TeamTNT 组织向 Linux 矿工添加新的逃避检测工具

TeamTNT网络犯罪组织通过实施开源检测逃避功能改进了其Linux加密货币矿机。

AT＆T Alien Labs研究人员警告说，TeamTNT网络犯罪组织已通过添加开源检测逃避功能来升级其Linux加密货币矿机。

今年年初，趋势科技的研究人员发现，TeamTNT 僵尸网络通过窃取 Docker 凭据的能力得到了改进。

TeamTNT僵尸网络是一种加密采矿恶意软件操作，自2020年4月以来一直处于活动状态，目标是安装Docker。 安全公司趋势科技已经详细说明了TeamTNT组的活动 ，但是在8月，来自Cado Security的专家发现该僵尸网络也可以针对配置错误的Kubernetes安装。

“该小组正在使用一种新的逃避检测工具，该工具是从开源存储库复制而来的，”阅读AT＆T Alien Labs发布的分析。

僵尸网络背后的威胁参与者使用新工具将恶意进程从诸如ps和lsof之类的进程信息程序中隐藏起来，并逃避了检测。

自2014 年以来，libprocesshider开源工具已在Github上可用，并且能够“使用ld预加载器在Linux下隐藏进程”。“预加载”技术允许系统在加载其他系统库之前加载自定义共享库。如果自定义共享库导出的功能具有与系统库中的库相同的签名，则自定义版本将覆盖该功能。

该工具实现了readdir（）函数，该过程由诸如ps之类的进程用来读取/ proc目录以查找正在运行的进程。共享库实现了该功能的一个版本，该版本可隐藏找到的进程与攻击者想要隐藏的进程之间的匹配项。

开源工具部署在TeamTNT cryptominer二进制文件或ircbot中隐藏的base64编码脚本中

执行bash脚本后，它将执行多个任务以：

• 修改网络DNS配置。
• 通过systemd设置持久性。
• 拖放并激活新工具作为服务。
• 下载最新的IRC bot配置。
• 清楚的活动证据，使维权者的潜在行动复杂化。

新工具最初作为磁盘上的隐藏tar文件删除，然后通过脚本解压缩，然后写入“ /usr/local/lib/systemhealt.so”，然后添加到“ /etc/ld.so” .preload”。这样，就实现了预加载技术，并且攻击者可以覆盖常用功能。

报告总结说：“通过使用libprocesshider，TeamTNT再次基于可用的开源工具来扩展其功能。”

“尽管libprocesshider的新功能是逃避检测和其他基本功能，但它可以作为在主机级别上搜寻恶意活动时要考虑的指标。”