TeamTNT挖矿木马变种再袭，影响上千云主机，应用腾讯云SOC可轻松处置

长按二维码关注

腾讯安全威胁情报中心

本次TeamTNT最新变种攻击的特点：
（1）在清除竞品挖矿进程后，使用带有“TeamTNT is watching you!”字样的LOCKFILE字符串覆盖相关进程的源文件；
（2）通过计划任务、系统服务、用户profile文件等多种方式进行持久化；
（3）篡改系统ps、top、pstree等命令，隐藏自身木马进程；
（4）篡改系统与重启相关的命令和服务，防止用户重启主机；
（5）改用Redis未授权访问漏洞对云服务器进行横向攻击传播

腾讯安全专家在对某企业客户进行日常安全巡检作业中，通过腾讯云安全运营中心（SOC）发现较多待处理事件，事件由某个linux挖矿木马引起，事件告警清晰呈现在腾讯云SOC的仪表盘。事件最终判定为TeamTNT挖矿木马最新变种的攻击，经腾讯安全威胁情报数据查询，发现本次攻击事件影响数千台云主机，已部署腾讯云防火墙的用户均已成功防御。

通过客户部署的腾讯云SOC仪表盘发现Redis未授权访问事件告警，根据处置建议排查发现告警主机安装了Redis服务，并且未设置访问权限控制，该缺陷导致攻击者利用后入侵。

查看木马事件详情，发现用户主机被植入了TeamTNT挖矿木马，该木马可以继续通过Redis未授权访问漏洞横向攻击传播。腾讯安全专家指导客户隔离相关木马文件，根据页面给出的建议方案对主机进行处理，失陷主机的CPU占用率即恢复正常。

进一步对样本分析发现，TeamTNT的最新变种去除了部分与挖矿不相关的边缘功能代码，更加聚焦于挖矿作业。为了提高留存率，并独占系统资源挖矿，TeamTNT在清除竞品木马、持久化和进程隐藏等方面都做了功能改进。

TeamTNT木马的整体攻击流程如下图所示：

腾讯安全专家建议企业客户使用腾讯主机安全（云镜）进行文件扫描，以检测清除恶意程序。也可按以下步骤进行排查，以确认是否被TeamTNT木马入侵：

1、清除计划任务
执行`crontab -e`命令，删除可疑计划任务

2、清除profile文件
执行`vim /root/.profile`命令，删除包含“[crypto].sh”字符串的内容

3、清除系统服务

systemctl stop crytorm -rf /etc/systemd/system/crypto.servicesystemctl stop scanrm -rf /etc/systemd/system/scan.service

4、恢复被篡改的系统命令

tntrecht -i /usr/bin/chattrchattr -i /usr/bin/pschattr -i /usr/bin/topchattr -i /usr/bin/pstreemv -f /usr/bin/ps.original /usr/bin/ps mv -f /usr/bin/top.original /usr/bin/topmv -f /usr/bin/pstree.original /usr/bin/pstree mv -f /usr/bin/cd1 /usr/bin/curlmv -f /usr/bin/wd1 /usr/bin/wget
SYSFILEARRAY=(ps pstree kill pkill chmod chattr rm top htop netstat ss lsof bash sh wget wge wdl curl cur cdl sysctl systemctl service halt shutdown reboot poweroff telinit)for SYSFILE in ${SYSFILEARRAY[@]}; doSYSFILEBIN=`which $SYSFILE` 2>/dev/null 1>/dev/nullchattr -i $SYSFILEBIN 2>/dev/null 1>/dev/nullchmod +x $SYSFILEBIN 2>/dev/null 1>/dev/nulldone
SYSTEMFILEARRAY=("/root/.ssh/" "/home/*/.ssh/" "/etc/passwd" "/etc/shadow" "/etc/sudoers" "/etc/ssh/" "/etc/ssh/sshd_config")for SYSTEMFILE in ${SYSTEMFILEARRAY[@]}; dochattr -R -ia $SYSTEMFILE  2>/dev/null 1>/dev/nulldone

若其他命令或文件在执行的过程当中报错，可以先执行`lsattr 文件名`查询文件是否存在i和a属性，若有，分别执行命令`chattr -i 文件名`和`chattr -a 文件名`去除相关属性

