TeamTNT±äÖÖÍÚ¿óľÂíÔÙ»îÔ¾£¡BevictorΰµÂ¡°ÔÆ+±ß+¶Ë¡±¾«×¼·ÀÓù
¿ËÈÕ£¬BevictorΰµÂÚÐÌýʵÑéÊÒ²¶»ñµ½TeamTNT×éÖ¯ÍÚ¿óľÂí±äÖÖÑù±¾¡£TeamTNT×éÖ¯×îÔç·ºÆðÓÚ2019Äê10Ô£¬ÆäÖ÷ÒªÕë¶ÔÔÆÖ÷»úºÍÈÝÆ÷»¯ÇéÐξÙÐй¥»÷£¬ÉÆÓÚÈëÇÖÄ¿µÄϵͳºóÖ²ÈëÍÚ¿óľÂíºÍ½©Ê¬ÍøÂç³ÌÐò£¬Ê¹ÓÃÄ¿µÄϵͳ×ÊÔ´¾ÙÐÐÍÚ¿ó²¢×齨½©Ê¬ÍøÂ磬ÍÚ¿ó±ÒÖÖÖ÷ÒªÊÇÃÅÂÞ±Ò£¨XMR£©¡£
Êý×Ö¼ÓÃÜÇ®±ÒÓÖ³ÆÎª¼ÓÃÜÇ®±Ò£¬ÊÇÒ»ÖÖʹÓÃÃÜÂëѧÔÀíÀ´È·±£ÉúÒâÇå¾²¼°¿ØÖÆÉúÒⵥλ´´Á¢µÄÉúÒâǰÑÔ£¬ÆäÄäÃûÌØÕ÷±»´ó×ÚµÄÍøÂç·¸·¨·Ö×ÓÇàíù²¢ÔËÓã¬ÔÚͨ¹ýÀÕË÷²¡¶¾¡°¸ßµ÷Á²²Æ¡±µÄÀú³ÌÖУ¬ÒªÇóÊܺ¦ÕßʹÓüÓÃÜÇ®±ÒÖ§¸¶Êê½ð¡£
½üÄêÀ´£¬Ëæ×ÅÈ«Çò¼ÓÃÜÇ®±ÒÊÐÖµÒ»Ö±ÅÊÉý£¬Ô½À´Ô½¶àµÄÍøÂç·¸·¨·Ö×Óͨ¹ý¡°ÍÚ¿ó¡±Ä¾Âí¡°ÃÆÉù·¢´ó²Æ¡±£¬ÍµÇÔËûÈËÅÌËãÄÜÁ¦¾ÙÐв»·¨¡°Íڿ󡱡£¡°ÍÚ¿ó¡±Ä¾ÂíÒÑÊǼÌÀÕË÷²¡¶¾ºóÍøÂç·¸·¨·Ö×ÓIJÀûµÄÓÖÒ»ÖØ°õÀûÆ÷£¬¶øÓµÓÐÖØ´óÊýÄ¿¼¶µÄÔÆÊý¾ÝÖÐÐÄÕý³ÉΪ¡°ÍÚ¿ó¡±Ä¾ÂíÖ÷Òª¹¥»÷Ä¿µÄ¡£
±¾´Î²¶»ñµ½µÄTeamTNTÍÚ¿ó±äÖÖÑù±¾Ö÷Ìåshell¾ç±¾³¤´ïһǧÎå°Ù¶àÐУ¬¼æÈݶàÖÖLinuxϵͳ£¬ÌṩµÄ¹¦Ð§ºÜÊÇÍêÉÆ£¬ÀýÈ磺½ûÓð¢ÀïÔÆ·þÎñ¡¢É¾³ýÍÚ¿ó¾ºÕùµÐÊÖµÄÀú³Ì¡¢SSHƾ֤ÇÔÈ¡¡¢ÏÂÔØmscan.soºÍpscan.so¾ÙÐж˿ÚɨÃèµÈ¡£TeamTNT×é֯רҵˮƽ½Ï¸ß£¬¹¥»÷ÍþÁ¦½ûֹСêï¡£Æä¿ª·¢µÄÐí¶à¹¤¾ß¼°´úÂ뼫¿ÉÄܱ»ÆäËûÍøÂç·¸·¨×é֯ʹÓã¬ÀýÈ磺ÎÛÃûÕÑÖøµÄContiÀÕË÷Èí¼þÍÅ»ïÒ²ÔÚʹÓÃTeamTNTµÄChimaera¹¤¾ß°²ÅÅContiÀÕË÷Èí¼þ¡£
ÏÖÔÚ£¬BevictorΰµÂ×Ô˳ӦÇå¾²·ÀÓùϵͳ¡¢EDR¡¢¹ýÂËÍø¹ØÏµÍ³ºÍ½©Ä¾Èä¼à²âϵͳµÈ¾ù¿É¾«×¼¼ì²â²¢²éɱ¸Ã±äÖÖÍÚ¿óľÂí£¬½¨ÒéÕþÆóµÈÐÐÒµ¿Í»§¾¡¿ì¸üÐÂϵͳ¡¢ÊµÊ±²éȱ²¹Â©£¬ÓÐÓÃ×èÖ¹ÊÂÎñÉìÕÅ£¬¶øÎ´°²ÅŵĿͻ§Ôò¿ÉÄÜÃæÁÙʧÏݵÄΣº¦¡£
²¡¶¾¹¥»÷ÆÊÎö
TeamTNTÍÚ¿ó±äÖÖÒ»µ©´¥·¢ÔËÐкó£¬Ê×ÏÈ»á½ûÓÃÇå¾²»úÖÆ£¬×èÖ¹½ûÓð¢ÀïÔÆ·þÎñ¡£

ÈôÊÇÒѱ£´æÍÚ¿óÀú³Ì£¬»áɾ³ýÍÚ¿ó¾ºÕùµÐÊÖµÄÀú³Ì¡£

È»ºó´Óoracle.zzhreceive[.]topÏÂÔØmscan.soºÍpscan.so¾ÙÐж˿ÚɨÃ裬ÓпÉÄܼÌÐøºáÏòÉøÍ¸À©É¢¡£

ͨ¹ýLOCKFILE±äÁ¿Ð´Èë±»base64±àÂëµÄÑ°ÐÆÓï¾ä£¬·Òë³ÉÖÐÎļ´¡°Õ¥È¡Ðж¯£¡£¡£¡TeamTNTÔÚ¿´×ÅÄ㣡¡±¡£

ÏÂÔØÍÚ¿ó³ÌÐò²¢Î±×°ÎªÏµÍ³ÐéÄâÄÚ´æ¹ÜÀí³ÌÐòµÄÃû×Ö£º[kswapd0]£¬ÊµÔòΪxmrigÍÚ¿ó³ÌÐò£¬ÆäÖÐ[kswapd0].pidΪÍÚ¿ó³ÌÐòµÄÉèÖÃÎļþ¡£

±¾´Î²¶»ñTeamTNTÍÚ¿ó±äÖÖ×î´óµÄ²î±ðÊÇshell¾ç±¾ÖÐʹÓÃbase64Òþ²ØÁËѹËõ°üÎļþ£¬¸ÃѹËõ°üÎļþÔÚÊܺ¦ÕßÖ÷»úÖнâѹËõÖÁ/var/tmp/.../dia/Ŀ¼Ï£¬ÔÙÓýâѹ³öµÄcÓïÑÔÔ´ÎļþºÍÍ·Îļþ±àÒë³ödiamorphine.ko¡£

diamorphine.koÊÇÒ»ÖÖ¿ªÔ´µÄLKM rootkit£¬×Ô´øÄ£¿éÒþ²Ø¹¦Ð§£¬¼ÓÔØºóÐèʹÓÃkill -63 0ÏÂÁîºó²Å»ª¿´µ½£¬Ö®ºóͨ¹ý·¢ËÍ31ÐźŽӿÚÀ´ÊµÏÖÒþ²ØÍÚ¿ó³ÌÐò¡£

ͬʱҲ»áÐÞ¸ÄϵͳµÄDNSÉèÖÃÎļþ/etc/resolv.conf£¬Ê¹ÓÃGoogleµÄ¹«¹²DNS·þÎñÆ÷×èÖ¹±»DNS¼à¿Ø¹¤¾ß¼ì²âµ½¡£

ʹÓÃαװ³ÉLinuxÄÚºËÀú³ÌbiosetµÄziggystartuxÏîÄ¿£¨IRC Bot£©£¬ÆäÖ÷Òª¹¦Ð§×÷ÓÃÊÇ×齨½©Ê¬ÍøÂ磬ÌᳫDDos¹¥»÷¡¢ÎüÊÕC2·þÎñÆ÷ÏÂÁî¡£

ʹÓÃtmate·þÎñÅþÁ¬Ê§ÏÝÖ÷»ú£¬ÔøÓÃÕË»§ÃûHildegard£¨ÍâÑó³§ÉÌÓÖ³ÆTeamTNTΪHildegard¶ñÒâÈí¼þ£©£¬APIKEYΪtmk-4ST6GRXU6GPUjlXHfSlNe0ZaT2¡£

ͨ¹ý½âÂëbase64ÊÍ·Å/usr/bin/puÎļþ£¬¸ÃÎļþÏÖʵΪpunk.py£¬ÊÇÒ»ÖÖ¿ªÔ´µÄunixƽ̨µÄSSH post-exploitation¹¤¾ß£¬Äܹ»ÍøÂçÓû§Ãû¡¢ssh ÃÜÔ¿ºÍÒÑÖªÖ÷»úÐÅÏ¢¡£

×îÖÕŲÓÃÁËhistory -cÏÂÁîɨ³ýÏÂÁîÀúÊ·¼Í¼¡£

TeamTNTÔÚhttp://oracle.zzhreceive[.]top·þÎñÆ÷Ŀ¼Ïµĸ÷×é¼þÃû×Ö¼°¹¦Ð§£º

Ç®°üµØÖ·£º

¿ó³ØµØÖ·£º

²¡¶¾¹¥»÷·ÀÓù
Õë¶ÔTeamTNTÍÚ¿óľÂí±äÖÖ£¬¿Éͨ¹ýÒÔϼ¸ÖÖ·½·¨ÔöÇ¿·ÀÓù²¢¾ÙÐв¡¶¾²éɱ£º
1. ʵʱÐÞ¸´ÏµÍ³¼°Ó¦ÓÃÎó²î£¬½µµÍ±»TeamTNTͨ¹ýÎó²îÈëÇÖµÄΣº¦¡£
2. ¹Ø±Õ²»ÐëÒªµÄ¶Ë¿Ú¡¢·þÎñºÍÀú³Ì£¬½µµÍ×ʲúΣº¦Ì»Â¶Ãæ¡£
3. ͨ¹ý·À»ðǽÌí¼Ó×è¶Ï¹æÔò£¬Õ¥È¡ÄÚÍøÖ÷ʱ»ú¼û¿ó³ØµØÖ·¡£
4. ¸ü¸Äϵͳ¼°Ó¦ÓÃʹÓõÄĬÈÏÃÜÂ룬ÉèÖøßÇ¿¶ÈÃÜÂëÈÏÖ¤£¬²¢°´ÆÚ¸üÐÂÃÜÂ룬±ÜÃâÈõ¿ÚÁî¹¥»÷¡£
5. ×°ÖÃBevictorΰµÂ×Ô˳ӦÇå¾²·ÀÓùϵͳ¾ÙÐÐ×Ô¶¯·ÀÓù£¬¿ÉÓÐÓÃÔ¤·ÀºÍ²éɱ¸ÃÍڿ󲡶¾¡£

