TeamTNT组织向其Linux矿工添加了新的逃避检测工具

  • A+
所属分类:安全新闻

更多全球网络安全资讯尽在邑安全

AT&T Alien Labs研究人员警告说,TeamTNT网络犯罪组织已通过添加开源检测逃避功能来升级其Linux加密货币矿机。
今年年初研究人员发现,  TeamTNT 僵尸网络通过窃取Docker凭据的能力得到了改进。
TeamTNT僵尸网络是一种加密采矿恶意软件操作,自2020年4月以来一直处于活动状态,目标是安装Docker。 安全公司趋势科技已经详细说明了TeamTNT组的活动 ,但是在8月,来自Cado Security的专家 发现 该僵尸网络也可以针对配置错误的Kubernetes安装。
“该小组正在使用一种新的逃避检测工具,该工具是从开源存储库复制而来的,”阅读AT&T Alien Labs发布的分析
僵尸网络背后的威胁参与者使用新工具将恶意进程从诸如ps和lsof之类的进程信息程序中隐藏起来,并逃避了检测。
自2014 年以来,libprocesshider开源工具已在Github上可用,并且能够“使用ld预加载器在Linux下隐藏进程”。“预加载”技术允许系统在加载其他系统库之前加载自定义共享库。如果自定义共享库导出的功能具有与系统库中的库相同的签名,则自定义版本将覆盖该功能。
该工具实现了readdir()函数,该过程由诸如ps之类的进程用来读取/ proc目录以查找正在运行的进程。共享库实现了该功能的一个版本,该版本可隐藏找到的进程与攻击者想要隐藏的进程之间的匹配。
开源工具部署在TeamTNT cryptominer二进制文件或ircbot中隐藏的base64编码脚本中
执行bash脚本后,它将执行多个任务以:
  • 修改网络DNS配置。
  • 通过systemd设置持久性。
  • 拖放并激活新工具作为服务。
  • 下载最新的IRC bot配置。
  • 清楚的活动证据,使维权者的潜在行动复杂化。


TeamTNT组织向其Linux矿工添加了新的逃避检测工具


新工具最初作为磁盘上的隐藏tar文件删除,然后通过脚本解压缩,然后写入“ /usr/local/lib/systemhealt.so”,然后添加到“ /etc/ld.so” .preload”。这样,就实现了预加载技术,并且攻击者可以覆盖常用功能 
报告总结说:“通过使用libprocesshider,TeamTNT再次基于可用的开源工具来扩展其功能。”
“尽管libprocesshider的新功能是逃避检测和其他基本功能,但它可以作为在主机级别上搜寻恶意活动时要考虑的指标。”

原文来自: Securityaffairs.co

原文链接: https://securityaffairs.co/wordpress/113968/malware/teamtnt-group-linux-miner.html

欢迎收藏并分享朋友圈,让五邑人网络更安全

TeamTNT组织向其Linux矿工添加了新的逃避检测工具

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



本文始发于微信公众号(邑安全):TeamTNT组织向其Linux矿工添加了新的逃避检测工具

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: