AWS Cryptojacking 蠕虫病毒通过云传播

Andrew 2020-08-20
专栏 - 事件 发布于 2020-08-20 13:46:09 阅读 81 评论 0

该恶意软件收集AWS凭证并安装Monero cryptominers。

来自一个名为TeamTNT的小组的cryptomining蠕虫正在Amazon Web Services(AWS)云中传播并收集凭据。一旦收集到登录信息,恶意软件就会登录并部署XMRig挖掘工具来挖掘Monero cryptocurrency。

根据Cado Security的研究人员所说,该蠕虫还部署了许多公开可用的恶意软件和攻击性安全工具,其中包括SSH后开发工具“ punk.py”。日志清理工具;Diamorphine rootkit;和Tsunami IRC后门。

这是观察到的第一个专门针对AWS以进行密码劫持的威胁。

周一的一篇文章说:“该蠕虫还窃取了本地凭据,并在互联网上扫描了配置错误的Docker平台。” “我们已经看到攻击者……破坏了许多Docker和Kubernetes系统。”

随着越来越多的企业采用云和容器环境,它通过错误配置为网络罪犯开辟了新的攻击面。话虽如此,针对Docker和Kubernetes的加密威胁并不新鲜。攻击者继续以自动方式扫描可公开访问的、打开的Docker / Kubernetes服务器,然后对其进行利用以设置自己的容器并在受害者的基础设施上执行恶意软件。

通常,该恶意软件是某种类型的cryptominer,如四月份在使用Kinsing恶意软件的Bitcoin-mining campaign活动中所见。有时,威胁会更加严重,如7月份所见,当时人们看到一个新的名为Doki的Linux后门感染了Docker服务器,以应对从denial-of-service/sabotage到信息泄露到勒索软件的各种基于恶意软件的攻击。

攻击AWS

攻击首先针对AWS将凭证存储在〜/ .aws / credentials中的未加密文件中以及将其他配置详细信息存储在〜/ .aws / config中的方式。

研究人员解释说:“窃取AWS凭证的代码相对简单-在执行时,它将默认的AWS凭证和配置文件上传到攻击者的服务器sayhi.bplace[.]net。” “ Curl用于将AWS凭证发送到TeamTNT的服务器。”

AWS Cryptojacking 蠕虫病毒通过云传播

图1:从受感染系统中窃取AWS凭证的代码。

有趣的是,尽管该脚本被编写为蠕虫病毒,但在安全公司的分析过程中,攻击的自动化部分似乎并未完全发挥作用。

该帖子称:“我们已将CanaryTokens.org创建的凭据发送给TeamTNT,但尚未看到它们的使用。” “这表明TeamTNT要么手动评估和使用凭据,要么他们创建的任何自动化功能目前都无法正常运行。”

研究人员说,锚定TeamTNT蠕虫的脚本是上述Kinsing恶意软件的改用代码,该脚本最初用于扫描配置错误的Docker API,然后启动Docker映像并自行安装。他们补充说,从其他工具复制代码在网络犯罪领域很常见。

他们说:“反过来,我们很可能会看到其他蠕虫也开始复制窃取AWS凭证文件的功能。” “虽然这些攻击不是特别复杂,但是部署加密劫持蠕虫的众多组织已成功感染大量业务系统。”

图2:被盗的AWS凭证生成的网络流量。

TeamTNT – It’s Dynamite

据研究人员称,TeamTNT会在蠕虫代码内的众多参考文献中宣布自己的身份,并且该小组使用一个称为team tnt[.]red的域名。该域托管恶意软件,其首页名为“ TeamTNT RedTeamPentesting”。

TeamTNT多产,并于今年初被发现。4月,趋势科技观察到该组织正在攻击Docker Containers。

Cado对其中一个examination进行的检查得出了有关支持AWS-capable蠕虫已入侵的系统的信息,结果表明,对于一个pool,在AWS、Kubernetes集群和Jenkins构建服务器上,共有119个系统受到影响。

研究人员解释说:“到目前为止,与这些最新攻击相关的两个不同的Monero wallets,为TeamTNT赢得了大约三个XMR。” “这仅相当于约300美元,但这只是他们众多活动中的一个。”

Cado研究人员建议,为阻止此类攻击,企业应确定哪些系统正在存储AWS凭证文件,并在不需要时将其删除。另外,请查看网络流量,以了解与pools的任何连接或通过HTTP发送AWS凭证文件的连接;并且使用防火墙规则来限制对Docker API的任何访问。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!