研究人員近期發(fā)現(xiàn)一個可以竊取AWS憑證的加密貨幣蠕蟲。這是首個含有AWS特定功能的蠕蟲，該蠕蟲可以竊取本地憑證、掃描錯誤配置的Docker平臺的網(wǎng)絡(luò)。研究人員發(fā)現(xiàn)黑客組織TeamTNT已經(jīng)成功入侵了大量的Docker和Kubernetes 系統(tǒng)。

隨著越來越多的企業(yè)和組織將計算資源遷移到云和容器環(huán)境中，未來此類攻擊將越來越多。

圖 1： TeamTNT蠕蟲首次運行時在屏幕上打印的消息

AWS憑證竊取

AWS CLI將憑證保存以未加密文件的形式保存在~/.aws/credentials，其他的配置信息保存在名為~/.aws/config 的文件中。

竊取AWS憑證的代碼非常直接，執(zhí)行后會上傳默認的AWS .credentials（憑證）和 .config（配置）文件到攻擊者的服務(wù)器——sayhi.bplace［。］net：

圖 2： 從受害者系統(tǒng)中竊取AWS憑證的代碼

攻擊者用Curl來發(fā)送AWS憑證到TeamTNT 的服務(wù)器，服務(wù)器會響應(yīng)消息“THX”：

圖 3： 竊取的AWS憑證生成的網(wǎng)絡(luò)流量

研究人員發(fā)送CanaryTokens.org創(chuàng)建的憑證到TeamTNT 服務(wù)器，但沒有使用過。這表明TeamTNT 手動評估或使用該憑證，或之前創(chuàng)建的自動化工具無法正常工作。

傳播

大多數(shù)的加密貨幣挖礦蠕蟲都是直接復(fù)制和粘貼其他蠕蟲的代碼并進行修改。TeamTNT 的蠕蟲中也含有來自Kinsing 蠕蟲的代碼，目的是停止阿里云安全工具：

圖 4： 阻止阿里云安全工具運行的代碼

未來，將可能會有更多的蠕蟲會復(fù)制竊取AWS 憑證文件的能力。

Docker

蠕蟲中還含有用masscan 掃描開放的Docker API的代碼，然后在新容器中安裝自己：

圖 5： 掃描開放的Docker API，然后安裝蠕蟲到新容器中

漏洞利用

該蠕蟲部署了XMRig 加密貨幣挖礦工具來挖門羅幣，以此為攻擊者賺錢。其中一個礦池提供了蠕蟲黑掉的系統(tǒng)的詳細情況：

圖 6： Monero Ocean 礦池中門羅幣錢包的數(shù)據(jù)

該頁面一共有119個被黑的系統(tǒng)，其中包括Kubernetes 集群和Jenkins Build 服務(wù)器。

截止目前，研究人員共發(fā)現(xiàn)2個與該攻擊相關(guān)的門羅幣地址，共為TeamTNT 賺取了3門羅幣，價值約300美元，但這只是其中一起攻擊活動。

該蠕蟲還部署了大量的惡意軟件：

punk.py – SSH 利用工具

日志清除工具

Diamorphine Rootkit

Tsunami IRC 后門

TeamTNT

蠕蟲中大量引用了TeamTNT，并且使用的域名也是teamtnt［。］red。該域名上保存著惡意軟件，主頁TeamTNT RedTeamPentesting 是對公開惡意軟件沙箱的引用：

圖 7： teamtnt［。］red主頁

結(jié)論

這些攻擊其實并不復(fù)雜，有許多部署加密貨幣挖礦蠕蟲的黑客組織已經(jīng)成功感染了大量的商業(yè)系統(tǒng)。研究人員給出了如下建議：

了解哪些系統(tǒng)保存了AWS憑證文件，如果不需要那么就刪除。事實上，許多生產(chǎn)系統(tǒng)中都意外保留了開發(fā)階段的憑證。

使用防火墻規(guī)則來限制對Docker API的訪問。研究人員強烈建議在設(shè)置防火墻時使用白名單方法。

檢查所有到礦池的連接的網(wǎng)絡(luò)流量，或使用Stratum挖礦工具。

檢查通過HTTP 發(fā)送AWS 憑證文件的所有連接。