5、清除木马相关进程和文件

kill $(pidof '/usr/share/[crypto]')kill $(pidof '/usr/share/[scan]')rm -rf /var/tmp/.alsprm -rf /usr/share/[crypto]rm -rf /usr/share/[crypto].logrm -rf /usr/share/[crypto].pidrm -rf /usr/share/[crypto].shrm -rf /usr/share/[scan]rm -rf /usr/share/config_background.jsonrm /usr/bin/pu

若相关文件无法删除，先执行命令`chattr -i 文件名`去除文件的锁定属性

6、清除SSH公钥

> /root/.ssh/authorized_key

> /root/.ssh/authorized_key2

> /home/hilde/.ssh/authorized_key

> /home/hilde/.ssh/authorized_key2

7、删除用户
userdel hilde

8、Redis加固
修改redis.conf配置文件（/etc/redis.conf或其他自定义目录），绑定IP，启动保护模式，格式如下：
bind 127.0.0.1
protected-mode yes

9、对系统进行风险排查，并进行安全加固

详情可参考如下链接：
https://cloud.tencent.com/document/product/296/9604

TeamTNT挖矿木马相关的威胁情报数据已加入腾讯安全威胁情报数据库，赋能给腾讯全系列安全产品，客户可以通过订阅腾讯安全威胁情报产品，让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全（云镜）、安全云SOC等安全产品检测防御相关威胁。

腾讯主机安全（云镜）可对病毒攻击过程中产生的木马落地文件进行自动检测，客户可登录腾讯云->主机安全控制台，检查病毒木马告警信息，将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞和弱口令检测。

腾讯云防火墙支持对TeamTNT挖矿木马利用的Redis未授权访问漏洞攻击进行检测拦截，腾讯云防火墙内置虚拟补丁防御机制，可积极防御某些高危且使用率很高的漏洞利用。下图示例为腾讯云防火墙拦截阻断Redis未授权访问漏洞攻击进行攻击利用。

私有云客户可通过旁路部署腾讯高级威胁检测系统（NTA、御界）进行流量检测分析，及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统（NTA、御界）可检测到利用TeamTNT挖矿木马发起的恶意攻击行为。

私有云客户可通过旁路部署腾讯天幕（NIPS）实时拦截TeamTNT挖矿木马的通信连接，腾讯天幕（NIPS）基于腾讯自研安全算力算法PaaS优势，形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

欢迎长按识别以下二维码，添加腾讯安全小助手，咨询了解更多腾讯安全产品信息。

TeamTNT在整个入侵和进一步传播的过程中，主要使用到了b.sh, iss.sh, scan和rss.sh这4个脚本文件，具体如下所示：

具体模块的代码分析如下：

b.sh文件的主要功能包括：
（1）清除竞品；
（2）启动挖矿程序；
（3）创建并启动crypto服务，守护挖矿程序；
（4）篡改系统命令，隐藏crypto、scan进程；
（5）添加hilde用户，写入SSH公钥，并向C2服务器同步状态；

KILLMININGSERVICES
（1）利用常见挖矿木马家族特定进行竞品清除

（2）杀死除TeamTNT家族之外，所有进程源文件在/tmp或者CPU占用率超过40%的进程

（3）使用Base64解码后的LOCKFILE替换原竞品的挖矿木马文件，设置不文件为不允许修改状态，防止竞品再次植入系统抢占资源

Base64解密后的LOCKFILE如下，很高调地告诉竞品，这是TeamTNT干的。

setupMoneroOcean
从预设的地址下载最新版本的xmrig程序并执行

makesshaxx
（1）在系统中添加hilde用户，并赋予sudo权限
（2）在hilde和root的用户目录下写入攻击者的SSH公钥

checksshkeys
向C2服务器同步木马当前在系统的运行状态，不同状态向不行URL发送请求
（1）挖矿进程启动状态
启动正常：http://oracle.zzhreceive.top/b2f628/cryptostart
启动失败：http://oracle.zzhreceive.top/b2f628/cryptonotfount
（2）hilde用户目录SSH公钥写入状态
写入成功：http://oracle.zzhreceive.top/b2f628/authok
写入失败：http://oracle.zzhreceive.top/b2f628/authfailed
（3）root用户目录SSH公钥写入状态
写入成功：http://oracle.zzhreceive.top/b2f628/authokroot
写入失败：http://oracle.zzhreceive.top/b2f628/authfailedroot

