儲(chǔ)庫(kù)

在Chimaera存儲(chǔ)庫(kù)中，有三個(gè)腳本體現(xiàn)了TeamTNT的定位和意圖。第一個(gè)腳本是grab_aws-data.sh，(SHA256：a1e9cd08073e4af3256b31e4b42f3aa69be40862b3988f964e96228f91236593)，它主要使用獲取的AWSIAM憑證枚舉AWS云環(huán)境;第二個(gè)腳本bd_aws.sh(SHA256：de3747a880c4b69ecaa92810f4aac20fe5f6d414d9ced29f1f7ebb82cd0f3945)從一個(gè)AWS實(shí)例提取所有SSH密鑰，并標(biāo)識(shí)當(dāng)前運(yùn)行在該實(shí)例上的所有可執(zhí)行程序;最后的腳本search.sh(SHA256：ed40bce040778e2227c869dac59f54c320944e19f77543954f40019e2f2b0c35)搜索存儲(chǔ)在特定主機(jī)上的應(yīng)用程序的配置文件。上述三個(gè)腳本都是新發(fā)現(xiàn)的，顯露了TeamTNT以AWS、谷歌云環(huán)境中的應(yīng)用程序?yàn)槟繕?biāo)的意圖。

枚舉AWS環(huán)境

bash腳本grab_aws-data.sh包含70個(gè)獨(dú)特的AWS命令行界面(AWSCLI)命令，用于枚舉7類AWS服務(wù)，包括IAM配置、EC2實(shí)例、S3存儲(chǔ)桶、支持案例和直接連接，以及CloudTrail和CloudFormation。如圖2所示，通過(guò)AWS枚舉過(guò)程獲得的所有值都存儲(chǔ)在受感染系統(tǒng)的本地目錄/var/tmp/.../...TnT.../aws-account-data/中。

圖2.TeamTNT的grab_aws.sh腳本

TeamTNT腳本包含以下七種AWS服務(wù)的命令：

•  44個(gè)EC2實(shí)例命令
• 14個(gè)IAM命令
•  4直接連接命令
•  4CloudFormation命令
•  2CloudTrail命令
• 1S3命令
•  1支持命令

憑據(jù)抓取

TeamTNT還擴(kuò)展了他們的憑證抓取功能，比如識(shí)別并收集16個(gè)應(yīng)用程序憑據(jù)，這些應(yīng)用程序可能存在于受感染的云端點(diǎn)上，也可能出現(xiàn)在云實(shí)例上的任何已知用戶帳戶上，包括根帳戶，如下所示：

• SSHkeys.
•  AWSkeys.

s3clients.

s3backer

s3proxy

s3ql

passwd-s3fs

s3cfg

• Docker.
•  GitHub.
•  Shodan.
• Ngrok.
•  Pidgin.
•  Filezilla.
•  Hexchat.
• 谷歌云.
•  ProjectJupyter.
•  ServerMessageBlock(SMB)clients.

對(duì)谷歌云憑證的竊取值得注意，因?yàn)檫@是首個(gè)竊取除AWS之外的IAM產(chǎn)品憑證的攻擊組織(參見圖3)，這類手法未來(lái)可能會(huì)被用于其他同類產(chǎn)品中，微軟Azure、阿里云、甲骨文云或IBM云環(huán)境可能會(huì)成為攻擊目標(biāo)。研究人員認(rèn)為，TeamTNT開發(fā)類似于上述grab_aws-data.sh的功能只是時(shí)間問題。

圖3.TeamTNT的search.sh腳本搜索谷歌云憑據(jù)

橫向移動(dòng)操作

下面的程序是專門處理橫向移動(dòng)的。

Weaveworks

在search.sh腳本中，有幾個(gè)應(yīng)用程序顯示了TeamTNT操作不斷發(fā)展的攻擊模式。

在Chimaera存儲(chǔ)庫(kù)中，Unit42研究人員確定了幾個(gè)腳本，這些腳本可以挑選出特定的應(yīng)用程序，其中之一是Weaveworks(參見圖4)。Weave是為Docker和Kubernetes等容器基礎(chǔ)設(shè)施開發(fā)的微服務(wù)網(wǎng)絡(luò)網(wǎng)格應(yīng)用程序，允許微服務(wù)在一個(gè)或多個(gè)主機(jī)上運(yùn)行，同時(shí)保持網(wǎng)絡(luò)連接。通過(guò)以Weave安裝為目標(biāo)，TeamTNT有可能使用Weave網(wǎng)絡(luò)網(wǎng)格應(yīng)用程序在容器內(nèi)實(shí)現(xiàn)橫向移動(dòng)。從腳本setup_scope.sh中的base64編碼代碼中可以看出(SHA256：584c6efed8bbce5f2c52a52099aafb723268df799f4d464bf5582a9ee83165c1)，TeamTNT的目標(biāo)是包含WeaveDocker容器用戶帳戶信息。

