威胁研究正文

TeamTNT挖矿木马变种再袭,影响上千云主机,应用腾讯云SOC可轻松处置

2021-06-17 11:32:53

腾讯安全专家在对某企业客户进行日常安全巡检作业中,通过腾讯云安全运营中心(SOC)发现较多待处理事件,事件由某个linux挖矿木马引起,事件告警清晰呈现在腾讯云SOC的仪表盘。事件最终判定为TeamTNT挖矿木马最新变种的攻击,经腾讯安全威胁情报数据查询,发现本次攻击事件影响数千台云主机,已部署腾讯云防火墙的用户均已成功防御。

摘要:

本次TeamTNT最新变种攻击的特点:

(1)在清除竞品挖矿进程后,使用带有“TeamTNT is watching you!”字样的LOCKFILE字符串覆盖相关进程的源文件;

(2)通过计划任务、系统服务、用户profile文件等多种方式进行持久化;

(3)篡改系统ps、top、pstree等命令,隐藏自身木马进程;

(4)篡改系统与重启相关的命令和服务,防止用户重启主机;

(5)改用Redis未授权访问漏洞对云服务器进行横向攻击传播

一、概述

腾讯安全专家在对某企业客户进行日常安全巡检作业中,通过腾讯云安全运营中心(SOC)发现较多待处理事件,事件由某个linux挖矿木马引起,事件告警清晰呈现在腾讯云SOC的仪表盘。事件最终判定为TeamTNT挖矿木马最新变种的攻击,经腾讯安全威胁情报数据查询,发现本次攻击事件影响数千台云主机,已部署腾讯云防火墙的用户均已成功防御。

{xunruicms_img_title}

图1

 

通过客户部署的腾讯云SOC仪表盘发现Redis未授权访问事件告警,根据处置建议排查发现告警主机安装了Redis服务,并且未设置访问权限控制,该缺陷导致攻击者利用后入侵。

{xunruicms_img_title}

图2

 

查看木马事件详情,发现用户主机被植入了TeamTNT挖矿木马,该木马可以继续通过Redis未授权访问漏洞横向攻击传播。腾讯安全专家指导客户隔离相关木马文件,根据页面给出的建议方案对主机进行处理,失陷主机的CPU占用率即恢复正常。

{xunruicms_img_title}

图3

 

进一步对样本分析发现,TeamTNT的最新变种去除了部分与挖矿不相关的边缘功能代码,更加聚焦于挖矿作业。为了提高留存率,并独占系统资源挖矿,TeamTNT在清除竞品木马、持久化和进程隐藏等方面都做了功能改进。

 

TeamTNT木马的整体攻击流程如下图所示:

{xunruicms_img_title}

图4

 

排查和清除建议

腾讯安全专家建议企业客户使用腾讯主机安全产品进行文件扫描,以检测清除恶意程序。也可按以下步骤进行排查,以确认是否被TeamTNT木马入侵:

 

1、清除计划任务

执行`crontab -e`命令,删除可疑计划任务

 

2、清除profile文件

执行`vim /root/.profile`命令,删除包含“[crypto].sh”字符串的内容

 

3、清除系统服务

systemctl stop cryto

rm -rf /etc/systemd/system/crypto.service

systemctl stop scan

rm -rf /etc/systemd/system/scan.service

 

4、恢复被篡改的系统命令

tntrecht -i /usr/bin/chattr

chattr -i /usr/bin/ps

chattr -i /usr/bin/top

chattr -i /usr/bin/pstree

mv -f /usr/bin/ps.original /usr/bin/ps

mv -f /usr/bin/top.original /usr/bin/top

mv -f /usr/bin/pstree.original /usr/bin/pstree

mv -f /usr/bin/cd1 /usr/bin/curl

mv -f /usr/bin/wd1 /usr/bin/wget

 

SYSFILEARRAY=(ps pstree kill pkill chmod chattr rm top htop netstat ss lsof bash sh wget wge wdl curl cur cdl sysctl systemctl service halt shutdown reboot poweroff telinit)

for SYSFILE in ${SYSFILEARRAY[@]}; do

SYSFILEBIN=`which $SYSFILE` 2>/dev/null 1>/dev/null

chattr -i $SYSFILEBIN 2>/dev/null 1>/dev/null

chmod +x $SYSFILEBIN 2>/dev/null 1>/dev/null

done

 

SYSTEMFILEARRAY=("/root/.ssh/" "/home/*/.ssh/" "/etc/passwd" "/etc/shadow" "/etc/sudoers" "/etc/ssh/" "/etc/ssh/sshd_config")

for SYSTEMFILE in ${SYSTEMFILEARRAY[@]}; do

chattr -R -ia $SYSTEMFILE  2>/dev/null 1>/dev/null

done

若其他命令或文件在执行的过程当中报错,可以先执行`lsattr 文件名`查询文件是否存在i和a属性,若有,分别执行命令`chattr -i 文件名`和`chattr -a 文件名`去除相关属性

