BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース 最新のTeamTNT IRCボットがAWSとDockerの認証情報を盗み取る

最新のTeamTNT IRCボットがAWSとDockerの認証情報を盗み取る

原文(投稿日:2021/02/01)へのリンク

過去数か月にわたって、サイバー犯罪グループTeamTNTのインターネットリレーチャット(IRC)ボットは、暗号マイニング向けのリソース盗難以外にも、機能を拡張してきた。Docker API、Amazon Web Service、セキュアシェル(SSH)資格情報の盗難も対象とするためである。

Cado Securityの研究者は、侵入後の振る舞いについて、最近の多くの変更について概説している。ボットネットスクリプトは、ファイルとAWSメタデータURLの両方から、AWS IAMロールからの認証情報を盗むことができるようになった。これにより、特権情報が晒されることになる。

12月、TrendMicroのチームは、進行中のTeamTNT攻撃のペイロードを分析し、更新されたコードに、作成者が「TNTbotinger」と名付けたIRCボットが含まれていることを共有した。Laceworkチームによるさらなる分析により、TNTbotingerが、Kaitenの変種である「Ziggy StarTux」として知られるマルウェアであることが示された。このスクリプトは、8月にMalwarehunterteam(削除された元のツイート)によって最初に報告された。そして、2020年4月からアクティブになっているようで、多くのDockerおよびKubernetesシステムが危険にさらされている。

悪意のあるスクリプトには追加機能が備わっている。マイニング操作に十分なリソースが環境にあることを確認し、操作を隠し、将来のリモート接続のためにバックドアを残すためのものである。

これらの技術的な更新に加えて、TeamTNTはスクリプトに埋め込まれた商標ロゴを更新し、新しい変種を「Borg」と呼んだ。そして、その使用をボットネットとして公然と軽視した

Borgはボットネットではないです。拡散スクリプトのテストにすぎなかったのです。30分以内に4000のボット。悪いカットではありません。ircサーバは4000を少し超えて休暇に入ったのです。XD。拡散スクリプトはkubernetesサーバを使っており、Dockerガトリングガンに相当するものです。

(TeamTNTのオリジナルのドイツ語のツイートから翻訳)

攻撃を開始する悪意のあるシェルスクリプトは自己伝播する。以前は、攻撃の主なペイロードは、暗号通貨マイニングに使用されるXMRigツールであった。これは、資格情報の盗難を含む形で詳しく説明されている。 IRCボットは、分散型サービス拒否(DDoS)攻撃の能力もある。

最新の悪意のあるスクリプトに埋め込まれたTeamTNTロゴ(クレジットCado

攻撃するためのアクセスできるようになると、アクセス可能なプライベートネットワーク上の他のセグメントの脆弱なインスタンスを特定し、リモートコード実行(RCE)ができる。これには、パブリックネットワークから保護されていると考えられているインフラストラクチャが対象となる場合がある。

拡散スクリプトは、_ip route_コマンドの出力に基づいて、さらにアクセス可能なネットワークを探すことによって機能する。_pnscan_ツールは、ネットワーク上ですでに見つかっているキーを使用して認証を試みる前に、ネットワーク上でアクティブなSSHサービスを見つける。次に、同じペイロードを新しいデバイスに展開し、攻撃を広げる。

クラウドとコンテナの攻撃に伴い、複数のオープンソースツールが広がってきている。Tmateは、攻撃者がアクセスを維持できるようにする端末を共有するためのアプリケーションである。ブレイクアウトザボックス(BOtB)は侵入テストツールである。PeiratesはKubernetes用の侵入テストツールである。Cadoチームは、BOtBの呼び出しに使用されるパラメーターを基づいて、スクリプトがGoogle Cloud Platformシステムもターゲットにしていると評価している。

BOtBツールにより、攻撃機能が強化される。BOtBツールは環境内の、Kubernetesアカウントシークレット、Dockerデーモン、AWS/GCPエンドポイントからの機密メタデータ、オープンUNIXソケット、Linuxカーネルキーリングからのデータ、機密文字列を検索して識別できる。それによって、カスタムペイロードを使用したホストバイナリのハイジャックが可能となる。そして、CI|CDモードでアクションを実行でき、公開されているDockerデーモンを介してコンテナをブレークアウトできるようになる。

組織は、よく知られている次の手法でこれを防ぐことができる。パッケージ/イメージのホワイトリストとバージョンのハードコーディング。デバイスの継続的な監視と監査。実行可能な範囲での最小の権限付与。責任分担モデルの順守。システムの防御が確実に更新されるように、システムへの継続的なパッチ適用と更新。組織のパスワード管理手法が堅牢であることの確認。

TeamTNTは、さまざまな攻撃ベクトルの実験を続けている。TeamTNTは、9月に、WeaveworksのWeave Scopeと呼ばれる視覚化・監視ツールを介した認証されていないAPIアクセスを活用した。このツールは、デフォルトではAPI認証を実行しないものである。

TrendMicroチームは、DockerHubイメージに埋め込まれたTNTbotinger攻撃とBorg攻撃に対応するコードも見つけた。このコードはTeamTNTにリンクされている。InfoQは、Docker Hubでホストされている悪意あるイメージの高度な進化を確認した。それは、同グループで使用されている代替の攻撃ベクトルである。

この記事に星をつける

おすすめ度
スタイル

BT