TeamTNT黑客组织利用开源攻击工具Libprocesshider隐藏恶意挖矿进程实现逃避检测

2021年1月29日，美国网络安全企业AT&T公司的安全研究团队发布报告称，监测发现TeamTNT黑客组织在其武器库中增加了一种开源攻击工具Libprocesshider，能够在攻击活动中隐藏恶意挖矿进程，帮助攻击者有效逃避安全防护软件的检测。Libprocesshider是发布在Github（面向开源及私有软件项目的托管平台）上的一款开源工具，它可以有选择性的载入不同动态链接库中的相同函数，通过覆盖正常的函数库实现隐藏恶意进程的目的。 TeamTNT黑客组织于2020年11月被首次发现，该组织通常会通过批量扫描公网上开放2375端口的云服务器获取攻击目标，之后利用Docker Remote API未授权访问漏洞对云服务器进行攻击并植入挖矿木马，利用系统运算处理能力恶意挖掘门罗币，获取经济利益。研究人员表示，TeamTNT黑客组织在近期的攻击活动中开始使用一种新型逃避检测工具Libprocesshider，该工具是从Github开源存储库中复制的，能够通过预加载技术替换函数“readdir”，从而修改进程查看工具获取到的进程列表返回值，实现在Linux操作系统中隐藏恶意进程。 建议国内用户采取以下措施予以防范：一是对服务器资源占用情况进行排查，发现已感染服务器尽快进行隔离，关闭所有网络连接，禁用网卡；二是避免Docker Remote API的2375端口在非必要情况下暴露在公网中，如必须暴露公网，则需要配置访问控制策略；三是授予权限时，遵循最小特权原则；四是定期对服务器进行加固和备份，尽早修复服务器相关组件的安全漏洞，并及时进行软件升级。