近日，天融信諦聽實(shí)驗(yàn)室捕獲到TeamTNT組織挖礦木馬變種樣本。TeamTNT組織最早出現(xiàn)于2019年10月，其主要針對云主機(jī)和容器化環(huán)境進(jìn)行攻擊，擅長入侵目標(biāo)系統(tǒng)后植入挖礦木馬和僵尸網(wǎng)絡(luò)程序，利用目標(biāo)系統(tǒng)資源進(jìn)行挖礦并組建僵尸網(wǎng)絡(luò)，挖礦幣種主要是門羅幣（XMR）。

數(shù)字加密貨幣又稱為加密貨幣，是一種使用密碼學(xué)原理來確保交易安全及控制交易單位創(chuàng)造的交易媒介，其匿名特性被大量的網(wǎng)絡(luò)犯罪分子青睞并運(yùn)用，在通過勒索病毒“高調(diào)斂財(cái)”的過程中，要求受害者使用加密貨幣支付贖金。

近年來，隨著全球加密貨幣市值不斷攀升，越來越多的網(wǎng)絡(luò)犯罪分子通過“挖礦”木馬“悶聲發(fā)大財(cái)”，盜竊他人計(jì)算能力進(jìn)行非法“挖礦”?！巴诘V”木馬已是繼勒索病毒后網(wǎng)絡(luò)犯罪分子牟利的又一重磅利器，而擁有龐大數(shù)量級的云數(shù)據(jù)中心正成為“挖礦”木馬重要攻擊目標(biāo)。

本次捕獲到的TeamTNT挖礦變種樣本主體shell腳本長達(dá)一千五百多行，兼容多種Linux系統(tǒng)，提供的功能非常完善，例如：禁用阿里云服務(wù)、刪除挖礦競爭對手的進(jìn)程、SSH憑證竊取、下載mscan.so和pscan.so進(jìn)行端口掃描等。TeamTNT組織專業(yè)水平較高，攻擊威力不容小覷。其開發(fā)的很多工具及代碼極可能被其他網(wǎng)絡(luò)犯罪組織使用，例如：臭名昭著的Conti勒索軟件團(tuán)伙也在使用TeamTNT的Chimaera工具部署Conti勒索軟件。

目前，天融信自適應(yīng)安全防御系統(tǒng)、EDR、過濾網(wǎng)關(guān)系統(tǒng)和僵木蠕監(jiān)測系統(tǒng)等均可精準(zhǔn)檢測并查殺該變種挖礦木馬，建議政企等行業(yè)客戶盡快更新系統(tǒng)、及時查缺補(bǔ)漏，有效阻止事件蔓延，而未部署的客戶則可能面臨失陷的風(fēng)險(xiǎn)。

病毒攻擊分析

TeamTNT挖礦變種一旦觸發(fā)運(yùn)行后，首先會禁用安全機(jī)制，停止禁用阿里云服務(wù)。

如果已存在挖礦進(jìn)程，會刪除挖礦競爭對手的進(jìn)程。

然后從oracle.zzhreceive[.]top下載mscan.so和pscan.so進(jìn)行端口掃描，有可能繼續(xù)橫向滲透擴(kuò)散。

通過LOCKFILE變量寫入被base64編碼的挑釁語句，翻譯成中文即“禁止行動?。。eamTNT在看著你！”。

下載挖礦程序并偽裝為系統(tǒng)虛擬內(nèi)存管理程序的名字：[kswapd0]，實(shí)則為xmrig挖礦程序，其中[kswapd0].pid為挖礦程序的配置文件。

本次捕獲TeamTNT挖礦變種最大的不同是shell腳本中使用base64隱藏了壓縮包文件，該壓縮包文件在受害者主機(jī)中解壓縮至/var/tmp/.../dia/目錄下，再用解壓出的c語言源文件和頭文件編譯出diamorphine.ko。

diamorphine.ko是一種開源的LKM rootkit，自帶模塊隱藏功能，加載后需使用kill -63 0命令后才能看到，之后通過發(fā)送31信號接口來實(shí)現(xiàn)隱藏挖礦程序。

同時也會修改系統(tǒng)的DNS配置文件/etc/resolv.conf，使用Google的公共DNS服務(wù)器避免被DNS監(jiān)控工具檢測到。

使用偽裝成Linux內(nèi)核進(jìn)程bioset的ziggystartux項(xiàng)目（IRC Bot），其主要功能作用是組建僵尸網(wǎng)絡(luò)，發(fā)起DDos攻擊、接收C2服務(wù)器命令。

使用tmate服務(wù)連接失陷主機(jī)，曾用賬戶名Hildegard（國外廠商又稱TeamTNT為Hildegard惡意軟件），APIKEY為tmk-4ST6GRXU6GPUjlXHfSlNe0ZaT2。

通過解碼base64釋放/usr/bin/pu文件，該文件實(shí)際為punk.py，是一種開源的unix平臺的SSH post-exploitation工具，能夠收集用戶名、ssh 密鑰和已知主機(jī)信息。

最終調(diào)用了history -c命令清除命令歷史記錄。

TeamTNT在http://oracle.zzhreceive[.]top服務(wù)器目錄下的各組件名字及功能：

錢包地址：

礦池地址：

病毒攻擊防御

針對TeamTNT挖礦木馬變種，可通過以下幾種方式加強(qiáng)防御并進(jìn)行病毒查殺：

1. 及時修復(fù)系統(tǒng)及應(yīng)用漏洞，降低被TeamTNT通過漏洞入侵的風(fēng)險(xiǎn)。

2. 關(guān)閉不必要的端口、服務(wù)和進(jìn)程，降低資產(chǎn)風(fēng)險(xiǎn)暴露面。

3. 通過防火墻添加阻斷規(guī)則，禁止內(nèi)網(wǎng)主機(jī)訪問礦池地址。

4. 更改系統(tǒng)及應(yīng)用使用的默認(rèn)密碼，配置高強(qiáng)度密碼認(rèn)證，并定期更新密碼，防止弱口令攻擊。

5. 安裝天融信自適應(yīng)安全防御系統(tǒng)進(jìn)行主動防御，可有效預(yù)防和查殺該挖礦病毒。

6. 安裝天融信EDR進(jìn)行主動防御，可有效預(yù)防和查殺該挖礦病毒。

7. 已部署天融信過濾網(wǎng)關(guān)系統(tǒng)的客戶，可升級至最新病毒庫，防止該木馬通過文件加載進(jìn)入內(nèi)部網(wǎng)絡(luò)。

8. 已部署天融信入侵防御系統(tǒng)的客戶，可升級至最新僵尸主機(jī)規(guī)則庫并添加阻斷規(guī)則，防止該挖礦木馬通過文件加載的方式進(jìn)入內(nèi)部網(wǎng)絡(luò)。

9. 已部署天融信入侵檢測系統(tǒng)的客戶，可升級至最新僵尸主機(jī)規(guī)則庫并添加告警規(guī)則，聯(lián)動防火墻阻斷內(nèi)網(wǎng)主機(jī)訪問礦池地址。

10. 已部署天融信僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)的客戶，可升級至最新僵尸主機(jī)規(guī)則庫并添加告警規(guī)則，聯(lián)動防火墻阻斷內(nèi)網(wǎng)主機(jī)訪問礦池地址。

天融信產(chǎn)品防御配置

天融信自適應(yīng)安全防御系統(tǒng)防御配置

1. 通過微隔離策略禁止訪問礦池地址；

2. 通過風(fēng)險(xiǎn)發(fā)現(xiàn)功能掃描系統(tǒng)是否存在相關(guān)風(fēng)險(xiǎn)，如系統(tǒng)漏洞、中間件漏洞、網(wǎng)站漏洞、弱口令等，降低風(fēng)險(xiǎn)、減少資產(chǎn)暴露；

3. 開啟病毒實(shí)時監(jiān)測功能，可有效預(yù)防和查殺該挖礦病毒；

4. 設(shè)置CPU資源閾值告警策略，定期檢查CPU資源占用較高主機(jī)，快速鎖定可疑對象。

目前為期三個月的天融信自適應(yīng)安全防御系統(tǒng)免費(fèi)試用活動，已正式開啟！歡迎「點(diǎn)擊試用」

天融信EDR防御配置

1. 通過微隔離策略禁止訪問礦池地址；

2. 通過漏洞掃描是否存在相關(guān)漏洞，降低風(fēng)險(xiǎn)；

3. 開啟病毒實(shí)時監(jiān)測功能，可有效預(yù)防和查殺該挖礦病毒；

4. 開啟系統(tǒng)加固功能，監(jiān)控各類工具執(zhí)行可疑腳本對系統(tǒng)關(guān)鍵位置進(jìn)行篡改，阻斷該病毒感染終

天融信過濾網(wǎng)關(guān)系統(tǒng)防御配置

1. 開啟HTTP、FTP、SMTP、POP3、IMAP病毒掃描服務(wù)，防止挖礦病毒進(jìn)入網(wǎng)絡(luò)；

2. 快速掃描策略配置掃描任意端口，覆蓋掃描范圍更廣；

3. 內(nèi)容過濾中開啟掃描html文件，防止通過網(wǎng)頁瀏覽感染挖礦病毒；

4. 升級至最新病毒庫。

天融信入侵檢測系統(tǒng)、入侵防御系統(tǒng)、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)具體檢測防御配置

1. 升級最新版本僵尸主機(jī)規(guī)則庫；

2. 僵尸主機(jī)規(guī)則庫版本號：ngtvd-v2022.04.13.001.tor；

3. 配置啟用僵尸主機(jī)策略檢測規(guī)則；

4. 在安全策略的檢測引擎中引用僵尸主機(jī)策略；

5. 開啟僵尸主機(jī)實(shí)時監(jiān)測功能，有效檢測和防護(hù)該挖礦病毒。

天融信產(chǎn)品獲取方式

1. 天融信自適應(yīng)安全防御系統(tǒng)試用：可通過天融信官網(wǎng)獲取（查詢網(wǎng)址：http://gdxsl.cn/contact/）

2. 天融信EDR單機(jī)版下載地址：http://edr.topsec.com.cn

3. 天融信過濾網(wǎng)關(guān)系統(tǒng)、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)僵尸主機(jī)規(guī)則庫下載地址：ftp://ftp.topsec.com.cn