 

5、清除木马相关进程和文件

kill $(pidof '/usr/share/[crypto]')

kill $(pidof '/usr/share/[scan]')

rm -rf /var/tmp/.alsp

rm -rf /usr/share/[crypto]

rm -rf /usr/share/[crypto].log

rm -rf /usr/share/[crypto].pid

rm -rf /usr/share/[crypto].sh

rm -rf /usr/share/[scan]

rm -rf /usr/share/config_background.json

rm /usr/bin/pu

若相关文件无法删除,先执行命令`chattr -i 文件名`去除文件的锁定属性

 

6、清除SSH公钥

> /root/.ssh/authorized_key

> /root/.ssh/authorized_key2

> /home/hilde/.ssh/authorized_key

> /home/hilde/.ssh/authorized_key2

 

7、删除用户

userdel hilde

 

8、Redis加固

修改redis.conf配置文件(/etc/redis.conf或其他自定义目录),绑定IP,启动保护模式,格式如下:

bind 127.0.0.1

protected-mode yes

 

9、对系统进行风险排查,并进行安全加固,详情可参考如下链接: 
https://cloud.tencent.com/document/product/296/9604 

二、腾讯安全解决方案

TeamTNT挖矿木马相关的威胁情报数据已加入腾讯安全威胁情报数据库,赋能给腾讯全系列安全产品,客户可以通过订阅腾讯安全威胁情报产品,让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全(云镜)、安全云运营中心(SOC)等安全产品检测防御相关威胁。

 

腾讯主机安全(云镜)可对病毒攻击过程中产生的木马落地文件进行自动检测,客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞和弱口令检测。

{xunruicms_img_title}

图5

 

腾讯云防火墙支持对TeamTNT挖矿木马利用的Redis未授权访问漏洞攻击进行检测拦截,腾讯云防火墙内置虚拟补丁防御机制,可积极防御某些高危且使用率很高的漏洞利用。下图示例为腾讯云防火墙拦截阻断Redis未授权访问漏洞攻击进行攻击利用。

{xunruicms_img_title}

图6

 

私有云客户可通过旁路部署腾讯高级威胁检测系统(NTA、御界)进行流量检测分析,及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统(NTA、御界)可检测到利用TeamTNT挖矿木马发起的恶意攻击行为。

{xunruicms_img_title}

图7

 

私有云客户可通过旁路部署腾讯天幕(NIPS)实时拦截TeamTNT挖矿木马的通信连接,腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

三、详细分析

TeamTNT在整个入侵和进一步传播的过程中,主要使用到了b.sh, iss.sh, scan和rss.sh这4个脚本文件,具体如下所示:

{xunruicms_img_title}

图8

 

具体模块的代码分析如下:

b.sh

b.sh文件的主要功能包括:

(1)清除竞品;

(2)启动挖矿程序;

(3)创建并启动crypto服务,守护挖矿程序;

(4)篡改系统命令,隐藏crypto、scan进程;

(5)添加hilde用户,写入SSH公钥,并向C2服务器同步状态;

 

KILLMININGSERVICES

(1)利用常见挖矿木马家族特定进行竞品清除

{xunruicms_img_title}

图9

 

(2)杀死除TeamTNT家族之外,所有进程源文件在/tmp或者CPU占用率超过40%的进程

{xunruicms_img_title}

图10

 

(3)使用Base64解码后的LOCKFILE替换原竞品的挖矿木马文件,设置不文件为不允许修改状态,防止竞品再次植入系统抢占资源

{xunruicms_img_title}

图11

 

Base64解密后的LOCKFILE如下,很高调地告诉竞品,这是TeamTNT干的。

{xunruicms_img_title}

图12

 

setupMoneroOcean

从预设的地址下载最新版本的xmrig程序并执行

{xunruicms_img_title}

图13

 

makesshaxx

(1)在系统中添加hilde用户,并赋予sudo权限

(2)在hilde和root的用户目录下写入攻击者的SSH公钥

{xunruicms_img_title}

图14

 

checksshkeys

向C2服务器同步木马当前在系统的运行状态,不同状态向不行URL发送请求

(1)挖矿进程启动状态

启动正常:http://oracle.zzhreceive.top/b2f628/cryptostart

启动失败:http://oracle.zzhreceive.top/b2f628/cryptonotfount

(2)hilde用户目录SSH公钥写入状态

写入成功:http://oracle.zzhreceive.top/b2f628/authok

写入失败:http://oracle.zzhreceive.top/b2f628/authfailed

(3)root用户目录SSH公钥写入状态

写入成功:http://oracle.zzhreceive.top/b2f628/authokroot

写入失败:http://oracle.zzhreceive.top/b2f628/authfailedroot

 

{xunruicms_img_title}

图15

 

