Bevictor伟德

TeamTNT变种挖矿木马再活跃！Bevictor伟德“云+边+端”精准防御

主要通知,TeamTNT挖矿木马再活跃，Bevictor伟德构建“云+边+端”多元防御系统，精准实时查杀变种挖矿木马，助力客户高效防御清静威胁，包管各项营业平稳运行～

新闻中心

TeamTNT变种挖矿木马再活跃！Bevictor伟德“云+边+端”精准防御

宣布时间：2022-04-13

浏览次数：4310

分享：

克日，Bevictor伟德谛听实验室捕获到TeamTNT组织挖矿木马变种样本。TeamTNT组织最早泛起于2019年10月，其主要针对云主机和容器化情形举行攻击，善于入侵目的系统后植入挖矿木马和僵尸网络程序，使用目的系统资源举行挖矿并组建僵尸网络，挖矿币种主要是门罗币（XMR）。

数字加密钱币又称为加密钱币，是一种使用密码学原理来确保生意清静及控制生意单位创立的生意前言，其匿名特征被大宗的网络犯法分子青睐并运用，在通过勒索病毒“高调敛财”的历程中，要求受害者使用加密钱币支付赎金。

近年来，随着全球加密钱币市值一直攀升，越来越多的网络犯法分子通过“挖矿”木马“闷声发大财”，偷窃他人盘算能力举行不法“挖矿”。“挖矿”木马已是继勒索病毒后网络犯法分子牟利的又一重磅利器，而拥有重大数目级的云数据中心正成为“挖矿”木马主要攻击目的。

本次捕获到的TeamTNT挖矿变种样本主体shell剧本长达一千五百多行，兼容多种Linux系统，提供的功效很是完善，例如：禁用阿里云服务、删除挖矿竞争敌手的历程、SSH凭证窃取、下载mscan.so和pscan.so举行端口扫描等。TeamTNT组织专业水平较高，攻击威力禁止小觑。其开发的许多工具及代码极可能被其他网络犯法组织使用，例如：污名昭著的Conti勒索软件团伙也在使用TeamTNT的Chimaera工具安排Conti勒索软件。

现在，Bevictor伟德自顺应清静防御系统、EDR、过滤网关系统和僵木蠕监测系统等均可精准检测并查杀该变种挖矿木马，建议政企等行业客户尽快更新系统、实时查缺补漏，有用阻止事务伸张，而未安排的客户则可能面临失陷的危害。

病毒攻击剖析

TeamTNT挖矿变种一旦触发运行后，首先会禁用清静机制，阻止禁用阿里云服务。

若是已保存挖矿历程，会删除挖矿竞争敌手的历程。

然后从oracle.zzhreceive[.]top下载mscan.so和pscan.so举行端口扫描，有可能继续横向渗透扩散。

通过LOCKFILE变量写入被base64编码的寻衅语句，翻译成中文即“榨取行动�。。eamTNT在看着你！”。

下载挖矿程序并伪装为系统虚拟内存管理程序的名字：[kswapd0]，实则为xmrig挖矿程序，其中[kswapd0].pid为挖矿程序的设置文件。

本次捕获TeamTNT挖矿变种最大的差别是shell剧本中使用base64隐藏了压缩包文件，该压缩包文件在受害者主机中解压缩至/var/tmp/.../dia/目录下，再用解压出的c语言源文件和头文件编译出diamorphine.ko。

diamorphine.ko是一种开源的LKM rootkit，自带�？橐毓π�，加载后需使用kill -63 0下令后才华看到，之后通过发送31信号接口来实现隐藏挖矿程序。

同时也会修改系统的DNS设置文件/etc/resolv.conf，使用Google的公共DNS服务器阻止被DNS监控工具检测到。

使用伪装成Linux内核历程bioset的ziggystartux项目（IRC Bot），其主要功效作用是组建僵尸网络，提倡DDos攻击、吸收C2服务器下令。

使用tmate服务毗连失陷主机，曾用账户名Hildegard（外洋厂商又称TeamTNT为Hildegard恶意软件），APIKEY为tmk-4ST6GRXU6GPUjlXHfSlNe0ZaT2。

通过解码base64释放/usr/bin/pu文件，该文件现实为punk.py，是一种开源的unix平台的SSH post-exploitation工具，能够网络用户名、ssh 密钥和已知主机信息。

