Linux恶意软件使用开源工具逃避检测

Linux加密采矿恶意软件使用开源工具规避检测

图片: 莫里茨·金德勒

AT&T Alien Labs的安全研究人员发现,TeamTNT网络犯罪组织使用开源检测逃避功能升级了他们的Linux加密采矿。

TeamTNT最有名的是针对未经授权的Monero(XMR)挖掘来针对和破坏Internet暴露的Docker实例。

但是,该组织还通过更新名为Black-T的Linux加密劫持恶意软件来改变策略,以从受感染的服务器中收集用户凭据。

现在,TeamTNT在Linux设备上感染并部署了恶意的硬币矿工负载后,进一步升级了其恶意软件,以逃避检测。

隐藏在众目睽睽下

AT&T Alien Labs安全研究员Ofer Caspi在今天发布的一份报告中说: “该小组正在使用一种新的逃避检测工具,该工具是从开源存储库复制而来的 。”

该工具称为libprocesshider,它是Github上可用的开源工具,可在ld预加载器的帮助下用于隐藏任何Linux进程。

卡斯比补充说:“新工具的目的是将恶意程序从诸如ps和lsof之类的程序信息程序中隐藏起来,有效地充当防御规避技术。”

逃避检测工具作为嵌入在TeamTNT ircbot或cryptominer二进制文件中的base64编码的bash脚本部署在受感染的系统上。

解码后的进程隐藏脚本
解码的进程隐藏脚本AT&T Alien Labs

一旦脚本在受到感染的计算机上启动,它将执行一系列任务,这些任务将使其:

  • 修改网络DNS配置。
  • 通过systemd设置持久性。
  • 拖放并激活新工具作为服务。
  • 下载最新的IRC bot配置。
  • 清楚的活动证据,使维权者的潜在行动复杂化。

完成所有步骤后,Black-T恶意软件还将通过删除系统的bash历史记录自动清除所有恶意活动痕迹。

“通过使用libprocesshider,TeamTNT再次基于可用的开源工具来扩展其功能,” Caspi总结道。

“尽管libprocesshider的新功能是逃避检测和其他基本功能,但它可以作为在主机级别上搜寻恶意活动时要考虑的指标。”

僵尸网络升级

加密采矿僵尸网络最早是由MalwareHunterTeam在2020年5月发现的, 后来由趋势科技分析后发现了其Docker目标关联性。

恶意软件感染配置错误的服务器后,它将自己部署在新容器中,并丢弃恶意的有效负载二进制文件,从而开始挖掘Monero(XMR)加密货币。

8月,Cado Security发现了 TeamTNT蠕虫的新AWS凭证收集功能,使其成为第一个具有此功能的加密劫持僵尸网络。

一个月后,Intezer在部署合法的Weave Scope开源工具以控制受害人的Docker,Kubernetes,分布式云操作系统(DC / OS)或AWS Elastic Compute Cloud(ECS)云基础架构时发现了该恶意软件。。

本月初,TeamTNT开始使用开源Ezur i加密器和内存加载器,使防病毒产品几乎无法检测到其恶意软件。

*编译:Domino

*来自:bleepingcomputer