“由于上次遭受攻击的IP地址90%以上属于中国,因此建议防护方对此次攻击足够重视。”——微步情报局
TAG: 挖矿 Docker 德国 Linux 后门 TeamTNT
近日,微步情报局监测发现一起尝试攻击Docker主机并植入挖矿木马的攻击活动,挖矿木马存放在一台位于德国的服务器(85.214.149.236)中,该服务器上还存在Tsunami DDoS木马和其他后门程序,其中一款木马样本与微步情报局今年1月发布的“我国大量服务器被黑产组织攻陷”通报中涉及的木马相同,疑似同一团伙所为,微步情报局其命名为“TeamTNT”。
2020年07月13日,微步情报局通过蜜罐捕获到一起针对Docker主机发动的攻击活动,攻击者尝试利用Docker容器API未授权访问导致的远程命令执行漏洞传播挖矿木马,攻击目标端口号为49153,恶意脚本地址为http://85.214.149.236:443/sugarcrm//.../cron.sh。
![TeamTNT团伙对Docker主机发起攻击活动,植入挖矿木马]( "TeamTNT团伙对Docker主机发起攻击活动,植入挖矿木马")
恶意脚本cron.sh,检查并清理其他挖矿进程然后下载并运行自身的挖矿程序
恶意脚本run,下载伪装成banner.php的挖矿ELF程序,并保存为docker-update用于伪装,然后运行。
经对挖矿ELF程序(MD5:ecf5c4e29490e33225182ef45e255d51)分析发现,该程序使用upx进行了压缩,具备挖矿能力,连接门罗币矿池地址18.210.126.40:10008
下载URL http://85.214.149.236:443/sugarcrm//.../上的其他应用程序
-
Bioset - 基于开源程序的Linux后门程序,监听1982端口
-
Clean - 清理其他挖矿软件和恶意程序
-
Cron.sh - 检查并清理其他挖矿进程然后下载并运行挖矿程序
-
Dns - Tsunami DDoS 木马程序,C&C为irc.kaiserfranz.cc irc.teamtnt.red
-
Docker - 挖矿程序
-
Key 私钥
-
Key.pub 公钥,并有用户名root@TeamTNT
-
Redis 挖矿程序
-
Run - 下载并运行挖矿程序
-
Tshd - so库,功能监听端口,执行控制端传送的命令
其中bioset程序(MD5:4206dbcf1c2bc80ea95ad64043aa024a)与2020年01月16日微步在线发现的针对我国大量服务器进行攻击活动使用的木马相同。
此外,另有外国安全厂商于今年5月份曝光的一次挖矿相关的攻击活动中,攻击者使用的C&C irc.kaiserfranz.cc与此次攻击活动也是相同的。另一个恶意域名teamtnt.red是此次攻击中使用C&C irc.teamtnt.red的二级域名。
此次攻击的主要目的是挖矿,但也具备部署后门来维持权限的能力。由于上次遭受攻击的IP地址90%以上是属于中国,因此建议防护方对此次攻击足够重视。
1、 在Docker的使用中,应限制访问权限,采用标准的最佳实践来减少攻击面。
2、 建议使用微步在线TDP、TIP、OneDNS等产品对该组织的攻击活动进行持续检测和防范。
附录
点击“阅读原文”查看更多事件相关IOC。
![TeamTNT团伙对Docker主机发起攻击活动,植入挖矿木马]( "TeamTNT团伙对Docker主机发起攻击活动,植入挖矿木马")
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/81078.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论