【安全资讯】TeamTNT使用窃取的Docker Hub帐户部署挖矿程序

猎影实验室 2021-11-10 06:30:07 636人浏览

引言

2021年10月,研究人员发现了针对服务器暴露的Docker REST API的攻击活动。活动中还发现了一些Docker Hub注册表帐户,这些账户被用来托管恶意图像,可能被盗用或属于TeamTNT组织,并且是滥用 Docker REST API 的僵尸网络和恶意软件活动的活跃组成部分。

 

简况

对易受攻击的 Docker 服务器的攻击流程如下图:

Docker镜像中包含一个名为“pause”的恶意脚本,该脚本会在新容器生成时运行。INIT_MAIN 创建一个无限循环并发送 GET 请求,还接收一个数字响应,稍后在“pwn”函数中用作提供的参数。如果 curl 尝试失败,则会生成 1 到 255 之间的随机数并将其分配给 $RANGE 变量。

 

代码查看以下属性以确定当前正在扫描的服务器是否为 Docker 群管理器:

  • OSType:描述服务器的操作系统
  • Repository:设置Container Registry
  • 架构:服务器架构
  • Swarm:当前的集群参与状态
  • CPUs:服务器的CPU核数

 

为了获得有关错误配置服务器的更多详细信息,如正常运行时间和可用总内存,攻击者还通过执行以下操作使用 docker-cli 启动容器:

  • 设置“--privileged”标志
  • 使用底层主机的网络命名空间“--net=host”
  • 在容器路径“/host”挂载底层主机的根文件系统

 

Monero 矿工脚本从 TeamTNT 的服务器下载,根据正在执行的脚本和用于交付 coinminers 的工具,研究人员得出以下结论,将这次攻击与 TeamTNT 联系起来:

  • “alpineos”是 TeamTNT 积极使用的主要 Docker Hub 帐户之一
  • 被 TeamTNT 控制的受感染 Docker Hub 帐户被用于传播挖矿恶意软件。

总结

暴露的 Docker API 已成为攻击者的普遍目标,这些 API 允许攻击者在目标主机上以 root 权限执行自己的恶意代码。

失陷指标(IOC)5
TeamTNT 挖矿 其他
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。