主页 > 以太坊钱包imtoken官网 > 》TeamTNT挖矿木马变种再次来袭,影响上千云主机
》TeamTNT挖矿木马变种再次来袭,影响上千云主机
腾讯安全威胁情报中心
概括
最新的 TeamTNT 变种攻击的特点:
(1) 清空竞品挖矿进程后,使用LOCKFILE字符串,里面写着“TeamTNT is watching you!” 覆盖相关进程的源文件;
(2)通过计划任务、系统服务、用户画像等多种方式进行持久化;
(3)篡改系统ps、top、pstree等命令隐藏自身木马进程;
(4) 篡改系统重启相关命令和服务,阻止用户重启主机;
(5)利用Redis未授权访问漏洞对云服务器进行横向传播攻击
一、概述
在对某企业客户进行日常安全检查时,腾讯安全专家通过腾讯云安全运营中心(SOC)发现了很多未决事件。 仪表板。 该事件最终确定为TeamTNT挖矿木马最新变种攻击。 查询腾讯安全威胁情报资料发现,此次攻击波及上千台云主机,已部署腾讯云防火墙的用户已成功防御。
通过客户部署的腾讯云SOC大盘发现Redis未授权访问事件告警。 根据处置建议,发现报警主机安装了Redis服务,没有设置访问控制。 该缺陷导致攻击者利用和入侵。
查看木马事件详情,发现用户主机被植入TeamTNT挖矿木马,可通过Redis未授权访问漏洞的横向攻击继续传播。 腾讯安全专家指导客户隔离相关木马文件,并根据页面给出的建议对主机进行处理,被攻陷主机的CPU占用率将恢复正常。
进一步分析样本发现,TeamTNT的最新变种去掉了一些与挖矿无关的边缘函数代码,更加专注于挖矿操作。 为了提高留存率,垄断系统资源的挖掘,TeamTNT在竞品木马清除、持久化、进程隐藏等方面进行了功能改进。
TeamTNT木马的整体攻击流程如下图所示:
故障排除和清理建议
腾讯安全专家推荐企业客户使用腾讯主机安全(云镜)进行文件扫描,检测并清除恶意程序。 您也可以按照以下步骤确认是否被TeamTNT木马入侵:
1.清除定时任务
执行`crontab -e`命令删除可疑定时任务
2.清除配置文件
执行`vim /root/.profile`命令删除包含字符串“[crypto].sh”的内容
3.清除系统服务
systemctl stop crytorm -rf /etc/systemd/system/crypto.servicesystemctl stop scanrm -rf /etc/systemd/system/scan.service
4.恢复被篡改的系统命令
tntrecht -i /usr/bin/chattrchattr -i /usr/bin/pschattr -i /usr/bin/topchattr -i /usr/bin/pstreemv -f /usr/bin/ps.original /usr/bin/ps mv -f /usr/bin/top.original /usr/bin/topmv -f /usr/bin/pstree.original /usr/bin/pstree mv -f /usr/bin/cd1 /usr/bin/curlmv -f /usr/bin/wd1 /usr/bin/wget
SYSFILEARRAY=(ps pstree kill pkill chmod chattr rm top htop netstat ss lsof bash sh wget wge wdl curl cur cdl sysctl systemctl service halt shutdown reboot poweroff telinit)for SYSFILE in ${SYSFILEARRAY[@]}; doSYSFILEBIN=`which $SYSFILE` 2>/dev/null 1>/dev/nullchattr -i $SYSFILEBIN 2>/dev/null 1>/dev/nullchmod +x $SYSFILEBIN 2>/dev/null 1>/dev/nulldone
SYSTEMFILEARRAY=("/root/.ssh/" "/home/*/.ssh/" "/etc/passwd" "/etc/shadow" "/etc/sudoers" "/etc/ssh/" "/etc/ssh/sshd_config")for SYSTEMFILE in ${SYSTEMFILEARRAY[@]}; dochattr -R -ia $SYSTEMFILE 2>/dev/null 1>/dev/nulldone
如果其他命令或文件在执行过程中报错,可以先执行`lsattr filename`查看文件是否有i和a属性,如果有则分别执行命令`chattr -i filename`和`chattr -a filename`移除相关属性
