近日，天融信諦聽實驗室捕獲到TeamTNT組織挖礦木馬變種樣本。TeamTNT組織最早出現(xiàn)于2019年10月，其主要針對云主機和容器化環(huán)境進行攻擊，擅長入侵目標系統(tǒng)后植入挖礦木馬和僵尸網(wǎng)絡程序，利用目標系統(tǒng)資源進行挖礦并組建僵尸網(wǎng)絡，挖礦幣種主要是門羅幣（XMR）。

數(shù)字加密貨幣又稱為加密貨幣，是一種使用密碼學原理來確保交易安全及控制交易單位創(chuàng)造的交易媒介，其匿名特性被大量的網(wǎng)絡犯罪分子青睞并運用，在通過勒索病毒“高調(diào)斂財”的過程中，要求受害者使用加密貨幣支付贖金。

近年來，隨著全球加密貨幣市值不斷攀升，越來越多的網(wǎng)絡犯罪分子通過“挖礦”木馬“悶聲發(fā)大財”，盜竊他人計算能力進行非法“挖礦”。“挖礦”木馬已是繼勒索病毒后網(wǎng)絡犯罪分子牟利的又一重磅利器，而擁有龐大數(shù)量級的云數(shù)據(jù)中心正成為“挖礦”木馬重要攻擊目標。

本次捕獲到的TeamTNT挖礦變種樣本主體shell腳本長達一千五百多行，兼容多種Linux系統(tǒng)，提供的功能非常完善，例如：禁用阿里云服務、刪除挖礦競爭對手的進程、SSH憑證竊取、下載mscan.so和pscan.so進行端口掃描等。TeamTNT組織專業(yè)水平較高，攻擊威力不容小覷。其開發(fā)的很多工具及代碼極可能被其他網(wǎng)絡犯罪組織使用，例如：臭名昭著的Conti勒索軟件團伙也在使用TeamTNT的Chimaera工具部署Conti勒索軟件。

目前，天融信自適應安全防御系統(tǒng)、EDR、過濾網(wǎng)關系統(tǒng)和僵木蠕監(jiān)測系統(tǒng)等均可精準檢測并查殺該變種挖礦木馬，建議政企等行業(yè)客戶盡快更新系統(tǒng)、及時查缺補漏，有效阻止事件蔓延，而未部署的客戶則可能面臨失陷的風險。

病毒攻擊分析

TeamTNT挖礦變種一旦觸發(fā)運行后，首先會禁用安全機制，停止禁用阿里云服務。

如果已存在挖礦進程，會刪除挖礦競爭對手的進程。

然后從oracle.zzhreceive[.]top下載mscan.so和pscan.so進行端口掃描，有可能繼續(xù)橫向滲透擴散。

通過LOCKFILE變量寫入被base64編碼的挑釁語句，翻譯成中文即“禁止行動！！！TeamTNT在看著你！”。

下載挖礦程序并偽裝為系統(tǒng)虛擬內(nèi)存管理程序的名字：[kswapd0]，實則為xmrig挖礦程序，其中[kswapd0].pid為挖礦程序的配置文件。

本次捕獲TeamTNT挖礦變種最大的不同是shell腳本中使用base64隱藏了壓縮包文件，該壓縮包文件在受害者主機中解壓縮至/var/tmp/.../dia/目錄下，再用解壓出的c語言源文件和頭文件編譯出diamorphine.ko。

diamorphine.ko是一種開源的LKM rootkit，自帶模塊隱藏功能，加載后需使用kill -63 0命令后才能看到，之后通過發(fā)送31信號接口來實現(xiàn)隱藏挖礦程序。

同時也會修改系統(tǒng)的DNS配置文件/etc/resolv.conf，使用Google的公共DNS服務器避免被DNS監(jiān)控工具檢測到。

使用偽裝成Linux內(nèi)核進程bioset的ziggystartux項目（IRC Bot），其主要功能作用是組建僵尸網(wǎng)絡，發(fā)起DDos攻擊、接收C2服務器命令。

使用tmate服務連接失陷主機，曾用賬戶名Hildegard（國外廠商又稱TeamTNT為Hildegard惡意軟件），APIKEY為tmk-4ST6GRXU6GPUjlXHfSlNe0ZaT2。

通過解碼base64釋放/usr/bin/pu文件，該文件實際為punk.py，是一種開源的unix平臺的SSH post-exploitation工具，能夠收集用戶名、ssh 密鑰和已知主機信息。

