Linux malware uses open-source tool to evade detection
اكتشف باحثو الأمن لدى AT&T Alien Labs أن مجموعة TeamTNT للجرائم الإلكترونية قامت بترقية تعدين تشفير Linux الخاص بهم مع إمكانات التهرب من الكشف عن المصادر المفتوحة.
يُعرف TeamTNT في الغالب باستهداف حالات Docker المكشوفة عبر الإنترنت وتعدينها غير المصرح به Monero (XMR). ومع ذلك، قامت المجموعة أيضًا بتغيير تكتيكاتها من خلال تحديث برنامج Linux cryptojacking الضار المسمى Black-T لحصاد بيانات اعتماد المستخدم أيضًا من الخوادم المصابة.
قام فريق TeamTNT الآن بترقية البرامج الضارة الخاصة بهم لتفادي الاكتشاف بعد إصابة ونشر حمولات التعدين الخبيثة على أجهزة Linux.
يُعرف TeamTNT في الغالب باستهداف حالات Docker المكشوفة عبر الإنترنت وتعدينها غير المصرح به Monero (XMR). ومع ذلك، قامت المجموعة أيضًا بتغيير تكتيكاتها من خلال تحديث برنامج Linux cryptojacking الضار المسمى Black-T لحصاد بيانات اعتماد المستخدم أيضًا من الخوادم المصابة.
قام فريق TeamTNT الآن بترقية البرامج الضارة الخاصة بهم لتفادي الاكتشاف بعد إصابة ونشر حمولات التعدين الخبيثة على أجهزة Linux.
Hiding in plain sight
يقول Ofer Caspi الباحث الأمني في AT&T Alien Labs في تقرير نُشر اليوم: "تستخدم المجموعة أداة جديدة للتهرب من الكشف، تم نسخها من مستودعات مفتوحة المصدر". تُعرف هذه الأداة باسم libprocesshider وهي أداة مفتوحة المصدر متاحة على Github والتي يمكن استخدامها لإخفاء أي عملية Linux بمساعدة أداة التحميل المسبق ld. وأضاف Caspi: "الهدف من الأداة الجديدة هو إخفاء العملية الخبيثة عن برامج معلومات العمليات مثل ps وlsof، حيث تعمل بشكل فعال كأسلوب للتهرب الدفاعي".
يتم نشر أداة تجنب الكشف على الأنظمة المصابة كبرنامج نصي bash مشفر من نوع base64 مضمن في برنامج TeamTNT ircbot أو برنامج التشفير الثنائي.
بمجرد بدء تشغيل البرنامج النصي على جهاز مخترق، فإنه سينفذ سلسلة من المهام التي تسمح له بما يلي:
- قم بتعديل تكوين DNS للشبكة.
- ضبط المثابرة من خلال systemd.
- قم بإسقاط الأداة الجديدة وتنشيطها كخدمة.
- قم بتنزيل أحدث تكوين لروبوت IRC.
- دليل واضح على الأنشطة التي تعقد تصرفات المدافعين المحتملين.
بعد اتباع جميع الخطوات، ستقوم البرامج الضارة Black-T أيضًا بمسح جميع آثار النشاط الضار تلقائيًا عن طريق حذف سجل bash للنظام. واختتم Caspi قائلاً: "من خلال استخدام libprocesshider، يوسع TeamTNT مرة أخرى قدراته بناءً على الأدوات مفتوحة المصدر المتاحة".
"بينما تتمثل الوظيفة الجديدة لـ libprocesshider في تجنب الاكتشاف والوظائف الأساسية الأخرى، إلا أنها تعمل كمؤشر يجب مراعاته عند البحث عن نشاط ضار على مستوى المضيف".
- قم بتعديل تكوين DNS للشبكة.
- ضبط المثابرة من خلال systemd.
- قم بإسقاط الأداة الجديدة وتنشيطها كخدمة.
- قم بتنزيل أحدث تكوين لروبوت IRC.
- دليل واضح على الأنشطة التي تعقد تصرفات المدافعين المحتملين.
بعد اتباع جميع الخطوات، ستقوم البرامج الضارة Black-T أيضًا بمسح جميع آثار النشاط الضار تلقائيًا عن طريق حذف سجل bash للنظام. واختتم Caspi قائلاً: "من خلال استخدام libprocesshider، يوسع TeamTNT مرة أخرى قدراته بناءً على الأدوات مفتوحة المصدر المتاحة".
"بينما تتمثل الوظيفة الجديدة لـ libprocesshider في تجنب الاكتشاف والوظائف الأساسية الأخرى، إلا أنها تعمل كمؤشر يجب مراعاته عند البحث عن نشاط ضار على مستوى المضيف".
Botnet upgrades
تم رصد الروبوتات الخاصة بالتعدين المشفر لأول مرة في مايو 2020 بواسطة MalwareHunterTeam ثم تم تحليلها لاحقًا بواسطة Trend Micro الذي اكتشف تقارب استهداف Docker. بعد أن يصيب البرنامج الضار خادمًا تمت تهيئته بشكل خاطئ، فإنه سينشر نفسه في حاويات جديدة ويسقط ثنائي حمولة ضارة يبدأ في التنقيب عن العملة المشفرة Monero (XMR).
في أغسطس، اكتشف Cado Security ميزة تجميع بيانات اعتماد AWS الجديدة من TeamTNT worm، مما يجعله أول روبوت cryptojacking بهذه الإمكانية.
بعد شهر واحد، لاحظت Intezer البرنامج الضار أثناء نشر أداة Weave Scope مفتوحة المصدر الشرعية للتحكم في Docker أو Kubernetes أو نظام التشغيل السحابي الموزع (DC / OS) أو AWS Elastic Compute Cloud (ECS). .
في وقت سابق من هذا الشهر، بدأ TeamTNT في استخدام أداة تشفير Ezuri مفتوحة المصدر ومحمل الذاكرة لجعل البرامج الضارة الخاصة بهم غير قابلة للكشف تقريبًا بواسطة منتجات مكافحة الفيروسات.
