克日，，，，，，3377体育网官网入口谛听实验室捕获到TeamTNT组织挖矿木马变种样本。。。。。。。。TeamTNT组织最早泛起于2019年10月，，，，，，其主要针对云主机和容器化情形举行攻击，，，，，，善于入侵目的系统后植入挖矿木马和僵尸网络程序，，，，，，使用目的系统资源举行挖矿并组建僵尸网络，，，，，，挖矿币种主要是门罗币（XMR）。。。。。。。。

数字加密钱币又称为加密钱币，，，，，，是一种使用密码学原理来确保生意清静及控制生意单位创造的生意前言，，，，，，其匿名特征被大宗的网络犯法分子青睐并运用，，，，，，在通过勒索病毒“高调敛财”的历程中，，，，，，要求受害者使用加密钱币支付赎金。。。。。。。。

近年来，，，，，，随着全球加密钱币市值一直攀升，，，，，，越来越多的网络犯法分子通过“挖矿”木马“闷声发大财”，，，，，，偷窃他人盘算能力举行不法“挖矿”。。。。。。。。“挖矿”木马已是继勒索病毒后网络犯法分子牟利的又一重磅利器，，，，，，而拥有重大数目级的云数据中心正成为“挖矿”木马主要攻击目的。。。。。。。。

本次捕获到的TeamTNT挖矿变种样本主体shell剧本长达一千五百多行，，，，，，兼容多种Linux系统，，，，，，提供的功效很是完善，，，，，，例如：禁用阿里云服务、删除挖矿竞争敌手的历程、SSH凭证窃取、下载mscan.so和pscan.so举行端口扫描等。。。。。。。。TeamTNT组织专业水平较高，，，，，，攻击威力禁止小觑。。。。。。。。其开发的许多工具及代码极可能被其他网络犯法组织使用，，，，，，例如：污名昭著的Conti勒索软件团伙也在使用TeamTNT的Chimaera工具安排Conti勒索软件。。。。。。。。

现在，，，，，，3377体育网官网入口自顺应清静防御系统、EDR、过滤网关系统和僵木蠕监测系统等均可精准检测并查杀该变种挖矿木马，，，，，，建议政企等行业客户尽快更新系统、实时查缺补漏，，，，，，有用阻止事务伸张，，，，，，而未安排的客户则可能面临失陷的危害。。。。。。。。

病毒攻击剖析

TeamTNT挖矿变种一旦触发运行后，，，，，，首先会禁用清静机制，，，，，，阻止禁用阿里云服务。。。。。。。。

若是已保存挖矿历程，，，，，，会删除挖矿竞争敌手的历程。。。。。。。。

然后从oracle.zzhreceive[.]top下载mscan.so和pscan.so举行端口扫描，，，，，，有可能继续横向渗透扩散。。。。。。。。

通过LOCKFILE变量写入被base64编码的寻衅语句，，，，，，翻译成中文即“榨取行动！。。。。。。。。。。。。。。。eamTNT在看着你！”。。。。。。。。

下载挖矿程序并伪装为系统虚拟内存治理程序的名字：[kswapd0]，，，，，，实则为xmrig挖矿程序，，，，，，其中[kswapd0].pid为挖矿程序的设置文件。。。。。。。。

本次捕获TeamTNT挖矿变种最大的差别是shell剧本中使用base64隐藏了压缩包文件，，，，，，该压缩包文件在受害者主机中解压缩至/var/tmp/.../dia/目录下，，，，，，再用解压出的c语言源文件和头文件编译出diamorphine.ko。。。。。。。。

diamorphine.ko是一种开源的LKM rootkit，，，，，，自带？？？？？橐藏功效，，，，，，加载后需使用kill -63 0下令后才华看到，，，，，，之后通过发送31信号接口来实现隐藏挖矿程序。。。。。。。。

同时也会修改系统的DNS设置文件/etc/resolv.conf，，，，，，使用Google的公共DNS服务器阻止被DNS监控工具检测到。。。。。。。。

使用伪装成Linux内核历程bioset的ziggystartux项目（IRC Bot），，，，，，其主要功效作用是组建僵尸网络，，，，，，提倡DDos攻击、吸收C2服务器下令。。。。。。。。

使用tmate服务毗连失陷主机，，，，，，曾用账户名Hildegard（外洋厂商又称TeamTNT为Hildegard恶意软件），，，，，，APIKEY为tmk-4ST6GRXU6GPUjlXHfSlNe0ZaT2。。。。。。。。

通过解码base64释放/usr/bin/pu文件，，，，，，该文件现实为punk.py，，，，，，是一种开源的unix平台的SSH post-exploitation工具，，，，，，能够网络用户名、ssh 密钥和已知主机信息。。。。。。。。