5.清除木马相关进程和文件
kill $(pidof '/usr/share/[crypto]')kill $(pidof '/usr/share/[scan]')rm -rf /var/tmp/.alsprm -rf /usr/share/[crypto]rm -rf /usr/share/[crypto].logrm -rf /usr/share/[crypto].pidrm -rf /usr/share/[crypto].shrm -rf /usr/share/[scan]rm -rf /usr/share/config_background.jsonrm /usr/bin/pu
如果无法删除相关文件,先执行命令`chattr -i filename`解除文件的锁定属性
6.清除SSH公钥
>/root/.ssh/authorized_key
>/root/.ssh/authorized_key2
>/home/hilde/.ssh/authorized_key
>/home/hilde/.ssh/authorized_key2
7.删除用户
用户德尔希尔德
8.Redis加固
修改redis.conf配置文件(/etc/redis.conf或其他自定义目录),绑定IP,开启保护模式。 格式如下:
绑定 127.0.0.1
保护模式是
9、对系统进行风险排查,进行安全加固
详情请参考以下链接:
2. 腾讯安全解决方案
TeamTNT挖矿木马相关威胁情报数据已加入腾讯安全威胁情报库,为腾讯全系列安全产品赋能。 客户可订阅腾讯安全威胁情报产品,使全网安全设备同步具备相应的威胁检测、防御、阻断能力。 建议政企客户在公有云部署腾讯云防火墙、腾讯主机安全(云镜)、安全云SOC等安全产品,检测并防御相关威胁。
腾讯主机安全(云镜)可以自动检测病毒攻击过程中产生的木马登陆文件。 客户可登录腾讯云->主机安全控制台查看病毒木马告警信息,一键隔离或删除恶意木马。 客户可以通过腾讯主机安全的漏洞管理和基线管理功能,检测网络资产的安全漏洞和弱口令。
腾讯云防火墙支持检测拦截TeamTNT挖矿木马利用的Redis未授权访问漏洞攻击。 腾讯云防火墙内置虚拟补丁防御机制,可以主动防御某些高风险、高使用率的漏洞利用。 下图为腾讯云防火墙拦截阻断Redis未授权访问漏洞攻击的攻击利用示例。
私有云客户可在旁路部署腾讯高级威胁检测系统(NTA、御界)进行流量检测分析,及时发现黑客组织利用漏洞对企业私有云进行的攻击。 腾讯高级威胁检测系统(NTA、御界)可以检测利用TeamTNT挖矿木马发起的恶意攻击。
私有云客户可以部署腾讯天目(NIPS)通过旁路实时拦截TeamTNT挖矿木马的通信连接。 、自动化智能化、安全可视化等网络边界协同防护系统能力。
欢迎长按识别以下二维码etc挖矿,添加腾讯安全助手,咨询更多腾讯安全产品信息。
3.详细分析
TeamTNT在整个入侵和传播过程中主要使用了b.sh、iss.sh、scan和rss.sh四个脚本文件,如下:
具体模块代码分析如下:
b.sh
b.sh文件的主要功能包括:
(一)淘汰竞品;
(2) 启动挖矿程序;
(3) 创建并启动加密服务来保护挖矿程序;
(4) 篡改系统命令隐藏加密和扫描进程;
(5)添加hilde用户,写入SSH公钥,同步状态到C2服务器;
杀戮服务
(1)利用普通挖矿木马家族清除竞品
(2) 杀掉/tmp下的所有进程源文件或CPU占用率超过40%的进程,TeamTNT家族除外
(3)使用Base64解码的LOCKFILE替换原竞品的挖矿木马文件,并设置为未修改状态,防止竞品重新植入系统抢占资源
Base64解密后的LOCKFILE如下,高调告诉比赛是TeamTNT干的。
设置MoneroOcean
从预设地址下载最新版本的xmrig程序并执行
使shaxx
(1)在系统中添加hilde用户,并赋予sudo权限
(2)将攻击者的SSH公钥写入hilde和root的用户目录
检查密钥
将系统中木马当前运行状态与C2服务器同步,在不同状态下向无效URL发送请求
(1) 挖矿进程启动状态
开始正常:
启动失败:
(2) 在hilde用户目录下写入SSH公钥状态
写入成功:
写入失败:
(3) 在root用户目录下写入SSH公钥状态
写入成功:
写入失败:
保护系统
篡改系统ps、top、pstree命令,将被篡改命令的生成时间设置为20160825,防止用户通过文件创建时间查看相关异常进程。被篡改的ps、top、pstree会过滤crypto和scan进程,使用户无法有效检查
修复系统
修改系统命令和系统敏感文件
本地化
清除登录记录,通过SSH登录其他可信主机etc挖矿,同时执行攻击代码
挖矿过程的持久化
