USDT官网

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

研究人员近期发现一起行使shell脚原本执行恶意流动的攻击流动。基于之前的攻击流动,这些恶意剧本主要是用来部署加密钱币挖矿机。然则最近的攻击流动中,除了用于加密钱币挖矿机下载器外,另有其他的目的。从样本中使用的C2 URL、字符串、加密密钥、语言,研究人员推断出最新的攻击流动来自于TeamTNT。

该恶意shell 剧本是用bash语言开发的。与类似的攻击流动相比,样本中代码气概很好,是凭据描述性的函数名来组织的:

图 1. 解释函数功效的代码段

Shell剧本挪用的第一个函数是用于准备环境,确保下一阶段所需的资源、攻击、计算机电量等。此外,还会检查平安解决方案的存在。

Shell剧本还会下载一些用于下一步攻击的灰色工具。这些工具会举行 *** 扫描和映射,用于检索和映射有破绽的容器API。

环境设置好之后,shell剧本会检索敏感信息、获取这些信息的副本,然后上传到C2服务器。 

图 2.  窃取AWS凭证的代码段

在之前发现的窃取AWS凭证的样本中,只会检查是否存在机密性文件,并上传。在新样本中,开发者新加入了2个路径。一个是请求AWS 元数据服务,并实验从中获取凭证。另一个是检查AWS凭证的环境变量,若是存在,就上传到C2服务器。此外,新样本不仅仅窃取AWS凭证,还会窃取Docker API凭证。

,

Usdt第三方支付接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

图 3. 窃取Docker API凭证的代码段

在窃取凭证和部署加密钱币挖矿机中心,剧本还还释放另一个base64编码的样本。这是为了在系统上建立sudo权限的用户,并使用SSH-RSA密钥来确保可以连接到受熏染的机械并维持接见。

图 4. 解释用户建立的代码段

然后下载、部署和执行加密钱币挖矿机。该攻击流动中最近加入的最后一步是部署反向shell。

停止现在,该攻击流动主要攻击容器平台。最近建立的患有恶意样本的容器镜像下载量已经跨越2000。

图 5. 含有恶意样本的容器镜像截图

总结

随着加密钱币恶意如那件变种的数目快速增长,部署挖矿攻击的攻击者已经不局限于举行加密钱币挖矿。现在,恶意剧本不仅用来窃取凭证这样的敏感信息,另有其他的功效,好比准备环境来确保有足够的资源来举行挖矿,而且还可以静默举行来确保尽可能长时间的挖矿,此外,还会留下后门以被日后远程连接到目的。由于攻击更先关注Docker凭证,使用API认证已经不足以确保平安。系统管理员来确保此类API不会露出,而且只让需要接见的用户接见。

本文翻译自:https://www.trendmicro.com/en_us/research/21/a/malicious-shell-script-steals-aws-docker-credentials.html: Allbet Gaming声明:该文看法仅代表作者自己,与www.allbetgame.us无关。转载请注明:usdt无需实名买入卖出(www.caibao.it):恶意shell剧本窃取AWS、Docker凭证
发布评论

分享到:

apple developer enterprise account for rent:第7号汛情通告!长江干流汇口站超警戒水位2.42米
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。