近日,有研究人员发现,TeamTNT 黑客组织在其武器库中增加了一种新工具libProcesshider,帮助其挖矿恶意软件绕过杀毒软件。
这个TeamTNT网络犯罪集团以云攻击而闻名,攻击目标包括AmazonWebServices(AWS)、Docker和Kubernetes云。目的是入侵云并用它来挖矿(主要是门罗币)。
新工具libprocesshider是从Github开源存储库复制的,可使用ld预加载器在Linux下隐藏进程。
该工具实现了函数readdir(),“ps”等进程使用该函数读取/proc目录以查找正在运行的进程,并在找到的进程与需要隐藏的进程之间进行匹配时修改返回值。新工具通过隐藏在Base 64编码脚本中传播,这个脚本通常被嵌入在TeamTNT密码器二进制文件或者Relay Chat(IRC,被称为TNTbotinger聊天机器人,该机器人能够进行DDoS攻击)中。
在下载base 64编码脚本后,它会运行多个任务。这包括修改网络DNS配置、设置持久性(通过systemd)、下载最新的IRC BOT配置、清除活动的证据以及删除和激活libProcesshider。
新工具首先作为隐藏的tar文件放在磁盘上,脚本对其进行解压缩,将其写到‘/usr/local/lib/systemh-t.so’,然后通过‘/etc/ld.so.preload’添加预加载。
预加载允许系统在加载其他系统库之前加载自定义共享库。如果自定义共享库导出的函数具有系统库中的相同签名,则自定义版本将覆盖该函数。
LibProcesshider的目标是对进程信息程序(如“ps”和“lsoft”)隐藏恶意进程。
这两种都是使用文件‘/usr/bin/sbin的进程查看器工具。‘ps’程序(“ProcessStatus”的缩写)显示当前许多类Unix操作系统中正在运行的进程;同时,‘lsof’是一个命令(“列表打开文件”的缩写),它也用于类似Unix的操作系统中,顾名思义,报告所有打开的文件和打开它们的进程的列表。将进程隐藏在这两个进程查看器工具中将使攻击者能够掩盖其恶意活动。
最后一步,恶意软件将通过删除bash历史记录来删除跟踪。
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458380711&idx=2&sn=48e8ff7946126ae32e67db94ccca8b2f&chksm=b180d92d86f7503bf998f3fb75ac4c47beddede3ee0c4528c27df208c7c8ef2d1b98e3ca08e3&mpshare=1&scene=24&srcid=0128EdSnC8aQd2NDF1JRprSJ&sharer_sharetime=1611828071096&sharer_shareid=5191b3dcb328f693d5261ba6bca8d267#rd
如有侵权请联系:admin#unsafe.sh