信息化觀察網(wǎng)

有研究人員最近發(fā)現(xiàn)了一種竊取AWS憑證的加密木馬的傳播，這是研究人員發(fā)現(xiàn)的第一個包含AWS特定功能的木馬。該木馬還竊取本地憑證，并掃描互聯(lián)網(wǎng)上錯誤配置的Docker平臺。我們已經(jīng)看到了自稱“TeamTNT”的攻擊者，他們攻擊了許多Docker和Kubernetes系統(tǒng)。

這些攻擊表明了一種更廣泛的趨勢，隨著組織將其計算資源遷移到云和Docker環(huán)境中，我們看到攻擊者也將攻擊的目標延伸到了那里。

AWS憑證盜竊

AWS CLI將憑證存儲在?/ .aws / credentials的未加密文件中，并將其他配置詳細信息存儲在?/ .aws / config的文件中。

竊取AWS憑證的代碼相對簡單，在執(zhí)行時，它將默認的AWS .credentials和.config文件上傳到攻擊者服務器sayhi.bplace[.]net:

Curl用于將AWS憑證發(fā)送到TeamTNT的服務器，后者以消息“THX”響應。

攻擊者將CanaryTokens.org創(chuàng)建的憑證發(fā)送給TeamTNT，但是還沒有看到它們被使用。這表明TeamTNT要么手動評估和使用憑證，要么他們創(chuàng)建的任何自動化當前都沒有發(fā)揮作用。

大多數(shù)密碼挖掘木馬是以前的木馬的變體，也就是開發(fā)者復制和粘貼競爭對手的代碼。TeamTNT的木馬病毒包含從另一種名為Kinsing的木馬病毒復制的代碼，該木馬是用來阻止阿里巴巴云安全工具的。

重新使用代碼來阻止阿里巴巴云安全工具

反過來，我們很可能會看到其他木馬也開始復制竊取AWS憑證文件的能力。

Docker

該木馬還包含使用masscan掃描開放的Docker API的代碼，然后啟動docker映像并自行安裝。

掃描開放的Docker API，然后將木馬安裝到一個新的Docker中。

漏洞利用

木馬部署XMRig挖掘工具來挖掘門羅幣并為攻擊者生成現(xiàn)金，攻擊者使用的其中一個礦池提供了有關蠕蟲已入侵的系統(tǒng)的詳細信息。其中列出了119個被攻擊的系統(tǒng)，其中一些可以被識別為Kubernetes Clusters和Jenkins Build Server。

到目前為止，研究人員已經(jīng)看到與這些最新攻擊相關的兩個不同的Monero錢包，它們?yōu)門eamTNT贏得了大約3 XMR。這僅相當于約300美元，但這只是其中一個示例。

該木馬還部署了一些公開的惡意軟件和附帶有攻擊性的安全工具:

punk.py：SSH利用工具

punk.py是一種利用后的工具，旨在幫助網(wǎng)絡從受感染的unix盒中轉移。 它從UNIX系統(tǒng)中收集用戶名，ssh密鑰和已知主機，然后嘗試通過ssh連接到找到的所有組合。 編寫punk.py以便同時在標準python2和python3解釋器上工作。

日志清理工具

Diamorphine Rootkit

Diamorphine是Linux Kernels 2.6.x / 3.x / 4.x的LKM rootkit，其特征是：加載后，模塊開始不可見。通過發(fā)送信號31隱藏/取消隱藏任何進程；發(fā)送信號63（到任何PID）使模塊變?yōu)椋ú豢梢姡话l(fā)送信號64（到任何pid）使給定的用戶成為root；以MAGIC_PREFIX開頭的文件或目錄不可見；

Tsunami IRC Backdoor，Tsunami是非常著名的LinuxELF木馬，一個簡單的IRCbot，用于發(fā)動DDoS攻擊。受影響的LinuxISO安裝了完整的操作系統(tǒng)(含有網(wǎng)絡中繼聊天(IRC)后門Tsunami)，所以黑客便可以通過IRC服務器訪問了系統(tǒng)。

TeamTNT

該木馬包含了大量的引用“TeamTNT”和域teamtnt[.]red。這個域名托管著惡意軟件，而主頁的標題“TeamTNT RedTeamPentesting”是對公共惡意軟件沙箱的奇怪引用:

總結

雖然這些攻擊不是特別復雜，但部署加密木馬的眾多組織已經(jīng)成功地感染了大量的商業(yè)系統(tǒng)。

以下是一些緩解建議：

1.識別哪些系統(tǒng)存儲AWS憑證文件，如果不需要就刪除它們，通常會發(fā)現(xiàn)開發(fā)憑證被意外遺留在運營系統(tǒng)中。

2.使用防火墻規(guī)則來限制對Docker api的訪問，我們強烈建議為你的防火墻規(guī)則集使用白名單方法。

3.查看網(wǎng)絡流量以查找與礦池的任何連接，或使用Stratum 礦池協(xié)議。當前的主流挖礦協(xié)議是stratum，以前還有GBT(getblocktemplate)、getwork、getwork with rollntime extension等幾種協(xié)議，礦機與礦池軟件之間的通訊協(xié)議是stratum，而礦池軟件與錢包之間的通訊是bitcoinrpc接口，stratum是JSON為數(shù)據(jù)格式。

檢查通過HTTP發(fā)送AWS憑證文件的所有連接。

Yara 規(guī)則