TeamTNT 組織向 Linux 礦工添加新的逃避檢測工具

TeamTNT網絡犯罪組織通過實施開源檢測逃避功能改進了其Linux加密貨幣礦機。

AT＆T Alien Labs研究人員警告說，TeamTNT網絡犯罪組織已通過添加開源檢測逃避功能來升級其Linux加密貨幣礦機。

今年年初，趨勢科技的研究人員發現，TeamTNT 僵尸網絡通過竊取 Docker 憑據的能力得到了改進。

TeamTNT僵尸網絡是一種加密采礦惡意軟件操作，自2020年4月以來一直處于活動狀態，目標是安裝Docker。 安全公司趨勢科技已經詳細說明了TeamTNT組的活動 ，但是在8月，來自Cado Security的專家發現該僵尸網絡也可以針對配置錯誤的Kubernetes安裝。

“該小組正在使用一種新的逃避檢測工具，該工具是從開源存儲庫復制而來的，”閱讀AT＆T Alien Labs發布的分析。

僵尸網絡背后的威脅參與者使用新工具將惡意進程從諸如ps和lsof之類的進程信息程序中隱藏起來，并逃避了檢測。

自2014 年以來，libprocesshider開源工具已在Github上可用，并且能夠“使用ld預加載器在Linux下隱藏進程”。“預加載”技術允許系統在加載其他系統庫之前加載自定義共享庫。如果自定義共享庫導出的功能具有與系統庫中的庫相同的簽名，則自定義版本將覆蓋該功能。

該工具實現了readdir（）函數，該過程由諸如ps之類的進程用來讀取/ proc目錄以查找正在運行的進程。共享庫實現了該功能的一個版本，該版本可隱藏找到的進程與攻擊者想要隱藏的進程之間的匹配項。

開源工具部署在TeamTNT cryptominer二進制文件或ircbot中隱藏的base64編碼腳本中

執行bash腳本后，它將執行多個任務以：

• 修改網絡DNS配置。
• 通過systemd設置持久性。
• 拖放并激活新工具作為服務。
• 下載最新的IRC bot配置。
• 清楚的活動證據，使維權者的潛在行動復雜化。

新工具最初作為磁盤上的隱藏tar文件刪除，然后通過腳本解壓縮，然后寫入“ /usr/local/lib/systemhealt.so”，然后添加到“ /etc/ld.so” .preload”。這樣，就實現了預加載技術，并且攻擊者可以覆蓋常用功能。

報告總結說：“通過使用libprocesshider，TeamTNT再次基于可用的開源工具來擴展其功能。”

“盡管libprocesshider的新功能是逃避檢測和其他基本功能，但它可以作為在主機級別上搜尋惡意活動時要考慮的指標。”