TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置

  • A+
所属分类:安全新闻

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置

长按二维码关注

腾讯安全威胁情报中心




摘要

本次TeamTNT最新变种攻击的特点:
(1)在清除竞品挖矿进程后,使用带有“TeamTNT is watching you!”字样的LOCKFILE字符串覆盖相关进程的源文件;
(2)通过计划任务、系统服务、用户profile文件等多种方式进行持久化;
(3)篡改系统ps、top、pstree等命令,隐藏自身木马进程;
(4)篡改系统与重启相关的命令和服务,防止用户重启主机;
(5)改用Redis未授权访问漏洞对云服务器进行横向攻击传播




一、概述

腾讯安全专家在对某企业客户进行日常安全巡检作业中,通过腾讯云安全运营中心(SOC)发现较多待处理事件,事件由某个linux挖矿木马引起,事件告警清晰呈现在腾讯云SOC的仪表盘。事件最终判定为TeamTNT挖矿木马最新变种的攻击,经腾讯安全威胁情报数据查询,发现本次攻击事件影响数千台云主机,已部署腾讯云防火墙的用户均已成功防御。

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


通过客户部署的腾讯云SOC仪表盘发现Redis未授权访问事件告警,根据处置建议排查发现告警主机安装了Redis服务,并且未设置访问权限控制,该缺陷导致攻击者利用后入侵。

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


查看木马事件详情,发现用户主机被植入了TeamTNT挖矿木马,该木马可以继续通过Redis未授权访问漏洞横向攻击传播。腾讯安全专家指导客户隔离相关木马文件,根据页面给出的建议方案对主机进行处理,失陷主机的CPU占用率即恢复正常。

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


进一步对样本分析发现,TeamTNT的最新变种去除了部分与挖矿不相关的边缘功能代码,更加聚焦于挖矿作业。为了提高留存率,并独占系统资源挖矿,TeamTNT在清除竞品木马、持久化和进程隐藏等方面都做了功能改进。

TeamTNT木马的整体攻击流程如下图所示:

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


排查和清除建议

腾讯安全专家建议企业客户使用腾讯主机安全(云镜)进行文件扫描,以检测清除恶意程序。也可按以下步骤进行排查,以确认是否被TeamTNT木马入侵:

1、清除计划任务
执行`crontab -e`命令,删除可疑计划任务

2、清除profile文件
执行`vim /root/.profile`命令,删除包含“[crypto].sh”字符串的内容

3、清除系统服务

systemctl stop crytorm -rf /etc/systemd/system/crypto.servicesystemctl stop scanrm -rf /etc/systemd/system/scan.service


4、恢复被篡改的系统命令

tntrecht -i /usr/bin/chattrchattr -i /usr/bin/pschattr -i /usr/bin/topchattr -i /usr/bin/pstreemv -f /usr/bin/ps.original /usr/bin/ps mv -f /usr/bin/top.original /usr/bin/topmv -f /usr/bin/pstree.original /usr/bin/pstree mv -f /usr/bin/cd1 /usr/bin/curlmv -f /usr/bin/wd1 /usr/bin/wget
SYSFILEARRAY=(ps pstree kill pkill chmod chattr rm top htop netstat ss lsof bash sh wget wge wdl curl cur cdl sysctl systemctl service halt shutdown reboot poweroff telinit)for SYSFILE in ${SYSFILEARRAY[@]}; doSYSFILEBIN=`which $SYSFILE` 2>/dev/null 1>/dev/nullchattr -i $SYSFILEBIN 2>/dev/null 1>/dev/nullchmod +x $SYSFILEBIN 2>/dev/null 1>/dev/nulldone
SYSTEMFILEARRAY=("/root/.ssh/" "/home/*/.ssh/" "/etc/passwd" "/etc/shadow" "/etc/sudoers" "/etc/ssh/" "/etc/ssh/sshd_config")for SYSTEMFILE in ${SYSTEMFILEARRAY[@]}; dochattr -R -ia $SYSTEMFILE 2>/dev/null 1>/dev/nulldone


若其他命令或文件在执行的过程当中报错,可以先执行`lsattr 文件名`查询文件是否存在i和a属性,若有,分别执行命令`chattr -i 文件名`和`chattr -a 文件名`去除相关属性

5、清除木马相关进程和文件

kill $(pidof '/usr/share/[crypto]')kill $(pidof '/usr/share/[scan]')rm -rf /var/tmp/.alsprm -rf /usr/share/[crypto]rm -rf /usr/share/[crypto].logrm -rf /usr/share/[crypto].pidrm -rf /usr/share/[crypto].shrm -rf /usr/share/[scan]rm -rf /usr/share/config_background.jsonrm /usr/bin/pu

若相关文件无法删除,先执行命令`chattr -i 文件名`去除文件的锁定属性

6、清除SSH公钥

> /root/.ssh/authorized_key

> /root/.ssh/authorized_key2

> /home/hilde/.ssh/authorized_key

> /home/hilde/.ssh/authorized_key2


7、删除用户
userdel hilde

8、Redis加固
修改redis.conf配置文件(/etc/redis.conf或其他自定义目录),绑定IP,启动保护模式,格式如下:
bind 127.0.0.1
protected-mode yes

9、对系统进行风险排查,并进行安全加固

详情可参考如下链接:
https://cloud.tencent.com/document/product/296/9604




二、腾讯安全解决方案

TeamTNT挖矿木马相关的威胁情报数据已加入腾讯安全威胁情报数据库,赋能给腾讯全系列安全产品,客户可以通过订阅腾讯安全威胁情报产品,让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全(云镜)、安全云SOC等安全产品检测防御相关威胁。

腾讯主机安全(云镜)可对病毒攻击过程中产生的木马落地文件进行自动检测,客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞和弱口令检测。

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


腾讯云防火墙支持对TeamTNT挖矿木马利用的Redis未授权访问漏洞攻击进行检测拦截,腾讯云防火墙内置虚拟补丁防御机制,可积极防御某些高危且使用率很高的漏洞利用。下图示例为腾讯云防火墙拦截阻断Redis未授权访问漏洞攻击进行攻击利用。

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


私有云客户可通过旁路部署腾讯高级威胁检测系统(NTA、御界)进行流量检测分析,及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统(NTA、御界)可检测到利用TeamTNT挖矿木马发起的恶意攻击行为。

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


私有云客户可通过旁路部署腾讯天幕(NIPS)实时拦截TeamTNT挖矿木马的通信连接,腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。


欢迎长按识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置




三、详细分析

TeamTNT在整个入侵和进一步传播的过程中,主要使用到了b.sh, iss.sh, scan和rss.sh这4个脚本文件,具体如下所示:

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置

具体模块的代码分析如下:

b.sh

b.sh文件的主要功能包括:
(1)清除竞品;
(2)启动挖矿程序;
(3)创建并启动crypto服务,守护挖矿程序;
(4)篡改系统命令,隐藏crypto、scan进程;
(5)添加hilde用户,写入SSH公钥,并向C2服务器同步状态;

KILLMININGSERVICES
(1)利用常见挖矿木马家族特定进行竞品清除

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


(2)杀死除TeamTNT家族之外,所有进程源文件在/tmp或者CPU占用率超过40%的进程

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


(3)使用Base64解码后的LOCKFILE替换原竞品的挖矿木马文件,设置不文件为不允许修改状态,防止竞品再次植入系统抢占资源

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


Base64解密后的LOCKFILE如下,很高调地告诉竞品,这是TeamTNT干的。

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


setupMoneroOcean
从预设的地址下载最新版本的xmrig程序并执行

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


makesshaxx
(1)在系统中添加hilde用户,并赋予sudo权限
(2)在hilde和root的用户目录下写入攻击者的SSH公钥

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


checksshkeys
向C2服务器同步木马当前在系统的运行状态,不同状态向不行URL发送请求
(1)挖矿进程启动状态
启动正常:http://oracle.zzhreceive.top/b2f628/cryptostart
启动失败:http://oracle.zzhreceive.top/b2f628/cryptonotfount
(2)hilde用户目录SSH公钥写入状态
写入成功:http://oracle.zzhreceive.top/b2f628/authok
写入失败:http://oracle.zzhreceive.top/b2f628/authfailed
(3)root用户目录SSH公钥写入状态
写入成功:http://oracle.zzhreceive.top/b2f628/authokroot
写入失败:http://oracle.zzhreceive.top/b2f628/authfailedroot

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


SecureTheSystem
篡改系统ps、top、pstree命令,并将篡改后的命令生成时间设置为20160825,防止用户通过文件创建时间来排查相关异常进程。篡改后的ps、top、pstree会过滤crypto、scan进程,导致用户无法有效进行排查

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


FixTheSystem
修改系统命令和系统敏感文件

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


localgo
清空登陆记录,并通过SSH登陆其他受信主机,同时执行攻击代码

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


挖矿进程持久化
将待执行的恶意命令提前准备到/usr/share/[crypto].sh文件中,写将启动命令写入/root/.profile文件中,当root用户每次通过shell登陆到系统时,都会执行挖矿程序。

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


创建并启动crypto服务,系统在重启后,会重新拉起挖矿程序

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


下载并执行iss.sh

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置

iss.sh

端口扫描工具安装
从C2服务器下载并安装masscan和pnscan

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


下载并执行scan

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置

scan

创建并启动scan服务
scan脚本并从C2服务器下载rss.sh脚本,并保存为/usr/share/[scan],同时会创建scan服务用于启动/usr/share/[scan]

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置

rss.sh

利用redis未授权访问漏洞做进一步的攻击传播
将在攻击过程中需要执行的恶意命令提前写入.dat文件中

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


利用pnscan扫描特定网段开放6379端口的Linux主机,并通过redis未授权访问漏洞进行攻击,执行.dat中的命令

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


利用masscan扫描特定网段开放6379端口的主机,并通过redis未授权访问漏洞进行攻击,执行.dat中的命令

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


IOCs

IP:
85.214.149.236

DOMAIN:
oracle.zzhreceive.top
xmr-asia1.nanopool.org (矿池)
gulf.moneroocean.stream(矿池)
donate.v2.xmrig.com(矿池)

MD5:
bf68dfba47df6c6023ce82686ce68429
58426b3626aea9d1f96c7b8d18ac5ad0
38ba92aafbe6e0f8917eef0eebb624a8
94a3ea919da87035eae05403c00782fd


URL:
hxxp://oracle.zzhreceive.top/b2f628/idcheck/
hxxp://oracle.zzhreceive.top/b2f628/cryptostart
hxxp://oracle.zzhreceive.top/b2f628/cryptonotfount
hxxp://oracle.zzhreceive.top/b2f628/authfailed
hxxp://oracle.zzhreceive.top/b2f628/authok
hxxp://oracle.zzhreceive.top/b2f628/authfailedroot
hxxp://oracle.zzhreceive.top/b2f628/authokroot
hxxp://85.214.149.236:443/sugarcrm/themes/default/images/mod.jpg
hxxp://85.214.149.236:443/sugarcrm/themes/default/images/stock.jpg
hxxps://github.com/xmrig/xmrig/releases/download/v6.10.0/xmrig-6.10.0-linux-static-x64.tar.gz
hxxp://oracle.zzhreceive.top/b2f628/b.sh
hxxp://oracle.zzhreceive.top/b2f628/father.jpg
hxxp://oracle.zzhreceive.top/b2f628/cf.jpg
hxxp://oracle.zzhreceive.top/b2f628/cf.jpg
hxxp://oracle.zzhreceive.top/b2f628fff19fda999999999/b.sh
hxxp://oracle.zzhreceive.top/b2f628fff19fda999999999/iss.sh
hxxp://oracle.zzhreceive.top/b2f628fff19fda999999999/1.0.4.tar.gz
hxxp://oracle.zzhreceive.top/b2f628/p.tar
hxxp://oracle.zzhreceive.top/b2f628/scan
hxxp://oracle.zzhreceive.top/b2f628/rss.sh

钱包地址:
43Xbgtym2GZWBk87XiYbCpTKGPBTxYZZWi44SWrkqqvzPZV6Pfmjv3UHR6FDwvPgePJyv9N5PepeajfmKp1X71EW7jx4Tpz.pokemon6


参考链接

1.腾讯主机安全(云镜)捕获TeamTNT木马,该木马利用Docker高危漏洞入侵云服务器挖矿
2.TeamTNT挖矿团伙升级优化木马模块,木马持续改进有危害扩大迹象

3.腾讯安全截获TeamTNT挖矿木马最新变种,失陷主机被安装IRC后门



TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置


关于腾讯安全威胁情报中心


腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置

长按二维码关注

腾讯安全威胁情报中心

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置

本文始发于微信公众号(腾讯安全威胁情报中心):TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: