TeamTNT 強化登入憑證搜刮工具瞄準雲端服務與其他軟體

根據新的證據顯示,TeamTNT 網路犯罪集團又再次強化其登入憑證搜刮工具,納入了多家雲端廠商與非雲端服務。

守護機密資料,是維護系統安全及防範供應鏈攻擊的重要關鍵。網路犯罪集團通常會在資料儲存機制上搜尋機密資料,在已遭駭入的系統上搜刮登入憑證。所以,一些以明碼方式儲存的登入憑證在不經使用者操作的情況下很容易遭到竊取,這樣的情況對 DevOps 軟體來說屢見不鮮,因此也是資安一大風險。

現在,犯罪集團已有能力搜刮雲端服務供應商 (CSP) 的登入憑證,只要他們能夠駭入受害者的系統。例如,TeamTNT 駭客集團就經常攻擊 雲端容器,現在又強化其工具來 竊取雲端登入憑證、搜尋其他環境、從事入侵活動。根據我們最新的研究證據顯示,TeamTNT 已進一步強化其登入憑證搜刮能力並瞄準了各家雲端廠商以及非雲端服務,例如在入侵企業之後搜尋受害者的內部網路與系統。

技術層面分析


fig1_teamtnt-extended-credential-harvester-targets-cloud-other-services
圖 1:TeamTNT 的感染與登入憑證搜刮流程。

TeamTNT 的惡意程式可搜刮某些特定軟體和服務的登入憑證,它會感染一些含有安全漏洞  (如私密金鑰暴露在外或重複使用相同密碼) 的 Linux 系統,此外也會檢查受感染的系統是否存在一些雲端相關檔案。

此外,在該集團的其他攻擊案例中,雲端組態設定錯誤和重複使用的密碼,都是他們駭入受害者系統的方便之門。如往常一樣,該集團會試圖搜刮 Secure Shell (SSH) 與 Server Message Block (SMB) 的登入憑證以便能夠登入其他系統。經由這兩項入侵技巧,他們就能以類似蠕蟲的方式散播惡意檔案。我們已發現好幾個用來執行這類功能的腳本 (好讓惡意檔案能散布至各類系統),我們在之前的一篇文章有詳細介紹過其中一個。

惡意程式會利用搜刮來的登入憑證並透過一個「.netrc」檔案來自動登入系統,接著再根據一份清單來尋找系統上的應用程式組態設定和資料,進入每個連上的系統,將這些資料傳送給幕後操縱 (C&C) 伺服器。


fig2_teamtnt-extended-credential-harvester-targets-cloud-other-services
圖 2:掃描系統上是否有該集團想要蒐集的組態設定。

fig3_teamtnt-extended-credential-harvester-targets-cloud-other-services
圖 3:檢查受感染的系統上是否有某些服務的組態設定檔案。


只要受感染的系統上有任何該集團想要的組態設定檔案,強化版的登入憑證搜刮工具就會將這些服務的組態設定檔案彙整至兩個陣列當中。這個版本的登入憑證搜刮工具與 前一個版本相比,可說是大幅增加了攻擊目標。

fig4_teamtnt-extended-credential-harvester-targets-cloud-other-services
圖 4:將目標服務的組態設定彙整至兩個陣列當中。


TeamTNT 惡意程式主要是要暗中挖礦 (開採 Monero 門羅幣),所以惡意程式會搜尋受感染的系統上是否有門羅幣組態設定檔案,也就不奇怪。惡意程式會看看受害系統上是否有他們能夠使用的門羅幣錢包。

攻擊程序最後,惡意程式會試圖將自己的所有足跡從受感染的系統清除。但根據我們的分析可明顯看出這個動作並沒有做得很徹底。雖然使用「history -c」指令確實可以清除 Bash 指令的歷史記錄,但有些指令還是會繼續執行,所以就會在系統某些地方留下痕跡。


fig5_teamtnt-extended-credential-harvester-targets-cloud-other-services

圖 5:試圖從受感染的系統上清除所有攻擊痕跡。

結論

駭客一旦突破防線進入了企業,就會積極尋找企業內部網路與系統上的合法使用者登入憑證。而且,如果拿到了雲端服務登入憑證,他們就能登入這些由企業付費的合法雲端服務來從事惡意活動。此外,一些版本控管軟體 (如 Git) 的登入憑證萬一遭竊,同樣也會帶來嚴重的資安風險,例如供應鏈攻擊。因為,駭客很可能可以寫入程式碼儲存庫,因此就能暗中篡改原始程式碼而不被發現。

除此之外,以明碼儲存的登入憑證,同樣也是網路犯罪集團的寶藏,尤其可讓他們發動後續攻擊。例如,當駭客搜刮到 FTP 登入憑證之後,就能執行一些傳統的網站攻擊,甚或篡改登入憑證,再向受害機構要求支付一筆贖金來取回控制權或復原資料。漏洞也是同樣的情況,尤其是架設在網際網路上的對外系統若存在著未修補漏洞的話。

要降低 TeamTNT 攻擊與類似威脅的風險,客戶最好使用雲端服務供應商提供的機密保險箱,並落實以下最佳實務原則:

  • 強制實施最低授權原則,並履行共同分擔的資安責任
  • 避免使用預設密碼,改用高強的安全密碼,並確定不同系統環境的資安設定都已根據企業自身的需求而調整。
  • 避免以明碼方式儲存登入憑證,同時盡可能啟用多重認證。
  • 定期更新並修補系統,落實登入憑證的安全與非制式化。定期修補對外系統以確保駭客沒有可利用的資安漏洞。

趨勢科技解決方案

採用專為雲端設計的資安解決方案有助於維護雲端原生系統及各層次的安全,例如趨勢科技 Hybrid Cloud Security 混合雲防護。此防護是以 Trend Micro Cloud One™  這套專為雲端開發人員設計的防護服務平台為基礎,能為持續整合/持續交付 (CI/CD) 流程及應用程式提供自動化防護。此外,也有助於提早發掘及解決資安問題,加速 DevOps 團隊的應用程式交付時程。Trend Micro Cloud One 平台包含以下服務:

入侵指標資料

SHA256偵測
ed40bce040778e2227c869dac59f54c320944e19f77543954f40019e2f2b0c35Trojan.SH.YELLOWDYE.A

原文出處:TeamTNT’s Extended Credential Harvester Targets Cloud Services, Other Software 作者:David Fiser 與 Alfredo Oliveira