恶意shell脚本窃取AWS、Docker凭证
source link: http://netsecurity.51cto.com/art/202101/641489.htm
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
研究人员近期发现一起利用shell脚本来执行恶意活动的攻击活动。基于之前的攻击活动,这些恶意脚本主要是用来部署加密货币挖矿机。但是最近的攻击活动中,除了用于加密货币挖矿机下载器外,还有其他的目的。从样本中使用的C2 URL、字符串、加密密钥、语言,研究人员推断出最新的攻击活动来自于TeamTNT。
该恶意shell 脚本是用bash语言开发的。与类似的攻击活动相比,样本中代码风格很好,是根据描述性的函数名来组织的:
图 1. 表明函数功能的代码段
Shell脚本调用的第一个函数是用于准备环境,确保下一阶段所需的资源、攻击、计算机电量等。此外,还会检查安全解决方案的存在。
Shell脚本还会下载一些用于下一步攻击的灰色工具。这些工具会进行网络扫描和映射,用于检索和映射有漏洞的容器API。
环境设置好之后,shell脚本会检索敏感信息、获取这些信息的副本,然后上传到C2服务器。
图 2. 窃取AWS凭证的代码段
在之前发现的窃取AWS凭证的样本中,只会检查是否存在机密性文件,并上传。在新样本中,开发者新加入了2个路径。一个是请求AWS 元数据服务,并尝试从中获取凭证。另一个是检查AWS凭证的环境变量,如果存在,就上传到C2服务器。此外,新样本不仅仅窃取AWS凭证,还会窃取Docker API凭证。
图 3. 窃取Docker API凭证的代码段
在窃取凭证和部署加密货币挖矿机中间,脚本还还释放另一个base64编码的样本。这是为了在系统上创建sudo权限的用户,并使用SSH-RSA密钥来确保可以连接到受感染的机器并维持访问。
图 4. 表明用户创建的代码段
然后下载、部署和执行加密货币挖矿机。该攻击活动中最近加入的最后一步是部署反向shell。
截止目前,该攻击活动主要攻击容器平台。最近创建的患有恶意样本的容器镜像下载量已经超过2000。
图 5. 含有恶意样本的容器镜像截图
总结
随着加密货币恶意如那件变种的数量快速增长,部署挖矿攻击的攻击者已经不局限于进行加密货币挖矿。目前,恶意脚本不仅用来窃取凭证这样的敏感信息,还有其他的功能,比如准备环境来确保有足够的资源来进行挖矿,而且还可以静默进行来确保尽可能长时间的挖矿,此外,还会留下后门以被日后远程连接到目标。由于攻击开始关注Docker凭证,使用API认证已经不足以确保安全。系统管理员来确保此类API不会暴露,而且只让需要访问的用户访问。
【责任编辑:赵宁宁 TEL:(010)68476606】
Recommend
-
91
窃取SSH凭证的另一种方法
-
23
-
27
在Windows环境中,当程序执行时经常会需要用户输入自己的域凭证来实现身份验证,或者说在触发用户账号控制时要求用户输入凭证来实现授权或提权,这种情况是很常见的。通过模仿Windows的这种行为,研究人员将有可能获取到Windows用户的凭证...
-
26
研究人员近期发现一个可以窃取AWS凭证的加密货币蠕虫。这是首个含有AWS特定功能的蠕虫,该蠕虫可以窃取本地凭证、扫描错误配置的Docker平台的网络。研究人员发现黑客组织TeamTNT已经成功入侵了大量的Docker和Kubernetes 系统。 ...
-
6
恶意程序窃取了 2600 万密码 WinterIsComing (31822)发表于 2021年06月10日 17时1...
-
3
安全公司:恶意npm软件包试图窃取Discord令牌 • 5 小时前...
-
3
异常间谍软件活动窃取工业企业凭证 - FreeBuf网络安全行业门户 限时体验 编组备份 4 网页灯泡...
-
6
微软Exchange被爆高危后门 可用于窃取凭证等-51CTO.COM 微软Exchange被爆高危后门 可用于窃取凭证等 2022-07-02 15:23:59 日前,卡巴斯基的安全团队发布了一份令人担忧的报告。报告...
-
1
增粉利器?实则是窃取登录凭据的恶意软件-51CTO.COM 增粉利器?实则是窃取登录凭据的恶意软件 作者:Avenger 2022-07-18 05:56:21
-
6
Rust编码的信息窃取恶意软件源代码公布,专家警告已被利用-51CTO.COM Rust编码的信息窃取恶意软件源代码公布,专家警告已被利用 作者:yannichen 2022-07-26 11:46:14 黑客论坛上发...
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK