TeamTNT部署具有DDoS功能的IRC殭屍網絡

2020-12-23 51cto

今年初,黑客組織TeamTNT使用XMRig 加密貨幣挖礦機攻擊了暴露的Docker API。隨著時間的發展,研究人員發現TeamTNT 在不斷擴展其功能,並從AWS 竊取SSH 憑證。本文分析TeamTNT 最新的攻擊活動中使用攻擊者組織中自己的IRC。該IRC bot是TNTbotinger,具有DDoS 攻擊能力。

為成功實現攻擊,攻擊者首先需要在目標機器上執行遠程代碼執行。惡意攻擊者額可以通過錯誤配置、濫用未修復的漏洞、利用弱口令、重用密碼、洩露的憑證等安全漏洞來實現遠程代碼執行。

技術分析

初始的傳播是通過運行在受害者機器上的一個惡意shell腳本。該shell腳本會檢查/dev/shm/.alsp 文件的存在,這也是機器是否被入侵的一個標誌。如果該文件沒有被找到,腳本就會開始工作。

圖 1. 惡意腳本檢查檢查系統中/dev/shm/.alsp文件的存在

然後,腳本會嘗試安裝curl、wget、bash、make、gcc 和 pnscan包。

圖 2. 惡意腳本嘗試安裝curl、wget、bash、make、gcc 和 pnscan包

由於惡意腳本中使用了apt-get和yum包管理器,研究人員猜測惡意軟體作者對Debian 和Red Hat的Linux版本的支持。

然後腳本回嘗試下載和執行惡意二進位文件,其中就包括用於埠掃描的工具pnscan。如果在期望目錄中沒有找到,就會手動下載該工具。

在該攻擊活動中執行的二進位文件包括:

  • /dev/shm/sbin
  • /usr/bin/tshd
  • /usr/bin/kube
  • /usr/bin/bioset

然後,腳本會從受感染的系統中竊取不同類型的機密信息,其中包括:

  • 用於SSH訪問的RSA (Rivest-Shamir-Adleman)密鑰;
  • Bash歷史;
  • AWS和Docker 配置文件;
  • /etc group, /etc/passwd, /etc/shadow, /etc/gshadow。

然後,惡意攻擊者會向攻擊者提供的URL發出HTTP POST請求,使用一個TGZ (tar.gz) 文件來上傳竊取的信息。研究人員懷疑被竊取的信息會作為之後攻擊活動的知識庫。

圖 3. 竊取的信息通過TGZ文件上傳到惡意URL

腳本也會嘗試根據ip route command的結果來找到可以訪問的設備。然後,這些信息會傳遞給pnscan 工具來掃描網絡上活躍的SSH daemon。系統上發現的key是用於在新發現的設備上進行認證嘗試的。如果這些嘗試成功了,payload就會部署到新的設備上,並開始傳播攻擊。

圖 4. 惡意腳本執行SSH daemon掃描並嘗試竊取訪問聯網設備的key

相關的二進位文件

二進位文件的目標平臺是基於x86-64指令集的CPU。這些二進位文件的第一層都被知名的UPX 打包工具打包了。

(1) /dev/shm/sbin

該二進位文件使用Go 編譯器編譯,其中含有一個使用AES 加密的ELF 文件。研究人員猜測該打包器是LaufzeitCrypter的Go語言版本。

圖 5. GO 編譯器編譯的含有AES加密的ELF 文件的二進位文件

在解密該文件後,研究人員發現了二進位文件的final payload——XMRig 加密貨幣挖礦機。

(2) /usr/bin/tshd

該二進位文件是一個bind shell,會監聽TCP 51982埠。整個通信是用硬編碼的密鑰加密的。

圖 6. bind shell監聽TCP 51982埠

(3) /usr/bin/bioset

該二進位文件是一個bind shell,會監聽TCP 1982埠。通信是用Blowfish 加密算法和硬編碼的密鑰加密的。經過分析,研究人員發現該實現在部分平臺上不能正常工作。此外,二進位文件還會將其進程名修改為systemd。

圖 7. bind shell監聽TCP 1982埠

(4) /usr/bin/kube

該二進位文件也是Go 編譯的,並且含有一個AES 加密的ELF 文件。該文件在執行過程中也是動態加載的,並且使用了相同的打包器——LaufzeitCrypter的Go語言版本。AES密鑰和IV (初始向量)都是硬編碼在二進位文件中的。

該二進位文件的final payload是一個IRC bot,研究人員將其命名為TNTbotinger。該bot可以執行DDoS 命令、IRC bot命令和Unix shell 命令。具體命令和功能參見:

https://www.trendmicro.com/en_us/research/20/l/teamtnt-now-deploying-ddos-capable-irc-bot-tntbotinger.html

總結

Linux 系統威脅圖譜也在不斷的發展。TeamTNT最新的攻擊活動就是一個例子,TeamTNT在攻擊活動中使用了wget/curl 二進位文件來進行payload部署,並使用bind shell冗餘來增加攻擊的成功率和穩定性。在成功的TNTbotinger 攻擊中,攻擊者可以侵入受感染的系統,在受害者設備上實現遠程代碼執行。研究人員建議用戶採取對應的安全措施來保護系統和企業網絡安全。

