TeamTNT布局具有DDoS功能的IRC僵尸网络
发布时间:2022-09-02 11:29:29 所属栏目:安全 来源:互联网
导读:今年初,黑客组织TeamTNT使用XMRig 加密货币挖矿机攻击了暴露的Docker API。随着时间的发展,研究人员发现TeamTNT 在不断扩展其功能,并从AWS 窃取SSH 凭证。本文分析TeamTNT 最新的攻击活动中使用攻击者组织中自己的IRC。该IRC bot是TNTbotinger,具有DDoS
今年初,黑客组织TeamTNT使用XMRig 加密货币挖矿机攻击了暴露的Docker API。随着时间的发展,研究人员发现TeamTNT 在不断扩展其功能,并从AWS 窃取SSH 凭证。本文分析TeamTNT 最新的攻击活动中使用攻击者组织中自己的IRC。该IRC bot是TNTbotinger,具有DDoS 攻击能力。 为成功实现攻击,攻击者首先需要在目标机器上执行远程代码执行。恶意攻击者额可以通过错误配置、滥用未修复的漏洞、利用弱口令、重用密码、泄露的凭证等安全漏洞来实现远程代码执行。 然后脚本回尝试下载和执行恶意二进制文件,其中就包括用于端口扫描的工具pnscan。如果在期望目录中没有找到,就会手动下载该工具。 在该攻击活动中执行的二进制文件包括: /dev/shm/sbin /usr/bin/tshd /usr/bin/kube /usr/bin/bioset 然后,脚本会从受感染的系统中窃取不同类型的机密信息,其中包括: 用于SSH访问的RSA (Rivest-Shamir-Adleman)密钥; Bash历史; AWS和Docker 配置文件; /etc group, /etc/passwd, /etc/shadow, /etc/gshadow。 然后,恶意攻击者会向攻击者提供的URL发出HTTP POST请求,使用一个TGZ (tar.gz) 文件来上传窃取的信息。研究人员怀疑被窃取的信息会作为之后攻击活动的知识库。 相关的二进制文件 二进制文件的目标平台是基于x86-64指令集的CPU。这些二进制文件的第一层都被知名的UPX 打包工具打包了。 /dev/shm/sbin 该二进制文件使用Go 编译器编译,其中含有一个使用AES 加密的ELF 文件。研究人员猜测该打包器是LaufzeitCrypter的Go语言版本。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |