擅長挖礦蠕蟲的TeamTNT駭客集團新增了一個利用開源程式庫中複製的檢測逃避工具。自2020年4月以來,TeamTNT一直活躍,眾所周知以Docker系統為目標。TeamTNT通常會掃描Internet以查找配置錯誤的Docker容器,鎖定Docker傳輸埠的分散式阻斷服務攻擊(DDoS)殭屍網路並植入惡意挖礦程式,它還可以從受感染的伺服器竊取憑証,在去年8月更發現該殭屍網路擴大範圍到配置錯誤的Kubernetes系統。
現在根據AT&T Alien Labs的研究人員的發現,TeamTNT已新增了另一個工具。該工具名為libprocesshider,是自2014年以來在GitHub上可用的開源工具,libprocesshider旨在從處理程序查詢工具(例如ps和lsof)中隱藏惡意程序,有效地作為防禦規避技術。
Alien Labs研究員Ofer Caspi補充說“libprocesshider可在ld預先載入器的幫助下用於隱藏任何Linux程序,執行readdir()函數,該函數被”ps”等程序用於讀取 /proc 目錄以查找正在運行的程序, 並在找到的程序與隱藏所需的程序之間存在匹配的情況下修改回應值。
Libprocesshider部署在在TeamTNT ircbot或cryptominer二進位檔案中並隱藏在base64編碼script中,在二進位檔執行後,bash腳本將執行許多任務,包括:
- 修改網路DNS配置。
- 通過systemd設置持續性。
- 投放並啟用新工具作為服務。
- 下載最新的IRC bot配置。
- 清除活動證據,使潛在的防禦行動變得困難。
首先將新工具設為磁碟上隱藏的tar檔案,然後透過script解壓縮,並寫入“ /usr/local/lib/systemhealt.so”,然後添加到“‘/etc/ld.so.preload”這樣就實現了預先載入技術,這使攻擊者可以覆蓋某些常用功能。
研究人員補充:“雖然libprocesshider的功能是逃避檢測和其他基本功能,但它可以作為在主機上搜尋惡意活動時要考慮的指標。”
有關TeamTNT新增逃避檢測工具的情資: https://otx.alienvault.com/pulse/5fc7e6165ab5e91b7c87aea3