后门 挖矿 linux Docker TeamTNT
【微步在线报告】TeamTNT团伙对Docker主机发起的攻击活动
微步情报局 2020-08-04 19:44:33 2063人浏览

编号: TB-2020-0014

报告置信度:85

TAG: 挖矿 Docker 德国 Linux 后门 TeamTNT

TLP: 白(报告转发及使用不受限制)

日期: 2020-07-14

摘要

近日,微步情报局监测发现一起尝试攻击Docker主机并植入挖矿木马的攻击活动,挖矿木马存放在一台位于德国的服务器(85.214.149.236)中,该服务器上还存在Tsunami DDoS木马和其他后门程序,其中一款木马样本与微步情报局今年1月发布的“我国大量服务器被黑产组织攻陷”通报中涉及的木马相同,疑似同一团伙所为,微步情报局其命名为“TeamTNT”。

事件概要

攻击目标
互联网服务器
攻击时间
2020年7月
攻击向量
Docker
攻击复杂度

最终目的
挖矿、僵尸网络

详情

2020年07月13日,微步情报局通过蜜罐捕获到一起针对Docker主机发动的攻击活动,攻击者尝试利用Docker容器API未授权访问导致的远程命令执行漏洞传播挖矿木马,攻击目标端口号为49153,恶意脚本地址为http://85.214.149.236:443/sugarcrm//.../cron.sh。

1.jpg

恶意脚本cron.sh,检查并清理其他挖矿进程然后下载并运行自身的挖矿程序。

2.jpg

恶意脚本run,下载伪装成banner.php的挖矿ELF程序,并保存为docker-update用于伪装,然后运行。

3.jpg

经对挖矿ELF程序(MD5:ecf5c4e29490e33225182ef45e255d51)分析发现,该程序使用upx进行了压缩,具备挖矿能力,连接门罗币矿池地址18.210.126.40:10008。

4.jpg

下载URL http://85.214.149.236:443/sugarcrm//.../ 上的其他应用程序。

5.jpg

· Bioset - 基于开源程序的Linux后门程序,监听1982端口

· Clean - 清理其他挖矿软件和恶意程序

· Cron.sh - 检查并清理其他挖矿进程然后下载并运行挖矿程序

· Dns - Tsunami DDoS 木马程序,C&C为irc.kaiserfranz.cc irc.teamtnt.red

· Docker - 挖矿程序

· Key  私钥

· Key.pub 公钥,并有用户名root@TeamTNT

· Redis 挖矿程序

· Run - 下载并运行挖矿程序

· Tshd - so库,功能监听端口,执行控制端传送的命令

其中bioset程序(MD5:4206dbcf1c2bc80ea95ad64043aa024a)与2020年01月16日微步在线发现的针对我国大量服务器进行攻击活动使用的木马相同。

此外,另有外国安全厂商于今年5月份曝光的一次挖矿相关的攻击活动中 ,攻击者使用的C&C irc.kaiserfranz.cc与此次攻击活动也是相同的。另一个恶意域名teamtnt.red是此次攻击中使用C&C irc.teamtnt.red的二级域名。

此次攻击的主要目的是挖矿,但也具备部署后门来维持权限的能力。由于上次攻击者攻击的IP地址90%以上是属于中国,因此应对此次攻击采取相当的重视。

行动建议

1、 在Docker的使用中,应限制访问权限,采用标准的最佳实践来减少攻击面。

2、 建议使用微步在线TDP、TIP、OneDNS等产品对该组织的攻击活动进行持续检测和防范。

附录

URL

http://85.214.149.236:443/sugarcrm//.../cron.sh

http://85.214.149.236:443/sugarcrm//.../run

http://85.214.149.236:443/sugarcrm//banner.php

http://85.214.149.236:443/sugarcrm//.../bioset

http://85.214.149.236:443/sugarcrm//.../clean

http://85.214.149.236:443/sugarcrm//.../dns

http://85.214.149.236:443/sugarcrm//.../docker

矿池

18.210.126.40:10008

矿池用户

89X8a5RqKMGLubB19DwVVqPxgF27C8hqpbtWMqNorpsDSu6Qw5uu4iJF8WwoLt2VQGRgALfjEqpq61awRTaBwpciDatbCNB

-----------------------------------------------------

微步情报局

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级APT组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web攻击技术、溯源技术、大数据、AI等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级URL、PDNS、Whois数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级APT组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的WannaCry勒索事件、BlackTech定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox定向攻击全国上百家手机行业相关企业的事件。

ip地址(1) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
域名(2) 威胁情报数目 子域名 历史指向ip 相关样本 微步标签 < 1/1 >
匿名用户 2020-08-19 10:45:42 回复
厉害
Kun135 2020-08-17 13:45:41 回复
我就是被这个搞了,谢谢大佬分享!
抓人还钱 2020-08-16 14:51:40 回复
大神,帮我分析一下域名真实IP
萧天雨 2020-08-13 05:14:32 回复
必须顶起来
yunzui 2020-08-10 17:36:08 回复
阔以
Vision视觉 2020-08-07 15:47:36 回复
是一帮人才
tonmepdfe 2020-08-07 07:48:29 回复
崇拜,大神