最终挪用了history -c下令扫除下令历史纪录。

TeamTNT在http://oracle.zzhreceive[.]top服务器目录下的各组件名字及功效：

钱包地址：

矿池地址：

病毒攻击防御

针对TeamTNT挖矿木马变种，可通过以下几种方法增强防御并举行病毒查杀：

1. 实时修复系统及应用误差，降低被TeamTNT通过误差入侵的危害。

2. 关闭不须要的端口、服务和历程，降低资产危害袒露面。

3. 通过防火墙添加阻断规则，榨取内网主时机见矿池地址。

4. 更改系统及应用使用的默认密码，设置高强度密码认证，并按期更新密码，避免弱口令攻击。

5. 装置Bevictor伟德自顺应清静防御系统举行自动防御，可有用预防和查杀该挖矿病毒。

6. 装置Bevictor伟德EDR举行自动防御，可有用预防和查杀该挖矿病毒。

7. 已安排Bevictor伟德过滤网关系统的客户，可升级至最新病毒库，避免该木马通过文件加载进入内部网络。

8. 已安排Bevictor伟德入侵防御系统的客户，可升级至最新僵尸主机规则库并添加阻断规则，避免该挖矿木马通过文件加载的方法进入内部网络。

9. 已安排Bevictor伟德入侵检测系统的客户，可升级至最新僵尸主机规则库并添加告警规则，联动防火墙阻断内网主时机见矿池地址。

10. 已安排Bevictor伟德僵尸网络木马和蠕虫监测与处置惩罚系统的客户，可升级至最新僵尸主机规则库并添加告警规则，联动防火墙阻断内网主时机见矿池地址。

Bevictor伟德产品防御设置

Bevictor伟德自顺应清静防御系统防御设置

1. 通过微隔离战略榨取会见矿池地址；

2. 通过危害发明功效扫描系统是否保存相关危害，如系统误差、中心件误差、网站误差、弱口令等，降低危害、镌汰资产袒露；

3. 开启病毒实时监测功效，可有用预防和查杀该挖矿病毒；

4. 设置CPU资源阈值告警战略，按期检查CPU资源占用较高主机，快速锁定可疑工具。

现在为期三个月的Bevictor伟德自顺应清静防御系统免费试用运动，已正式开启！接待「点击试用」

Bevictor伟德EDR防御设置

1. 通过微隔离战略榨取会见矿池地址；

2. 通过误差扫描是否保存相关误差，降低危害；

3. 开启病毒实时监测功效，可有用预防和查杀该挖矿病毒；

4. 开启系统加固功效，监控种种工具执行可疑剧本对系统要害位置举行改动，阻断该病毒熏染终

Bevictor伟德过滤网关系统防御设置

1. 开启HTTP、FTP、SMTP、POP3、IMAP病毒扫描服务，避免挖矿病毒进入网络；

2. 快速扫描战略设置扫描恣意端口，笼罩扫描规模更广；

3. 内容过滤中开启扫描html文件，避免通过网页浏览熏染挖矿病毒；

4. 升级至最新病毒库。

Bevictor伟德入侵检测系统、入侵防御系统、僵尸网络木马和蠕虫监测与处置惩罚系统详细检测防御设置

1. 升级最新版本僵尸主机规则库；

2. 僵尸主机规则库版本号：ngtvd-v2022.04.13.001.tor；

3. 设置启用僵尸主机战略检测规则；

4. 在清静战略的检测引擎中引用僵尸主机战略；

5. 开启僵尸主机实时监测功效，有用检测和防护该挖矿病毒。

Bevictor伟德产品获取方法

1. Bevictor伟德自顺应清静防御系统试用：可通过Bevictor伟德官网获�。ㄅ涛释罚篽ttp://www.topsec.com.cn/contact/）

2. Bevictor伟德EDR单机版下载地址：http://edr.topsec.com.cn

3. Bevictor伟德过滤网关系统、入侵检测系统、入侵防御系统、僵尸网络木马和蠕虫监测与处置惩罚系统僵尸主机规则库下载地址：ftp://ftp.topsec.com.cn

上一篇首批加入UAPP！Bevictor伟德与统信软件共推信创工业高质量生长

下一篇科技抗疫！Bevictor伟德首发方舱医院IT基础设施建设计划

最新运动

新品宣布正式宣布！Bevictor伟德火焰威胁检测系统打造智能防御新范式

2025-06-25

连忙审查

合作动态 Bevictor伟德正式成为「华为鸿蒙商用解决计划首批合作伙伴」

2025-06-24

连忙审查

推荐新闻

Bevictor伟德防火墙一连25年连任海内市场第一

审查详情

智算一体机标杆企业！Bevictor伟德入编《2025-2026年中国智算一体机行业研究报告》

审查详情

Bevictor伟德一连12年获CNNVD一级手艺支持单位称呼

审查详情

Bevictor伟德与华为正式开启周全合作，团结宣布“智算+清静”两大新品！

审查详情

Bevictor伟德一连五届入选CICSVD国家工业信息清静误差库手艺组成员单位

审查详情

Bevictor伟德智算一体机首批通过工信领域能力认证！

审查详情

推荐产品

解决计划

在线咨询

销售咨询>
手艺支持>
云服务支持>
售前支持>

在线留言

手艺支持>
售前支持>
培训营业>
清静服务>

客户服务热线

400-777-0777
7*24小时服务

联系邮箱

servicing@topsec.com.cn

扫码关注