我欲封天耳根小说,大主宰之灵路天蚕土豆,辰东

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

惡意shell腳本竊取AWS、Docker憑證

研究人員近期發(fā)現(xiàn)一起利用shell腳本來執(zhí)行惡意活動的攻擊活動?；谥暗墓艋顒?，這些惡意腳本主要是用來部署加密貨幣挖礦機。但是最近的攻擊活動中，除了用于加密貨幣挖礦機下載器外，還有其他的目的。從樣本中使用的C2 URL、字符串、加密密鑰、語言，研究人員推斷出最新的攻擊活動來自于TeamTNT。

該惡意shell 腳本是用bash語言開發(fā)的。與類似的攻擊活動相比，樣本中代碼風(fēng)格很好，是根據(jù)描述性的函數(shù)名來組織的：

圖 1. 表明函數(shù)功能的代碼段

Shell腳本調(diào)用的第一個函數(shù)是用于準(zhǔn)備環(huán)境，確保下一階段所需的資源、攻擊、計算機電量等。此外，還會檢查安全解決方案的存在。

Shell腳本還會下載一些用于下一步攻擊的灰色工具。這些工具會進行網(wǎng)絡(luò)掃描和映射，用于檢索和映射有漏洞的容器API。

環(huán)境設(shè)置好之后，shell腳本會檢索敏感信息、獲取這些信息的副本，然后上傳到C2服務(wù)器。

圖 2. 竊取AWS憑證的代碼段

在之前發(fā)現(xiàn)的竊取AWS憑證的樣本中，只會檢查是否存在機密性文件，并上傳。在新樣本中，開發(fā)者新加入了2個路徑。一個是請求AWS 元數(shù)據(jù)服務(wù)，并嘗試從中獲取憑證。另一個是檢查AWS憑證的環(huán)境變量，如果存在，就上傳到C2服務(wù)器。此外，新樣本不僅僅竊取AWS憑證，還會竊取Docker API憑證。

圖 3. 竊取Docker API憑證的代碼段

在竊取憑證和部署加密貨幣挖礦機中間，腳本還還釋放另一個base64編碼的樣本。這是為了在系統(tǒng)上創(chuàng)建sudo權(quán)限的用戶，并使用SSH-RSA密鑰來確?？梢赃B接到受感染的機器并維持訪問。

圖 4. 表明用戶創(chuàng)建的代碼段

然后下載、部署和執(zhí)行加密貨幣挖礦機。該攻擊活動中最近加入的最后一步是部署反向shell。

截止目前，該攻擊活動主要攻擊容器平臺。最近創(chuàng)建的患有惡意樣本的容器鏡像下載量已經(jīng)超過2000。

圖 5. 含有惡意樣本的容器鏡像截圖

總結(jié)

隨著加密貨幣惡意如那件變種的數(shù)量快速增長，部署挖礦攻擊的攻擊者已經(jīng)不局限于進行加密貨幣挖礦。目前，惡意腳本不僅用來竊取憑證這樣的敏感信息，還有其他的功能，比如準(zhǔn)備環(huán)境來確保有足夠的資源來進行挖礦，而且還可以靜默進行來確保盡可能長時間的挖礦，此外，還會留下后門以被日后遠程連接到目標(biāo)。由于攻擊開始關(guān)注Docker憑證，使用API認證已經(jīng)不足以確保安全。系統(tǒng)管理員來確保此類API不會暴露，而且只讓需要訪問的用戶訪問。

新聞標(biāo)題：惡意shell腳本竊取AWS、Docker憑證
新聞來源：http://fisionsoft.com.cn/article/dpihdpd.html

新聞中心

其他資訊