圖4.TeamTNT腳本setup_scope.shbase64解碼代碼

圖5.為門羅幣挖掘而創(chuàng)建的本地Docker鏡像

ProjectJupyter

ProjectJupyter也列為TeamTNT操作的目標(biāo)，首先是在search.sh腳本中作為憑證抓取的目標(biāo)，其次作為beta橫向移動(dòng)腳本spread_jupyter_tmp.sh(SHA256：0d7912e62bc663c9ba6bff21ae809e458b227e3ceec0abac105d20d5dc533a22)。

Unit42研究人員還在某TeamTNT人員的Twitter帳戶中發(fā)現(xiàn)了對(duì)Jupyter的引用。如圖6所示，內(nèi)容提到了某個(gè)遭入侵的Jupyter端點(diǎn)。

圖6.TeamTNT人員展示某個(gè)遭入侵的Jupyter端點(diǎn)

Peirates

Peirates工具被TeamTNT用于對(duì)AWS和Kubernetes的入侵操作，有多種功能，如圖7所示。該工具可以讓攻擊者調(diào)查和識(shí)別Kubernetes和云環(huán)境中的錯(cuò)誤配置或潛在漏洞，并可以讓TeamTNT對(duì)云基礎(chǔ)設(shè)施執(zhí)行入侵行動(dòng)。

圖7.Peirates滲透測(cè)試選項(xiàng)

門羅幣挖礦業(yè)務(wù)

TeamTNT在運(yùn)營(yíng)上仍然專注于加密劫持。前幾節(jié)介紹了TeamTNT用于擴(kuò)展其加密劫持基礎(chǔ)設(shè)施的新技術(shù)的發(fā)現(xiàn)，以下部分將重點(diǎn)介紹用于執(zhí)行其加密劫持操作的過(guò)程相關(guān)的發(fā)現(xiàn)。

本地Docker鏡像

值得注意是腳本文件docker.container.local.spread.txt，其中列出了本地Docker映像的名稱，如圖8所示Docker映像是本地Docker映像，這意味著它不是從托管或外部下載的Docker存儲(chǔ)庫(kù)。研究人員在DockerHub中搜索了這個(gè)Docker鏡像的存在，但沒有找到。

圖8.docker.container.local.spread.txt的內(nèi)容

創(chuàng)建Docker容器是為挖礦操作提供主機(jī)。如圖5所示，創(chuàng)了一個(gè)名為mangletmpuser/fcminer的Docker鏡像，啟動(dòng)該鏡像并導(dǎo)到Chimaera存儲(chǔ)庫(kù)文件setup_xmr.sh，(SHA256：5ddd226d400cc0b49d0175ba06a7e55cb2f5e9586111464bcf7b3bd709417904)，該文件將使用Docker容器中的開源XMRig應(yīng)用程序啟動(dòng)Docker加密挖掘過(guò)程。

新的門羅幣錢包

研究人員發(fā)現(xiàn)了一個(gè)新的門羅幣錢包地址，該地址與門羅幣公共礦池pool.supportxmr[.]com:3333相關(guān)聯(lián)，如圖9所示。

圖9.SupportXMR公共礦池配置

在圖10中，此礦池地址顯示TeamTNT挖礦操作已收集6.52012192門羅幣，涉及8臺(tái)礦機(jī)，此已持續(xù)了114天。對(duì)于TeamTNT這樣的組織來(lái)說(shuō)，這個(gè)規(guī)模只能算是小型挖礦了。

圖10.SupportXMR礦池顯示

結(jié)論

我們建議在云環(huán)境中運(yùn)行的組織，監(jiān)控并阻止與TeamTNT的Chimaera存儲(chǔ)庫(kù)以及歷史C2端點(diǎn)相關(guān)的所有網(wǎng)絡(luò)連接。使用云原生安全平臺(tái)將顯著減少云基礎(chǔ)設(shè)施的攻擊面，并允許組織監(jiān)控風(fēng)險(xiǎn)。

Unit42研究人員強(qiáng)烈推薦以下提示，以幫助保護(hù)云基礎(chǔ)架構(gòu)：

對(duì)所有云IAM角色和權(quán)限執(zhí)行最小權(quán)限IAM訪問策略。在適用的情況下，對(duì)服務(wù)帳戶使用短期或一次性IAM憑證。

監(jiān)控并阻止已知惡意端點(diǎn)的網(wǎng)絡(luò)流量。

只在生產(chǎn)環(huán)境中部署經(jīng)過(guò)審查的容器映像。

實(shí)現(xiàn)并使用基礎(chǔ)設(shè)施作為代碼(IaC)掃描平臺(tái)，以防止不安全的云實(shí)例部署到生產(chǎn)環(huán)境中。

使用支持治理、風(fēng)險(xiǎn)管理和遵從性(GRC)的云基礎(chǔ)設(shè)施配置掃描工具來(lái)識(shí)別潛在的危險(xiǎn)錯(cuò)誤配置。

使用云端點(diǎn)代理來(lái)監(jiān)控和阻止已知惡意應(yīng)用程序在云基礎(chǔ)設(shè)施中的運(yùn)行。

本文翻譯自：https://unit42.paloaltonetworks.com/teamtnt-operations-cloud-environments/如若轉(zhuǎn)載，請(qǐng)注明原文地址。