“由于上次遭受攻击的IP地址90%以上属于中国，因此建议防护方对此次攻击足够重视。”——微步情报局

编号: TB-2020-0014

报告置信度：85

TAG: 挖矿 Docker 德国 Linux 后门 TeamTNT

TLP: 白（报告转发及使用不受限制）

日期: 2020-07-14

 

摘要

 

近日，微步情报局监测发现一起尝试攻击Docker主机并植入挖矿木马的攻击活动，挖矿木马存放在一台位于德国的服务器（85.214.149.236）中，该服务器上还存在Tsunami DDoS木马和其他后门程序，其中一款木马样本与微步情报局今年1月发布的“我国大量服务器被黑产组织攻陷”通报中涉及的木马相同，疑似同一团伙所为，微步情报局其命名为“TeamTNT”。

事件概要

 

攻击目标	互联网服务器
攻击时间	2020年7月
攻击向量	Docker
攻击复杂度	低
最终目的	挖矿、僵尸网络

 

详情

 

2020年07月13日，微步情报局通过蜜罐捕获到一起针对Docker主机发动的攻击活动，攻击者尝试利用Docker容器API未授权访问导致的远程命令执行漏洞传播挖矿木马，攻击目标端口号为49153，恶意脚本地址为http://85.214.149.236:443/sugarcrm//…/cron.sh。

恶意脚本cron.sh，检查并清理其他挖矿进程然后下载并运行自身的挖矿程序

       

 

恶意脚本run，下载伪装成banner.php的挖矿ELF程序，并保存为docker-update用于伪装，然后运行。

       

 

经对挖矿ELF程序（MD5:ecf5c4e29490e33225182ef45e255d51）分析发现，该程序使用upx进行了压缩，具备挖矿能力，连接门罗币矿池地址18.210.126.40:10008

下载URL http://85.214.149.236:443/sugarcrm//…/上的其他应用程序

• Bioset – 基于开源程序的Linux后门程序，监听1982端口
• Clean – 清理其他挖矿软件和恶意程序
• Cron.sh – 检查并清理其他挖矿进程然后下载并运行挖矿程序
• Dns – Tsunami DDoS 木马程序，C&C为irc.kaiserfranz.cc irc.teamtnt.red
• Docker – 挖矿程序
• Key  私钥
• Key.pub 公钥，并有用户名root@TeamTNT
• Redis 挖矿程序
• Run – 下载并运行挖矿程序
• Tshd – so库，功能监听端口，执行控制端传送的命令

 其中bioset程序（MD5:4206dbcf1c2bc80ea95ad64043aa024a）与2020年01月16日微步在线发现的针对我国大量服务器进行攻击活动使用的木马相同。

此外，另有外国安全厂商于今年5月份曝光的一次挖矿相关的攻击活动中，攻击者使用的C&C irc.kaiserfranz.cc与此次攻击活动也是相同的。另一个恶意域名teamtnt.red是此次攻击中使用C&C irc.teamtnt.red的二级域名。

此次攻击的主要目的是挖矿，但也具备部署后门来维持权限的能力。由于上次遭受攻击的IP地址90%以上是属于中国，因此建议防护方对此次攻击足够重视。

 

行动建议

 

1、  在Docker的使用中，应限制访问权限，采用标准的最佳实践来减少攻击面。

2、  建议使用微步在线TDP、TIP、OneDNS等产品对该组织的攻击活动进行持续检测和防范。

附录

原文始发于微信公众号（安全威胁情报）：TeamTNT团伙对Docker主机发起攻击活动，植入挖矿木马