最终挪用了history -c下令扫除下令历史纪录。。。。。。。。

TeamTNT在http://oracle.zzhreceive[.]top服务器目录下的各组件名字及功效：

钱包地点：

矿池地点：

病毒攻击防御

针对TeamTNT挖矿木马变种，，，，，，可通过以下几种方法增强防御并举行病毒查杀：

1. 实时修复系统及应用误差，，，，，，降低被TeamTNT通过误差入侵的危害。。。。。。。。

2. 关闭不须要的端口、服务和历程，，，，，，降低资产危害袒露面。。。。。。。。

3. 通过防火墙添加阻断规则，，，，，，榨取内网主时机见矿池地点。。。。。。。。

4. 更改系统及应用使用的默认密码，，，，，，设置高强度密码认证，，，，，，并按期更新密码，，，，，，避免弱口令攻击。。。。。。。。

5. 装置3377体育网官网入口自顺应清静防御系统举行自动防御，，，，，，可有用预防和查杀该挖矿病毒。。。。。。。。

6. 装置3377体育网官网入口EDR举行自动防御，，，，，，可有用预防和查杀该挖矿病毒。。。。。。。。

7. 已安排3377体育网官网入口过滤网关系统的客户，，，，，，可升级至最新病毒库，，，，，，避免该木马通过文件加载进入内部网络。。。。。。。。

8. 已安排3377体育网官网入口入侵防御系统的客户，，，，，，可升级至最新僵尸主机规则库并添加阻断规则，，，，，，避免该挖矿木马通过文件加载的方法进入内部网络。。。。。。。。

9. 已安排3377体育网官网入口入侵检测系统的客户，，，，，，可升级至最新僵尸主机规则库并添加告警规则，，，，，，联动防火墙阻断内网主时机见矿池地点。。。。。。。。

10. 已安排3377体育网官网入口僵尸网络木马和蠕虫监测与处置惩罚系统的客户，，，，，，可升级至最新僵尸主机规则库并添加告警规则，，，，，，联动防火墙阻断内网主时机见矿池地点。。。。。。。。

3377体育网官网入口产品防御设置

3377体育网官网入口自顺应清静防御系统防御设置

1. 通过微隔离战略榨取会见矿池地点；；；；；；；；

2. 通过危害发明功效扫描系统是否保存相关危害，，，，，，如系统误差、中心件误差、网站误差、弱口令等，，，，，，降低危害、镌汰资产袒露；；；；；；；；

3. 开启病毒实时监测功效，，，，，，可有用预防和查杀该挖矿病毒；；；；；；；；

4. 设置CPU资源阈值告警战略，，，，，，按期检查CPU资源占用较高主机，，，，，，快速锁定可疑工具。。。。。。。。

现在为期三个月的3377体育网官网入口自顺应清静防御系统免费试用运动，，，，，，已正式开启！欢迎「点击试用」

3377体育网官网入口EDR防御设置

1. 通过微隔离战略榨取会见矿池地点；；；；；；；；

2. 通过误差扫描是否保存相关误差，，，，，，降低危害；；；；；；；；

3. 开启病毒实时监测功效，，，，，，可有用预防和查杀该挖矿病毒；；；；；；；；

4. 开启系统加固功效，，，，，，监控种种工具执行可疑剧本对系统要害位置举行改动，，，，，，阻断该病毒熏染终

3377体育网官网入口过滤网关系统防御设置

1. 开启HTTP、FTP、SMTP、POP3、IMAP病毒扫描服务，，，，，，避免挖矿病毒进入网络；；；；；；；；

2. 快速扫描战略设置扫描恣意端口，，，，，，笼罩扫描规模更广；；；；；；；；

3. 内容过滤中开启扫描html文件，，，，，，避免通过网页浏览熏染挖矿病毒；；；；；；；；

4. 升级至最新病毒库。。。。。。。。

3377体育网官网入口入侵检测系统、入侵防御系统、僵尸网络木马和蠕虫监测与处置惩罚系统详细检测防御设置

1. 升级最新版本僵尸主机规则库；；；；；；；；

2. 僵尸主机规则库版本号：ngtvd-v2022.04.13.001.tor；；；；；；；；

3. 设置启用僵尸主机战略检测规则；；；；；；；；

4. 在清静战略的检测引擎中引用僵尸主机战略；；；；；；；；

5. 开启僵尸主机实时监测功效，，，，，，有用检测和防护该挖矿病毒。。。。。。。。

3377体育网官网入口产品获取方法

1. 3377体育网官网入口自顺应清静防御系统试用：可通过3377体育网官网入口官网获取。。。。。。。ㄅ涛释罚篽ttp://www.topsec.com.cn/contact/）

2. 3377体育网官网入口EDR单机版下载地点：http://edr.topsec.com.cn

3. 3377体育网官网入口过滤网关系统、入侵检测系统、入侵防御系统、僵尸网络木马和蠕虫监测与处置惩罚系统僵尸主机规则库下载地点：ftp://ftp.topsec.com.cn