usdt钱包支付(caibao.it):TeamTNT部署具有DDoS功效的IRC僵尸网络

2020-12-24 25 views 0

扫一扫用手机浏览

今年初,黑客组织TeamTNT使用XMRig 加密钱币挖矿机攻击了露出的Docker API。随着时间的生长,研究人员发现TeamTNT 在不停扩展其功效,并从AWS 窃取SSH 凭证。本文剖析TeamTNT 最新的攻击流动中使用攻击者组织中自己的IRC。该IRC bot是TNTbotinger,具有DDoS 攻击能力。

为乐成实现攻击,攻击者首先需要在目的机械上执行远程代码执行。恶意攻击者额可以通过错误设置、滥用未修复的破绽、行使弱口令、重用密码、泄露的凭证等安全破绽来实现远程代码执行。

手艺剖析

初始的流传是通过运行在受害者机械上的一个恶意shell剧本。该shell剧本会检查/dev/shm/.alsp 文件的存在,这也是机械是否被入侵的一个标志。若是该文件没有被找到,剧本就会最先事情。

usdt钱包支付(caibao.it):TeamTNT部署具有DDoS功效的IRC僵尸网络 技术 第1张

图 1. 恶意剧本检查检查系统中/dev/shm/.alsp文件的存在

然后,剧本会实验安装curl、wget、bash、make、gcc 和 pnscan包。

usdt钱包支付(caibao.it):TeamTNT部署具有DDoS功效的IRC僵尸网络 技术 第2张图 2. 恶意剧本实验安装curl、wget、bash、make、gcc 和 pnscan包

由于恶意剧本中使用了apt-get和yum包管理器,研究人员预测恶意软件作者对Debian 和Red Hat的Linux版本的支持。

然后剧本回实验下载和执行恶意二进制文件,其中就包罗用于端口扫描的工具pnscan。若是在期望目录中没有找到,就会手动下载该工具。

在该攻击流动中执行的二进制文件包罗:

· /dev/shm/sbin

· /usr/bin/tshd

· /usr/bin/kube

· /usr/bin/bioset

然后,剧本会从受熏染的系统中窃取差别类型的秘密信息,其中包罗:

· 用于SSH接见的RSA (Rivest-Shamir-Adleman)密钥;

· Bash历史;

· AWS和Docker 设置文件;

· /etc group, /etc/passwd, /etc/shadow, /etc/gshadow。

然后,恶意攻击者会向攻击者提供的URL发出HTTP POST请求,使用一个TGZ (tar.gz) 文件来上传窃取的信息。研究人员嫌疑被窃取的信息会作为之后攻击流动的知识库。

usdt钱包支付(caibao.it):TeamTNT部署具有DDoS功效的IRC僵尸网络 技术 第3张图 3. 窃取的信息通过TGZ文件上传到恶意URL

剧本也会实验凭据ip route command的效果来找到可以接见的装备。然后,这些信息会传递给pnscan 工具来扫描网络上活跃的SSH daemon。系统上发现的key是用于在新发现的装备上举行认证实验的。若是这些实验乐成了,payload就会部署到新的装备上,并最先流传攻击。

,

欧博代理_ALLbet6.com

欢迎进入欧博代理(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

usdt钱包支付(caibao.it):TeamTNT部署具有DDoS功效的IRC僵尸网络 技术 第4张

图 4. 恶意剧本执行SSH daemon扫描并实验窃取接见联网装备的key

相关的二进制文件

二进制文件的目的平台是基于x86-64指令集的CPU。这些二进制文件的第一层都被着名的UPX 打包工具打包了。

/dev/shm/sbin

该二进制文件使用Go 编译器编译,其中含有一个使用AES 加密的ELF 文件。研究人员预测该打包器是LaufzeitCrypter的Go语言版本。

usdt钱包支付(caibao.it):TeamTNT部署具有DDoS功效的IRC僵尸网络 技术 第5张

图 5. GO 编译器编译的含有AES加密的ELF 文件的二进制文件

在解密该文件后,研究人员发现了二进制文件的final payload——XMRig 加密钱币挖矿机。

/usr/bin/tshd

该二进制文件是一个bind shell,会监听TCP 51982端口。整个通讯是用硬编码的密钥加密的。

usdt钱包支付(caibao.it):TeamTNT部署具有DDoS功效的IRC僵尸网络 技术 第6张

图 6. bind shell监听TCP 51982端口

/usr/bin/bioset

该二进制文件是一个bind shell,会监听TCP 1982端口。通讯是用Blowfish 加密算法和硬编码的密钥加密的。经由剖析,研究人员发现该实现在部门平台上不能正常事情。此外,二进制文件还会将其历程名修改为systemd。

usdt钱包支付(caibao.it):TeamTNT部署具有DDoS功效的IRC僵尸网络 技术 第7张

图 7. bind shell监听TCP 1982端口

/usr/bin/kube

该二进制文件也是Go 编译的,而且含有一个AES 加密的ELF 文件。该文件在执行过程中也是动态加载的,而且使用了相同的打包器——LaufzeitCrypter的Go语言版本。AES密钥和IV (初始向量)都是硬编码在二进制文件中的。

该二进制文件的final payload是一个IRC bot,研究人员将其命名为TNTbotinger。该bot可以执行DDoS 下令、IRC bot下令和Unix shell 下令。详细下令和功效参见:

https://www.trendmicro.com/en_us/research/20/l/teamtnt-now-deploying-ddos-capable-irc-bot-tntbotinger.html

总结

Linux 系统威胁图谱也在不停的生长。TeamTNT最新的攻击流动就是一个例子,TeamTNT在攻击流动中使用了wget/curl 二进制文件来举行payload部署,并使用bind shell冗余来增添攻击的乐成率和稳定性。在乐成的TNTbotinger 攻击中,攻击者可以侵入受熏染的系统,在受害者装备上实现远程代码执行。研究人员建议用户接纳对应的安全措施来珍爱系统和企业网络安全。


本文翻译自:https://www.trendmicro.com/en_us/research/20/l/teamtnt-now-deploying-ddos-capable-irc-bot-tntbotinger.html
标签:

本文转载自互联网,如有侵权,联系QQ:616107390删除。

本文链接地址:http://www.wzpyxbls.com/post/2407.html

相关文章

usdt不用实名买卖(www.caibao.it):miniled会取代oled吗?ai人工智能真的有可能扑灭人类吗?谁能通俗的解释一下区块链及详细应用?关于无人机DXOMARK 最佳智能手机摄像头宣布:华为 Mate 40 Pro_ALLBET官网娱乐平台开户_ALLbet6.com

以是我说这位同砚,若是真正想玩无人机摄影,就不要去购1000元左右的,现在大疆无人机出了一机mini ,套餐是36...

科技 2021-01-15 阅读8 评论0

发表评论