溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章主要介紹“惡意shell腳本竊取AWS、Docker憑證分析”,在日常操作中,相信很多人在惡意shell腳本竊取AWS、Docker憑證分析問題上存在疑惑,小編查閱了各式資料,整理出簡單好用的操作方法,希望對大家解答”惡意shell腳本竊取AWS、Docker憑證分析”的疑惑有所幫助!接下來,請跟著小編一起來學習吧!
研究人員近期發現一起利用shell腳本來執行惡意活動的攻擊活動。基于之前的攻擊活動,這些惡意腳本主要是用來部署加密貨幣挖礦機。但是最近的攻擊活動中,除了用于加密貨幣挖礦機下載器外,還有其他的目的。從樣本中使用的C2 URL、字符串、加密密鑰、語言,研究人員推斷出最新的攻擊活動來自于TeamTNT。
該惡意shell 腳本是用bash語言開發的。與類似的攻擊活動相比,樣本中代碼風格很好,是根據描述性的函數名來組織的:
圖 1. 表明函數功能的代碼段
Shell腳本調用的第一個函數是用于準備環境,確保下一階段所需的資源、攻擊、計算機電量等。此外,還會檢查安全解決方案的存在。
Shell腳本還會下載一些用于下一步攻擊的灰色工具。這些工具會進行網絡掃描和映射,用于檢索和映射有漏洞的容器API。
環境設置好之后,shell腳本會檢索敏感信息、獲取這些信息的副本,然后上傳到C2服務器。
圖 2. 竊取AWS憑證的代碼段
在之前發現的竊取AWS憑證的樣本中,只會檢查是否存在機密性文件,并上傳。在新樣本中,開發者新加入了2個路徑。一個是請求AWS 元數據服務,并嘗試從中獲取憑證。另一個是檢查AWS憑證的環境變量,如果存在,就上傳到C2服務器。此外,新樣本不僅僅竊取AWS憑證,還會竊取Docker API憑證。
圖 3. 竊取Docker API憑證的代碼段
在竊取憑證和部署加密貨幣挖礦機中間,腳本還還釋放另一個base64編碼的樣本。這是為了在系統上創建sudo權限的用戶,并使用SSH-RSA密鑰來確保可以連接到受感染的機器并維持訪問。
圖 4. 表明用戶創建的代碼段
然后下載、部署和執行加密貨幣挖礦機。該攻擊活動中最近加入的最后一步是部署反向shell。
截止目前,該攻擊活動主要攻擊容器平臺。最近創建的患有惡意樣本的容器鏡像下載量已經超過2000。
圖 5. 含有惡意樣本的容器鏡像截圖
到此,關于“惡意shell腳本竊取AWS、Docker憑證分析”的學習就結束了,希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習,快去試試吧!若想繼續學習更多相關知識,請繼續關注億速云網站,小編會繼續努力為大家帶來更多實用的文章!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
