TeamTNT 组织向 Linux 矿工添加新的逃避检测工具

sugar 2021-01-29
专栏 - 资讯 发布于 2021-01-29 18:07:09 阅读 85 评论 0

TeamTNT网络犯罪组织通过实施开源检测逃避功能改进了其Linux加密货币矿机。

AT&T Alien Labs研究人员警告说,TeamTNT网络犯罪组织已通过添加开源检测逃避功能来升级其Linux加密货币矿机。

今年年初,趋势科技的研究人员发现,TeamTNT 僵尸网络通过窃取 Docker 凭据的能力得到了改进。

TeamTNT僵尸网络是一种加密采矿恶意软件操作,自2020年4月以来一直处于活动状态,目标是安装Docker。 安全公司趋势科技已经详细说明了TeamTNT组的活动 ,但是在8月,来自Cado Security的专家发现该僵尸网络也可以针对配置错误的Kubernetes安装。

“该小组正在使用一种新的逃避检测工具,该工具是从开源存储库复制而来的,”阅读AT&T Alien Labs发布的分析。

僵尸网络背后的威胁参与者使用新工具将恶意进程从诸如ps和lsof之类的进程信息程序中隐藏起来,并逃避了检测。

自2014 年以来,libprocesshider开源工具已在Github上可用,并且能够“使用ld预加载器在Linux下隐藏进程”。“预加载”技术允许系统在加载其他系统库之前加载自定义共享库。如果自定义共享库导出的功能具有与系统库中的库相同的签名,则自定义版本将覆盖该功能。

该工具实现了readdir()函数,该过程由诸如ps之类的进程用来读取/ proc目录以查找正在运行的进程。共享库实现了该功能的一个版本,该版本可隐藏找到的进程与攻击者想要隐藏的进程之间的匹配项。

开源工具部署在TeamTNT cryptominer二进制文件或ircbot中隐藏的base64编码脚本中

执行bash脚本后,它将执行多个任务以:

  • 修改网络DNS配置。
  • 通过systemd设置持久性。
  • 拖放并激活新工具作为服务。
  • 下载最新的IRC bot配置。
  • 清楚的活动证据,使维权者的潜在行动复杂化。

TNT战队

新工具最初作为磁盘上的隐藏tar文件删除,然后通过脚本解压缩,然后写入“ /usr/local/lib/systemhealt.so”,然后添加到“ /etc/ld.so” .preload”。这样,就实现了预加载技术,并且攻击者可以覆盖常用功能。

报告总结说:“通过使用libprocesshider,TeamTNT再次基于可用的开源工具来扩展其功能。”

“尽管libprocesshider的新功能是逃避检测和其他基本功能,但它可以作为在主机级别上搜寻恶意活动时要考虑的指标。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!