6. ×°ÖÃBevictorΰµÂEDR¾ÙÐÐ×Ô¶¯·ÀÓù£¬¿ÉÓÐÓÃÔ¤·ÀºÍ²éɱ¸ÃÍڿ󲡶¾¡£

7. ÒѰ²ÅÅBevictorΰµÂ¹ýÂËÍø¹ØÏµÍ³µÄ¿Í»§£¬¿ÉÉý¼¶ÖÁ×îв¡¶¾¿â£¬±ÜÃâ¸ÃľÂíͨ¹ýÎļþ¼ÓÔØ½øÈëÄÚ²¿ÍøÂç¡£

8. ÒѰ²ÅÅBevictorΰµÂÈëÇÖ·ÀÓùϵͳµÄ¿Í»§£¬¿ÉÉý¼¶ÖÁ×îн©Ê¬Ö÷»ú¹æÔò¿â²¢Ìí¼Ó×è¶Ï¹æÔò£¬±ÜÃâ¸ÃÍÚ¿óľÂíͨ¹ýÎļþ¼ÓÔØµÄ·½·¨½øÈëÄÚ²¿ÍøÂç¡£

9. ÒѰ²ÅÅBevictorΰµÂÈëÇÖ¼ì²âϵͳµÄ¿Í»§£¬¿ÉÉý¼¶ÖÁ×îн©Ê¬Ö÷»ú¹æÔò¿â²¢Ìí¼Ó¸æ¾¯¹æÔò£¬Áª¶¯·À»ðǽ×è¶ÏÄÚÍøÖ÷ʱ»ú¼û¿ó³ØµØÖ·¡£

10. ÒѰ²ÅÅBevictorΰµÂ½©Ê¬ÍøÂçľÂíºÍÈ䳿¼à²âÓë´¦Öóͷ£ÏµÍ³µÄ¿Í»§£¬¿ÉÉý¼¶ÖÁ×îн©Ê¬Ö÷»ú¹æÔò¿â²¢Ìí¼Ó¸æ¾¯¹æÔò£¬Áª¶¯·À»ðǽ×è¶ÏÄÚÍøÖ÷ʱ»ú¼û¿ó³ØµØÖ·¡£

