12

恶意shell脚本窃取AWS、Docker凭证

 3 years ago
source link: http://netsecurity.51cto.com/art/202101/641489.htm
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

研究人员近期发现一起利用shell脚本来执行恶意活动的攻击活动。基于之前的攻击活动,这些恶意脚本主要是用来部署加密货币挖矿机。但是最近的攻击活动中,除了用于加密货币挖矿机下载器外,还有其他的目的。从样本中使用的C2 URL、字符串、加密密钥、语言,研究人员推断出最新的攻击活动来自于TeamTNT。

该恶意shell 脚本是用bash语言开发的。与类似的攻击活动相比,样本中代码风格很好,是根据描述性的函数名来组织的:

Y3mi6fZ.png!mobile

图 1. 表明函数功能的代码段

Shell脚本调用的第一个函数是用于准备环境,确保下一阶段所需的资源、攻击、计算机电量等。此外,还会检查安全解决方案的存在。

Shell脚本还会下载一些用于下一步攻击的灰色工具。这些工具会进行网络扫描和映射,用于检索和映射有漏洞的容器API。

环境设置好之后,shell脚本会检索敏感信息、获取这些信息的副本,然后上传到C2服务器。

iia2QrR.png!mobile

图 2. 窃取AWS凭证的代码段

在之前发现的窃取AWS凭证的样本中,只会检查是否存在机密性文件,并上传。在新样本中,开发者新加入了2个路径。一个是请求AWS 元数据服务,并尝试从中获取凭证。另一个是检查AWS凭证的环境变量,如果存在,就上传到C2服务器。此外,新样本不仅仅窃取AWS凭证,还会窃取Docker API凭证。

7VreUvm.png!mobile

图 3. 窃取Docker API凭证的代码段

在窃取凭证和部署加密货币挖矿机中间,脚本还还释放另一个base64编码的样本。这是为了在系统上创建sudo权限的用户,并使用SSH-RSA密钥来确保可以连接到受感染的机器并维持访问。

rI7bqiU.png!mobile

图 4. 表明用户创建的代码段

然后下载、部署和执行加密货币挖矿机。该攻击活动中最近加入的最后一步是部署反向shell。

截止目前,该攻击活动主要攻击容器平台。最近创建的患有恶意样本的容器镜像下载量已经超过2000。

bMzUFjZ.png!mobile

图 5. 含有恶意样本的容器镜像截图

总结

随着加密货币恶意如那件变种的数量快速增长,部署挖矿攻击的攻击者已经不局限于进行加密货币挖矿。目前,恶意脚本不仅用来窃取凭证这样的敏感信息,还有其他的功能,比如准备环境来确保有足够的资源来进行挖矿,而且还可以静默进行来确保尽可能长时间的挖矿,此外,还会留下后门以被日后远程连接到目标。由于攻击开始关注Docker凭证,使用API认证已经不足以确保安全。系统管理员来确保此类API不会暴露,而且只让需要访问的用户访问。

【责任编辑:赵宁宁 TEL:(010)68476606】


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK