AT&T Alien Labs研究人员警告说,TeamTNT网络犯罪组织已通过添加开源检测逃避功能来升级其Linux加密货币矿机。
今年年初研究人员发现, TeamTNT 僵尸网络通过窃取Docker凭据的能力得到了改进。
TeamTNT僵尸网络是一种加密采矿恶意软件操作,自2020年4月以来一直处于活动状态,目标是安装Docker。 安全公司趋势科技已经详细说明了TeamTNT组的活动 ,但是在8月,来自Cado Security的专家 发现 该僵尸网络也可以针对配置错误的Kubernetes安装。
“该小组正在使用一种新的逃避检测工具,该工具是从开源存储库复制而来的,”阅读AT&T Alien Labs发布的分析。
僵尸网络背后的威胁参与者使用新工具将恶意进程从诸如ps和lsof之类的进程信息程序中隐藏起来,并逃避了检测。
自2014 年以来,libprocesshider开源工具已在Github上可用,并且能够“使用ld预加载器在Linux下隐藏进程”。“预加载”技术允许系统在加载其他系统库之前加载自定义共享库。如果自定义共享库导出的功能具有与系统库中的库相同的签名,则自定义版本将覆盖该功能。
该工具实现了readdir()函数,该过程由诸如ps之类的进程用来读取/ proc目录以查找正在运行的进程。共享库实现了该功能的一个版本,该版本可隐藏找到的进程与攻击者想要隐藏的进程之间的匹配。
开源工具部署在TeamTNT cryptominer二进制文件或ircbot中隐藏的base64编码脚本中
![TeamTNT组织向其Linux矿工添加了新的逃避检测工具]( "TeamTNT组织向其Linux矿工添加了新的逃避检测工具")
新工具最初作为磁盘上的隐藏tar文件删除,然后通过脚本解压缩,然后写入“ /usr/local/lib/systemhealt.so”,然后添加到“ /etc/ld.so” .preload”。这样,就实现了预加载技术,并且攻击者可以覆盖常用功能
报告总结说:“通过使用libprocesshider,TeamTNT再次基于可用的开源工具来扩展其功能。”
“尽管libprocesshider的新功能是逃避检测和其他基本功能,但它可以作为在主机级别上搜寻恶意活动时要考虑的指标。”
原文来自: Securityaffairs.co
原文链接: https://securityaffairs.co/wordpress/113968/malware/teamtnt-group-linux-miner.html
![TeamTNT组织向其Linux矿工添加了新的逃避检测工具]( "TeamTNT组织向其Linux矿工添加了新的逃避检测工具")
欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!
本文始发于微信公众号(邑安全):TeamTNT组织向其Linux矿工添加了新的逃避检测工具
评论