本文翻譯自:

https://www.trendmicro.com/en_us/research/20/l/teamtnt-now-deploying-ddos-capable-irc-bot-tntbotinger.html

【責任編輯:

趙寧寧

TEL:(010)68476606】

點讚 0

相關焦點

  • ddos攻擊是什麼 - 西部數碼資訊門戶
    ddos攻擊是什麼?ddos攻擊是分布式拒絕服務(Distributed Denial of Service,簡稱DDoS),將多臺計算機聯合起來作為攻擊平臺,通過遠程連接利用惡意程序,對一個或多個目標發起DDoS攻擊,消耗目標伺服器性能或網絡帶寬,從而造成伺服器無法正常地提供服務。伺服器遭受ddos攻擊的話,會帶來很多危害。
  • 怎麼預防ddos攻擊
    怎麼預防ddos攻擊?ddos攻擊對於伺服器和網站業務的危害極大,我們在日常就要做好業務監控和應急響應,防患於未然。設置ddos防護監控當業務遭受DDoS攻擊時,基礎DDoS默認會通過簡訊和郵件方式發出告警信息,針對大流量攻擊基礎DDoS防護也支持電話報警,建議在接受到告警的第一時間進行應急處理。
  • 為什麼有些正規網站也會遭受DDoS攻擊
    三個季度DDoS攻擊數量與質量對比據SINE安全性從現階段己知的ddos攻擊惡性事件中得知,美國的大學平臺網站遭受進攻,總共遭到來到20數次的ddos攻擊,網絡伺服器偏癱至少幾小時一樣在2019年的3月海外的臉譜網站也遭受ddos攻擊,客戶沒法登錄,一些地域比較比較嚴重。中國遭受DDOSddos攻擊的狀況也許多,一些在線教育網站,高校招生網站,百度搜索推廣的平臺網站,棋牌類遊戲,BC服務平臺遭到到ddos攻擊的狀況也愈來愈多。
  • 哪些行業需要預防DDoS攻擊?DDoS攻擊如何預防?
    一、什麼是ddos攻擊什麼是ddos攻擊呢?DDOS攻擊就是黑客通過控制幾千臺甚至上萬臺肉雞每秒像你的網站ip發送幾G甚至幾T的流量數據包,受到攻擊的伺服器會因為流量猛漲,CPU、內存佔用過高,網絡堵塞而導致伺服器宕機。
  • 殭屍網絡橫行,「豌豆射手」難覓
    北京理工大學計算機網絡及對抗技術研究所所長閆懷志對科技日報記者說,殭屍程序是指惡意控制硬體設備功能的一種程序代碼,它能夠自動執行預定義的命令。大量主機感染殭屍程序後,在殭屍程序控制者和眾多被感染主機之間會形成一對多的被控制網絡,這就是殭屍網絡。 「危害性大的殭屍網絡具有較強的傳染性,同時被嚴格地控制著。」
  • DDOS攻擊的防禦方法有哪些?
    利用網絡協議和作業系統的一些缺陷,採用欺騙和偽裝的策略來進行網絡攻擊,使網站伺服器充斥大量要求回復的信息,消耗網絡帶寬或系統資源,導致網絡或系統不勝負荷以至於癱瘓而停止提供正常的網絡服務。雖然還沒有很好的對付DDOS攻擊行為的方法,但仍然可以採取措施使攻擊的影響降至最小。那麼我們可以怎麼操作呢?
  • 安全警告:Oracle WebLogic嚴重漏洞被多個殭屍網絡利用
    多個殭屍網絡的目標是成千上萬個仍未打補丁的Oracle WebLogic伺服器,以部署加密礦機並從受感染的系統中竊取敏感信息。儘管已修復了該漏洞,但概念驗證漏洞代碼的發布使易受攻擊的Oracle WebLogic實例成為威脅者的誘人目標,他們會通過利用該漏洞組建殭屍網絡竊取關鍵數據並部署第二階段惡意軟體有效載荷。
  • 暴雪再遭DDoS攻擊,戰網平臺頻繁崩潰斷線
    此次暴雪戰網平臺再遭DDoS攻擊,旗下多款遊戲均受到影響,包括《守望先鋒》,《魔獸世界》以及《爐石傳說》等,從暴雪的聲明來看,此次網絡攻擊影響了全球範圍的暴雪玩家,短時間內恐怕也很難完全解決。
  • 需要注意的七層DDoS攻擊,你都了解嗎?
    在不久之前,大規模網絡層DDoS攻擊是不法分子的首選,它們使用格式錯誤的TCP和UDP數據包來大量攻擊目標。但是隨著時間的推移,DDoS防護已經適應了這種大規模攻擊,大多數運營商和公共雲供應商都能夠提供針對網絡層攻擊的基本保護。然而, 不法分子並沒有閒著。他們正在不斷使用新方法來挑戰DDoS防護。隨著越來越多的網站創建,DDoS攻擊正從網絡層轉移到應用層。
  • ...年 11 月頭號惡意軟體:臭名昭著的 Phorpiex 殭屍網絡再度成為...