最終調(diào)用了history -c命令清除命令歷史記錄。

TeamTNT在http://oracle.zzhreceive[.]top服務器目錄下的各組件名字及功能：

錢包地址：

礦池地址：

病毒攻擊防御

針對TeamTNT挖礦木馬變種，可通過以下幾種方式加強防御并進行病毒查殺：

1. 及時修復系統(tǒng)及應用漏洞，降低被TeamTNT通過漏洞入侵的風險。

2. 關閉不必要的端口、服務和進程，降低資產(chǎn)風險暴露面。

3. 通過防火墻添加阻斷規(guī)則，禁止內(nèi)網(wǎng)主機訪問礦池地址。

4. 更改系統(tǒng)及應用使用的默認密碼，配置高強度密碼認證，并定期更新密碼，防止弱口令攻擊。

5. 安裝天融信自適應安全防御系統(tǒng)進行主動防御，可有效預防和查殺該挖礦病毒。

6. 安裝天融信EDR進行主動防御，可有效預防和查殺該挖礦病毒。

7. 已部署天融信過濾網(wǎng)關系統(tǒng)的客戶，可升級至最新病毒庫，防止該木馬通過文件加載進入內(nèi)部網(wǎng)絡。

8. 已部署天融信入侵防御系統(tǒng)的客戶，可升級至最新僵尸主機規(guī)則庫并添加阻斷規(guī)則，防止該挖礦木馬通過文件加載的方式進入內(nèi)部網(wǎng)絡。

9. 已部署天融信入侵檢測系統(tǒng)的客戶，可升級至最新僵尸主機規(guī)則庫并添加告警規(guī)則，聯(lián)動防火墻阻斷內(nèi)網(wǎng)主機訪問礦池地址。

10. 已部署天融信僵尸網(wǎng)絡木馬和蠕蟲監(jiān)測與處置系統(tǒng)的客戶，可升級至最新僵尸主機規(guī)則庫并添加告警規(guī)則，聯(lián)動防火墻阻斷內(nèi)網(wǎng)主機訪問礦池地址。

天融信產(chǎn)品防御配置

天融信自適應安全防御系統(tǒng)防御配置

1. 通過微隔離策略禁止訪問礦池地址；

2. 通過風險發(fā)現(xiàn)功能掃描系統(tǒng)是否存在相關風險，如系統(tǒng)漏洞、中間件漏洞、網(wǎng)站漏洞、弱口令等，降低風險、減少資產(chǎn)暴露；

3. 開啟病毒實時監(jiān)測功能，可有效預防和查殺該挖礦病毒；

4. 設置CPU資源閾值告警策略，定期檢查CPU資源占用較高主機，快速鎖定可疑對象。

目前為期三個月的天融信自適應安全防御系統(tǒng)免費試用活動，已正式開啟！歡迎「點擊試用」

天融信EDR防御配置

1. 通過微隔離策略禁止訪問礦池地址；

2. 通過漏洞掃描是否存在相關漏洞，降低風險；

3. 開啟病毒實時監(jiān)測功能，可有效預防和查殺該挖礦病毒；

4. 開啟系統(tǒng)加固功能，監(jiān)控各類工具執(zhí)行可疑腳本對系統(tǒng)關鍵位置進行篡改，阻斷該病毒感染終

天融信過濾網(wǎng)關系統(tǒng)防御配置

1. 開啟HTTP、FTP、SMTP、POP3、IMAP病毒掃描服務，防止挖礦病毒進入網(wǎng)絡；

2. 快速掃描策略配置掃描任意端口，覆蓋掃描范圍更廣；

3. 內(nèi)容過濾中開啟掃描html文件，防止通過網(wǎng)頁瀏覽感染挖礦病毒；

4. 升級至最新病毒庫。

天融信入侵檢測系統(tǒng)、入侵防御系統(tǒng)、僵尸網(wǎng)絡木馬和蠕蟲監(jiān)測與處置系統(tǒng)具體檢測防御配置

1. 升級最新版本僵尸主機規(guī)則庫；

2. 僵尸主機規(guī)則庫版本號：ngtvd-v2022.04.13.001.tor；

3. 配置啟用僵尸主機策略檢測規(guī)則；

4. 在安全策略的檢測引擎中引用僵尸主機策略；

5. 開啟僵尸主機實時監(jiān)測功能，有效檢測和防護該挖礦病毒。

天融信產(chǎn)品獲取方式

1. 天融信自適應安全防御系統(tǒng)試用：可通過天融信官網(wǎng)獲取（查詢網(wǎng)址：http://www.pandorauk.cn/contact/）

2. 天融信EDR單機版下載地址：http://edr.topsec.com.cn

3. 天融信過濾網(wǎng)關系統(tǒng)、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、僵尸網(wǎng)絡木馬和蠕蟲監(jiān)測與處置系統(tǒng)僵尸主機規(guī)則庫下載地址：ftp://ftp.topsec.com.cn