SecureTheSystem

篡改系统ps、top、pstree命令,并将篡改后的命令生成时间设置为20160825,防止用户通过文件创建时间来排查相关异常进程。篡改后的ps、top、pstree会过滤crypto、scan进程,导致用户无法有效进行排查

{xunruicms_img_title}

图16

 

FixTheSystem

修改系统命令和系统敏感文件

{xunruicms_img_title}

图17

 

localgo

清空登陆记录,并通过SSH登陆其他受信主机,同时执行攻击代码

{xunruicms_img_title}

图18

 

挖矿进程持久化

将待执行的恶意命令提前准备到/usr/share/[crypto].sh文件中,写将启动命令写入/root/.profile文件中,当root用户每次通过shell登陆到系统时,都会执行挖矿程序。

{xunruicms_img_title}

图19

 

创建并启动crypto服务,系统在重启后,会重新拉起挖矿程序

{xunruicms_img_title}

图20

 

下载并执行iss.sh

{xunruicms_img_title}

图21

 

iss.sh

端口扫描工具安装

从C2服务器下载并安装masscan和pnscan

{xunruicms_img_title}

图22

 

下载并执行scan

{xunruicms_img_title}

图23

 

scan

创建并启动scan服务

scan脚本并从C2服务器下载rss.sh脚本,并保存为/usr/share/[scan],同时会创建scan服务用于启动/usr/share/[scan]

{xunruicms_img_title}

图24

rss.sh

利用redis未授权访问漏洞做进一步传播

将在攻击过程中需要执行的恶意命令提前写入.dat文件中

{xunruicms_img_title}

图25

 

利用pnscan扫描特定网段开放6379端口的Linux主机,并通过redis未授权访问漏洞进行攻击,执行.dat中的命令

{xunruicms_img_title}

图26

 

利用masscan扫描特定网段开放6379端口的主机,并通过redis未授权访问漏洞进行攻击,执行.dat中的命令

{xunruicms_img_title}

图27

IOCs

IP:

85.214.149.236

 

DOMAIN:

oracle.zzhreceive.top

xmr-asia1.nanopool.org (矿池)

gulf.moneroocean.stream(矿池)

donate.v2.xmrig.com(矿池)

 

MD5:

bf68dfba47df6c6023ce82686ce68429

58426b3626aea9d1f96c7b8d18ac5ad0

38ba92aafbe6e0f8917eef0eebb624a8

94a3ea919da87035eae05403c00782fd

 

URL:

hxxp://oracle.zzhreceive.top/b2f628/idcheck/

hxxp://oracle.zzhreceive.top/b2f628/cryptostart

hxxp://oracle.zzhreceive.top/b2f628/cryptonotfount

hxxp://oracle.zzhreceive.top/b2f628/authfailed

hxxp://oracle.zzhreceive.top/b2f628/authok

hxxp://oracle.zzhreceive.top/b2f628/authfailedroot

hxxp://oracle.zzhreceive.top/b2f628/authokroot

hxxp://85.214.149.236:443/sugarcrm/themes/default/images/mod.jpg

hxxp://85.214.149.236:443/sugarcrm/themes/default/images/stock.jpg

hxxps://github.com/xmrig/xmrig/releases/download/v6.10.0/xmrig-6.10.0-linux-static-x64.tar.gz

hxxp://oracle.zzhreceive.top/b2f628/b.sh

hxxp://oracle.zzhreceive.top/b2f628/father.jpg

hxxp://oracle.zzhreceive.top/b2f628/cf.jpg

hxxp://oracle.zzhreceive.top/b2f628/cf.jpg

hxxp://oracle.zzhreceive.top/b2f628fff19fda999999999/b.sh

hxxp://oracle.zzhreceive.top/b2f628fff19fda999999999/iss.sh

hxxp://oracle.zzhreceive.top/b2f628fff19fda999999999/1.0.4.tar.gz

hxxp://oracle.zzhreceive.top/b2f628/p.tar

hxxp://oracle.zzhreceive.top/b2f628/scan

hxxp://oracle.zzhreceive.top/b2f628/rss.sh

 

钱包地址:

43Xbgtym2GZWBk87XiYbCpTKGPBTxYZZWi44SWrkqqvzPZV6Pfmjv3UHR6FDwvPgePJyv9N5PepeajfmKp1X71EW7jx4Tpz.pokemon6

参考链接:

腾讯主机安全(云镜)捕获TeamTNT木马,该木马利用Docker高危漏洞入侵云服务器挖矿

https://mp.weixin.qq.com/s/Bw8_zNBwpL1eTZZ0dxXQQw

 

TeamTNT挖矿团伙升级优化木马模块,木马持续改进有危害扩大迹象

https://mp.weixin.qq.com/s/td6KznnHqwALFwqXdMvUDg

 

腾讯安全截获TeamTNT挖矿木马最新变种,失陷主机被安装IRC后门

https://mp.weixin.qq.com/s/3vyqQBYt9pAZY1H_vTgacA


在线咨询

方案定制