    Check Point Research 報告指出,使用 Phorpiex 殭屍網絡在惡意垃圾郵件攻擊活動中傳播 Avaddon 勒索軟體的攻擊利用率激增  2020 年 12 月 全球領先網絡安全解決方案提供商 Check Point® 軟體技術有限公司 (納斯達克股票代碼:CHKP)的威脅情報部門 Check Point
  • 維基百科遭DDoS攻擊,數小時後恢復;黑客利用DoS漏洞導致美國電網防火牆反覆重啟
    惡意廣告利用4個EK向Windows用戶分發勒索軟體維基百科遭受惡意網絡攻擊導致多個國家的網站宕機下線,本次攻擊發生在9月8日凌晨2點左右,主要受到影響的是歐洲和中東用戶。維基百科沒有將攻擊歸因於特定的攻擊者,並表示不能排除它可能是測試可供出租的DDoS殭屍網絡攻擊力的示範性攻擊。根據來自不同國家的用戶的說法,數小時後已基本恢復了正常服務,但維基百科尚未正式確認完全消除該問題,事件似乎仍在調查中。
  • 2020 年 11 月頭號惡意軟體:臭名昭著的 Phorpiex 殭屍網絡再度...
    Check Point Research 報告指出,使用 Phorpiex 殭屍網絡在惡意垃圾郵件攻擊活動中傳播 Avaddon 勒索軟體的攻擊利用率激增2020 年 12 月 全球領先網絡安全解決方案提供商
  • Radware:DDoS防護措施在公共雲中的部署和擴展
    雲安全為何最為重要  由於網絡架構變得越來越複雜,保護新的攻擊漏洞點的壓力也越來越大。雲環境帶來了相當大的需要防禦網絡攻擊的受攻擊面。  更為複雜的是,疫情的大流行迫使企業快速將數字資產向雲中遷移。這種情況下,企業受攻擊面就會無形中增加,黑客會對數據和應用發起DDoS攻擊,試圖破壞這些數據和應用。
  • 為什麼接入高防服務後伺服器還是被DDOS打掛了?
    很多網際網路企業遇到伺服器被攻擊時都會選擇接入高防服務進行抵抗,但有時也遇到過接入防禦後伺服器還是被ddos攻擊打崩了,今天我們來看看這個問題,究竟是什麼原因造成的。第一:超出防護值由於攻擊是比防護的成本低出很多,所以當你購買100G的ddos防禦,攻擊方如果在這個防禦值內沒有打死,那他就會加大攻擊力度,最終將會超過這個防禦值,從而產生伺服器宕機。小蟻網絡始終都會把客戶業務放在第一位,如果超出攻擊範圍,我們能做的就是先給客戶防住,再從長計議。
  • 殭屍網絡:網際網路中的「隱秘帝國」
    一觸角伸向全網的殭屍網絡和大部分數字公害一樣,殭屍網絡對侵蝕的對象一視同仁——無論參與者貧窮還是富裕,面臨的是順境還是逆境,只要是有活人展開集體活動並且有利可圖的SNS平臺,統統別想逃過殭屍網絡的觸手。
  • 掌控5G網絡:VIAVI通過OneAdvisor-800強化功能,簡化5G和4G的部署和...
    多合一工具可實現5G NR和既有4G-LTE基站的高效安裝和維護中國上海,2020年11月25日 –VIAVI Solutions 公司(納斯達克股票代碼:VIAV) 近日宣布,為VIAVI OneAdvisor-800多合一工具新增強化功能
  • 白帽子黑客教你Kali Linux:使用進行DDOS攻防與WEB壓力測試
    命令:chmod +x ddos-attack.py3.6 執行DDOS攻擊腳本,如下圖所示。命令:python ddos-attack.py3.7 進入DDOS工具----DDOS Attack,如下圖所示。3.8 設置攻擊參數(需要攻擊的網站域名、埠號),如下圖所示。
  • 新增攻擊模塊二次染指linux伺服器,「驅動人生」殭屍網絡全網撒毒...
    經360安全大腦分析發現,SMBv3漏洞(又稱SMBGhost漏洞,CVE-2020-0796)所具備的「零接觸遠程」攻陷受害目標機器的特性,對「驅動人生」殭屍網絡擴散簡直如虎添翼,如不加以防範,極可能誘發新一輪的殭屍網絡肆虐。
  • 北京移動商用部署智能管控系統 打造精品SPN網絡
    近日,中興通訊(000063)助力北京移動在 SPN現網,完成ZENIC ONE(UME)智能管控系統控制面商用部署,對覆蓋北京8個區縣的數千端5G承載設備進行統一管理,在SPN網絡上實現業務自動激活以及多點故障下的動態重路由功能。
  • PVZ:本以為95版扶梯殭屍很難纏,怎料玉米投手帶有特異功能!
    挑戰95版5-3:扶梯出現,憂心忡忡根據系統提示,這一局會出現普通殭屍、路障殭屍和扶梯殭屍,雖然只有三種殭屍,但是扶梯殭屍的出現讓遊戲變得有些棘手,因為它會把梯子搭在堅果上形成通道,如此一來堅果就失去了作用。