這篇文章主要介紹“惡意shell腳本竊取AWS、Docker憑證分析”，在日常操作中，相信很多人在惡意shell腳本竊取AWS、Docker憑證分析問(wèn)題上存在疑惑，小編查閱了各式資料，整理出簡(jiǎn)單好用的操作方法，希望對(duì)大家解答”惡意shell腳本竊取AWS、Docker憑證分析”的疑惑有所幫助！接下來(lái)，請(qǐng)跟著小編一起來(lái)學(xué)習(xí)吧！

在做網(wǎng)站、成都網(wǎng)站制作過(guò)程中，需要針對(duì)客戶的行業(yè)特點(diǎn)、產(chǎn)品特性、目標(biāo)受眾和市場(chǎng)情況進(jìn)行定位分析，以確定網(wǎng)站的風(fēng)格、色彩、版式、交互等方面的設(shè)計(jì)方向。成都創(chuàng)新互聯(lián)公司還需要根據(jù)客戶的需求進(jìn)行功能模塊的開(kāi)發(fā)和設(shè)計(jì)，包括內(nèi)容管理、前臺(tái)展示、用戶權(quán)限管理、數(shù)據(jù)統(tǒng)計(jì)和安全保護(hù)等功能。

研究人員近期發(fā)現(xiàn)一起利用shell腳本來(lái)執(zhí)行惡意活動(dòng)的攻擊活動(dòng)。基于之前的攻擊活動(dòng)，這些惡意腳本主要是用來(lái)部署加密貨幣挖礦機(jī)。但是最近的攻擊活動(dòng)中，除了用于加密貨幣挖礦機(jī)下載器外，還有其他的目的。從樣本中使用的C2 URL、字符串、加密密鑰、語(yǔ)言，研究人員推斷出最新的攻擊活動(dòng)來(lái)自于TeamTNT。

該惡意shell 腳本是用bash語(yǔ)言開(kāi)發(fā)的。與類似的攻擊活動(dòng)相比，樣本中代碼風(fēng)格很好，是根據(jù)描述性的函數(shù)名來(lái)組織的：

圖 1. 表明函數(shù)功能的代碼段

Shell腳本調(diào)用的第一個(gè)函數(shù)是用于準(zhǔn)備環(huán)境，確保下一階段所需的資源、攻擊、計(jì)算機(jī)電量等。此外，還會(huì)檢查安全解決方案的存在。

Shell腳本還會(huì)下載一些用于下一步攻擊的灰色工具。這些工具會(huì)進(jìn)行網(wǎng)絡(luò)掃描和映射，用于檢索和映射有漏洞的容器API。

環(huán)境設(shè)置好之后，shell腳本會(huì)檢索敏感信息、獲取這些信息的副本，然后上傳到C2服務(wù)器。

圖 2. 竊取AWS憑證的代碼段

在之前發(fā)現(xiàn)的竊取AWS憑證的樣本中，只會(huì)檢查是否存在機(jī)密性文件，并上傳。在新樣本中，開(kāi)發(fā)者新加入了2個(gè)路徑。一個(gè)是請(qǐng)求AWS 元數(shù)據(jù)服務(wù)，并嘗試從中獲取憑證。另一個(gè)是檢查AWS憑證的環(huán)境變量，如果存在，就上傳到C2服務(wù)器。此外，新樣本不僅僅竊取AWS憑證，還會(huì)竊取Docker API憑證。

圖 3. 竊取Docker API憑證的代碼段

在竊取憑證和部署加密貨幣挖礦機(jī)中間，腳本還還釋放另一個(gè)base64編碼的樣本。這是為了在系統(tǒng)上創(chuàng)建sudo權(quán)限的用戶，并使用SSH-RSA密鑰來(lái)確?？梢赃B接到受感染的機(jī)器并維持訪問(wèn)。

圖 4. 表明用戶創(chuàng)建的代碼段

然后下載、部署和執(zhí)行加密貨幣挖礦機(jī)。該攻擊活動(dòng)中最近加入的最后一步是部署反向shell。

截止目前，該攻擊活動(dòng)主要攻擊容器平臺(tái)。最近創(chuàng)建的患有惡意樣本的容器鏡像下載量已經(jīng)超過(guò)2000。

圖 5. 含有惡意樣本的容器鏡像截圖

到此，關(guān)于“惡意shell腳本竊取AWS、Docker憑證分析”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請(qǐng)繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)?lái)更多實(shí)用的文章！

文章題目：惡意shell腳本竊取AWS、Docker憑證分析
網(wǎng)站網(wǎng)址：http://chinadenli.net/article44/jieihe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供動(dòng)態(tài)網(wǎng)站、品牌網(wǎng)站制作、網(wǎng)站策劃、用戶體驗(yàn)、網(wǎng)站制作、虛擬主機(jī)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)