TEAM TNT：竊取AWS憑證的加密貨幣挖礦蠕蟲

研究人員近期發現一個可以竊取AWS憑證的加密貨幣蠕蟲。這是首個含有AWS特定功能的蠕蟲，該蠕蟲可以竊取本地憑證、掃描錯誤配置的Docker平臺的網絡。研究人員發現黑客組織TeamTNT已經成功入侵了大量的Docker和Kubernetes 系統。

隨著越來越多的企業和組織將計算資源遷移到云和容器環境中，未來此類攻擊將越來越多。

圖 1: TeamTNT蠕蟲首次運行時在屏幕上打印的消息

AWS憑證竊取

AWS CLI將憑證保存以未加密文件的形式保存在~/.aws/credentials，其他的配置信息保存在名為~/.aws/config 的文件中。

竊取AWS憑證的代碼非常直接，執行后會上傳默認的AWS .credentials(憑證)和 .config(配置)文件到攻擊者的服務器——sayhi.bplace[.]net:

圖 2: 從受害者系統中竊取AWS憑證的代碼

攻擊者用Curl來發送AWS憑證到TeamTNT 的服務器，服務器會響應消息“THX”：

圖 3: 竊取的AWS憑證生成的網絡流量

研究人員發送CanaryTokens.org創建的憑證到TeamTNT 服務器，但沒有使用過。這表明TeamTNT 手動評估或使用該憑證，或之前創建的自動化工具無法正常工作。

傳播

大多數的加密貨幣挖礦蠕蟲都是直接復制和粘貼其他蠕蟲的代碼并進行修改。TeamTNT 的蠕蟲中也含有來自Kinsing 蠕蟲的代碼，目的是停止阿里云安全工具：

圖 4: 阻止阿里云安全工具運行的代碼

未來，將可能會有更多的蠕蟲會復制竊取AWS 憑證文件的能力。

Docker

蠕蟲中還含有用masscan 掃描開放的Docker API的代碼，然后在新容器中安裝自己：

圖 5: 掃描開放的Docker API，然后安裝蠕蟲到新容器中

漏洞利用

該蠕蟲部署了XMRig 加密貨幣挖礦工具來挖門羅幣，以此為攻擊者賺錢。其中一個礦池提供了蠕蟲黑掉的系統的詳細情況：

圖 6: Monero Ocean 礦池中門羅幣錢包的數據

該頁面一共有119個被黑的系統，其中包括Kubernetes 集群和Jenkins Build 服務器。

截止目前，研究人員共發現2個與該攻擊相關的門羅幣地址，共為TeamTNT 賺取了3門羅幣，價值約300美元，但這只是其中一起攻擊活動。

該蠕蟲還部署了大量的惡意軟件：

• punk.py – SSH 利用工具
• 日志清除工具
• Diamorphine Rootkit
• Tsunami IRC 后門
• TeamTNT

蠕蟲中大量引用了TeamTNT，并且使用的域名也是teamtnt[.]red。該域名上保存著惡意軟件，主頁TeamTNT RedTeamPentesting 是對公開惡意軟件沙箱的引用：

圖 7: teamtnt[.]red主頁

結論

這些攻擊其實并不復雜，有許多部署加密貨幣挖礦蠕蟲的黑客組織已經成功感染了大量的商業系統。研究人員給出了如下建議：

• 了解哪些系統保存了AWS憑證文件，如果不需要那么就刪除。事實上，許多生產系統中都意外保留了開發階段的憑證。
• 使用防火墻規則來限制對Docker API的訪問。研究人員強烈建議在設置防火墻時使用白名單方法。
• 檢查所有到礦池的連接的網絡流量，或使用Stratum挖礦工具。
• 檢查通過HTTP 發送AWS 憑證文件的所有連接。