SecureTheSystem
篡改系统ps、top、pstree命令，并将篡改后的命令生成时间设置为20160825，防止用户通过文件创建时间来排查相关异常进程。篡改后的ps、top、pstree会过滤crypto、scan进程，导致用户无法有效进行排查

FixTheSystem
修改系统命令和系统敏感文件

localgo
清空登陆记录，并通过SSH登陆其他受信主机，同时执行攻击代码

挖矿进程持久化
将待执行的恶意命令提前准备到/usr/share/[crypto].sh文件中，写将启动命令写入/root/.profile文件中，当root用户每次通过shell登陆到系统时，都会执行挖矿程序。

创建并启动crypto服务，系统在重启后，会重新拉起挖矿程序

下载并执行iss.sh

端口扫描工具安装
从C2服务器下载并安装masscan和pnscan

下载并执行scan

创建并启动scan服务
scan脚本并从C2服务器下载rss.sh脚本，并保存为/usr/share/[scan]，同时会创建scan服务用于启动/usr/share/[scan]

利用redis未授权访问漏洞做进一步的攻击传播
将在攻击过程中需要执行的恶意命令提前写入.dat文件中

利用pnscan扫描特定网段开放6379端口的Linux主机，并通过redis未授权访问漏洞进行攻击，执行.dat中的命令

利用masscan扫描特定网段开放6379端口的主机，并通过redis未授权访问漏洞进行攻击，执行.dat中的命令

IOCs

IP：
85.214.149.236

DOMAIN：
oracle.zzhreceive.top
xmr-asia1.nanopool.org （矿池）
gulf.moneroocean.stream（矿池）
donate.v2.xmrig.com（矿池）

MD5:
bf68dfba47df6c6023ce82686ce68429
58426b3626aea9d1f96c7b8d18ac5ad0
38ba92aafbe6e0f8917eef0eebb624a8
94a3ea919da87035eae05403c00782fd

URL:
hxxp://oracle.zzhreceive.top/b2f628/idcheck/
hxxp://oracle.zzhreceive.top/b2f628/cryptostart
hxxp://oracle.zzhreceive.top/b2f628/cryptonotfount
hxxp://oracle.zzhreceive.top/b2f628/authfailed
hxxp://oracle.zzhreceive.top/b2f628/authok
hxxp://oracle.zzhreceive.top/b2f628/authfailedroot
hxxp://oracle.zzhreceive.top/b2f628/authokroot
hxxp://85.214.149.236:443/sugarcrm/themes/default/images/mod.jpg
hxxp://85.214.149.236:443/sugarcrm/themes/default/images/stock.jpg
hxxps://github.com/xmrig/xmrig/releases/download/v6.10.0/xmrig-6.10.0-linux-static-x64.tar.gz
hxxp://oracle.zzhreceive.top/b2f628/b.sh
hxxp://oracle.zzhreceive.top/b2f628/father.jpg
hxxp://oracle.zzhreceive.top/b2f628/cf.jpg
hxxp://oracle.zzhreceive.top/b2f628/cf.jpg
hxxp://oracle.zzhreceive.top/b2f628fff19fda999999999/b.sh
hxxp://oracle.zzhreceive.top/b2f628fff19fda999999999/iss.sh
hxxp://oracle.zzhreceive.top/b2f628fff19fda999999999/1.0.4.tar.gz
hxxp://oracle.zzhreceive.top/b2f628/p.tar
hxxp://oracle.zzhreceive.top/b2f628/scan
hxxp://oracle.zzhreceive.top/b2f628/rss.sh

钱包地址：
43Xbgtym2GZWBk87XiYbCpTKGPBTxYZZWi44SWrkqqvzPZV6Pfmjv3UHR6FDwvPgePJyv9N5PepeajfmKp1X71EW7jx4Tpz.pokemon6

参考链接：

1.腾讯主机安全（云镜）捕获TeamTNT木马，该木马利用Docker高危漏洞入侵云服务器挖矿
2.TeamTNT挖矿团伙升级优化木马模块，木马持续改进有危害扩大迹象

3.腾讯安全截获TeamTNT挖矿木马最新变种，失陷主机被安装IRC后门

腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑，帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

长按二维码关注

腾讯安全威胁情报中心

本文始发于微信公众号（腾讯安全威胁情报中心）：TeamTNT挖矿木马变种再袭，影响上千云主机，应用腾讯云SOC可轻松处置