提前在/usr/share/[crypto].sh文件中准备好要执行的恶意命令,将启动命令写入/root/.profile文件中。 root用户每次通过shell登录系统时,都会执行挖矿程序。
创建并启动加密服务。 系统重启后,挖矿程序会重启
下载并执行iss.sh
iss.sh
端口扫描器安装
从 C2 服务器下载并安装 masscan 和 pnscan
下载并执行扫描
扫描
创建并启动扫描服务
扫描脚本从C2服务器下载rss.sh脚本,保存为/usr/share/[scan],创建扫描服务启动/usr/share/[scan]
rss.sh
利用redis未授权访问漏洞进行进一步的攻击传播
将攻击过程中需要执行的恶意命令提前写入.dat文件中
使用pnscan扫描特定网段开放6379端口的Linux主机,通过redis未授权访问漏洞进行攻击,执行.dat中的命令
使用masscan扫描特定网段开放6379端口的主机,通过redis未授权访问漏洞进行攻击,执行.dat中的命令
国际奥委会
知识产权:
85.214.149.236
领域:
oracle.zzhreceive.top
xmr-asia1.nanopool.org(矿池)
gulf.moneroocean.stream(池)
donate.v2.xmrig.com(矿池)
MD5:
bf68dfba47df6c6023ce82686ce68429
58426b3626aea9d1f96c7b8d18ac5ad0
38ba92aafbe6e0f8917eef0eebb624a8
94a3ea919da87035eae05403c00782fd
网址:
hxxp://oracle.zzhreceive.top/b2f628/idcheck/
hxxp://oracle.zzhreceive.top/b2f628/cryptostart
hxxp://oracle.zzhreceive.top/b2f628/cryptonotfount
hxxp://oracle.zzhreceive.top/b2f628/authfailed
hxxp://oracle.zzhreceive.top/b2f628/authok
hxxp://oracle.zzhreceive.top/b2f628/authfailedroot
hxxp://oracle.zzhreceive.top/b2f628/authokroot
hxxp://85.214.149.236:443/sugarcrm/themes/default/images/mod.jpg
hxxp://85.214.149.236:443/sugarcrm/themes/default/images/stock.jpg
hxxps://github.com/xmrig/xmrig/releases/download/v6.10.0/xmrig-6.10.0-linux-static-x64.tar.gz
hxxp://oracle.zzhreceive.top/b2f628/b.sh
hxxp://oracle.zzhreceive.top/b2f628/father.jpg
hxxp://oracle.zzhreceive.top/b2f628/cf.jpg
hxxp://oracle.zzhreceive.top/b2f628/cf.jpg
hxxp://oracle.zzhreceive.top/b2f628fff19fda999999999/b.sh
hxxp://oracle.zzhreceive.top/b2f628fff19fda999999999/iss.sh
hxxp://oracle.zzhreceive.top/b2f628fff19fda999999999/1.0.4.tar.gz
hxxp://oracle.zzhreceive.top/b2f628/p.tar
hxxp://oracle.zzhreceive.top/b2f628/scan
hxxp://oracle.zzhreceive.top/b2f628/rss.sh
钱包地址:
43Xbgtym2GZWBk87XiYbCpTKGPBTxYZZWi44SWrkqqvzPZV6Pfmjv3UHR6FDwvPgePJyv9N5PepeajfmKp1X71EW7jx4Tpz.pokemon6
参考链接:
1.
2.
3.
关于腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析和威胁预警分析平台。 依托顶尖安全专家团队支持,帮助安全分析师和安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。