BevictorΰµÂ²úÆ··ÀÓùÉèÖÃ
BevictorΰµÂ×Ô˳ӦÇå¾²·ÀÓùϵͳ·ÀÓùÉèÖÃ
1. ͨ¹ý΢¸ôÀëÕ½ÂÔեȡ»á¼û¿ó³ØµØÖ·£»
2. ͨ¹ýΣº¦·¢Ã÷¹¦Ð§É¨ÃèϵͳÊÇ·ñ±£´æÏà¹ØÎ£º¦£¬ÈçϵͳÎó²î¡¢ÖÐÐļþÎó²î¡¢ÍøÕ¾Îó²î¡¢Èõ¿ÚÁîµÈ£¬½µµÍΣº¦¡¢ïÔÌ×ʲú̻¶£»
3. ¿ªÆô²¡¶¾ÊµÊ±¼à²â¹¦Ð§£¬¿ÉÓÐÓÃÔ¤·ÀºÍ²éɱ¸ÃÍڿ󲡶¾£»
4. ÉèÖÃCPU×ÊÔ´ãÐÖµ¸æ¾¯Õ½ÂÔ£¬°´ÆÚ¼ì²éCPU×ÊÔ´Õ¼ÓýϸßÖ÷»ú£¬¿ìËÙËø¶¨¿ÉÒɹ¤¾ß¡£
ÏÖÔÚΪÆÚÈý¸öÔµÄBevictorΰµÂ×Ô˳ӦÇå¾²·ÀÓùϵͳÃâ·ÑÊÔÓÃÔ˶¯£¬ÒÑÕýʽ¿ªÆô£¡½Ó´ý¡¸µã»÷ÊÔÓá¹
BevictorΰµÂEDR·ÀÓùÉèÖÃ
1. ͨ¹ý΢¸ôÀëÕ½ÂÔեȡ»á¼û¿ó³ØµØÖ·£»
2. ͨ¹ýÎó²îɨÃèÊÇ·ñ±£´æÏà¹ØÎó²î£¬½µµÍΣº¦£»
3. ¿ªÆô²¡¶¾ÊµÊ±¼à²â¹¦Ð§£¬¿ÉÓÐÓÃÔ¤·ÀºÍ²éɱ¸ÃÍڿ󲡶¾£»
4. ¿ªÆôϵͳ¼Ó¹Ì¹¦Ð§£¬¼à¿ØÖÖÖÖ¹¤¾ßÖ´ÐпÉÒɾ籾¶ÔϵͳҪº¦Î»ÖþÙÐи͝£¬×è¶Ï¸Ã²¡¶¾Ñ¬È¾ÖÕ
BevictorΰµÂ¹ýÂËÍø¹ØÏµÍ³·ÀÓùÉèÖÃ
1. ¿ªÆôHTTP¡¢FTP¡¢SMTP¡¢POP3¡¢IMAP²¡¶¾É¨Ãè·þÎñ£¬±ÜÃâÍڿ󲡶¾½øÈëÍøÂ磻
2. ¿ìËÙɨÃèÕ½ÂÔÉèÖÃɨÃèí§Òâ¶Ë¿Ú£¬ÁýÕÖɨÃè¹æÄ£¸ü¹ã£»
3. ÄÚÈݹýÂËÖпªÆôɨÃèhtmlÎļþ£¬±ÜÃâͨ¹ýÍøÒ³ä¯ÀÀѬȾÍڿ󲡶¾£»
4. Éý¼¶ÖÁ×îв¡¶¾¿â¡£
BevictorΰµÂÈëÇÖ¼ì²âϵͳ¡¢ÈëÇÖ·ÀÓùϵͳ¡¢½©Ê¬ÍøÂçľÂíºÍÈ䳿¼à²âÓë´¦Öóͷ£ÏµÍ³Ïêϸ¼ì²â·ÀÓùÉèÖÃ
1. Éý¼¶×îа汾½©Ê¬Ö÷»ú¹æÔò¿â£»
2. ½©Ê¬Ö÷»ú¹æÔò¿â°æ±¾ºÅ£ºngtvd-v2022.04.13.001.tor£»
3. ÉèÖÃÆôÓý©Ê¬Ö÷»úÕ½ÂÔ¼ì²â¹æÔò£»
4. ÔÚÇå¾²Õ½ÂԵļì²âÒýÇæÖÐÒýÓý©Ê¬Ö÷»úÕ½ÂÔ£»
5. ¿ªÆô½©Ê¬Ö÷»úʵʱ¼à²â¹¦Ð§£¬ÓÐÓüì²âºÍ·À»¤¸ÃÍڿ󲡶¾¡£
BevictorΰµÂ²úÆ·»ñÈ¡·½·¨
1. BevictorΰµÂ×Ô˳ӦÇå¾²·ÀÓùϵͳÊÔÓ㺿Éͨ¹ýBevictorΰµÂ¹ÙÍø»ñÈ¡£¨ÅÌÎÊÍøÖ·£ºhttp://www.topsec.com.cn/contact/£©
2. BevictorΰµÂEDRµ¥»ú°æÏÂÔØµØÖ·£ºhttp://edr.topsec.com.cn

3. BevictorΰµÂ¹ýÂËÍø¹ØÏµÍ³¡¢ÈëÇÖ¼ì²âϵͳ¡¢ÈëÇÖ·ÀÓùϵͳ¡¢½©Ê¬ÍøÂçľÂíºÍÈ䳿¼à²âÓë´¦Öóͷ£ÏµÍ³½©Ê¬Ö÷»ú¹æÔò¿âÏÂÔØµØÖ·£ºftp://ftp.topsec.com.cn