在最近的一次攻击中，网络犯罪团伙TeamTNT依靠法律工具避免在受感染的云基础设施上部署恶意代码，但仍然牢牢控制着云基础设施。

他们使用了专门为监控和控制安装了docker和Kubernetes的云环境而开发的开源工具，减少了服务器上的资源占用空间。

滥用开源工具

在对攻击进行分析后，Intezer的研究人员发现TeamTNT安装了Weave Scope开源工具，以完全控制受害者的云基础设施。

研究人员表示，这可能是合法的第三方工具第一次被滥用，在云环境中发挥了后门作用，这也说明该团伙的攻击手段越来越高明。

Weave Scope与Docker、Kubernetes、分布式云操作系统(DC/OS)和AWS弹性计算云(ECS)无缝集成。它提供了一个完整的视图，直观地显示了服务器上的进程、容器和主机，并且可以控制已安装的应用程序。

Intezer在一份报告中指出：“攻击者安装了该工具，可以直观地呈现受害者的云环境，并执行系统命令，而无需在服务器上部署恶意代码。”

研究人员在描述来自该事件的攻击流时表示，TeamTNT是通过一个开放的Docker API进入的。这使他们能够创建一个干净的Ubuntu容器，该容器被配置为安装在受害者的服务器上，以访问主机上的文件。

然后，攻击者设置了一个名为“hilde”的具有提升权限的本地用户，并使用该用户通过SSH连接到服务器。安装Weave Scope是攻击的下一步。只需要三个命令就可以完成下载、对作用域应用设置权限、发起攻击等一系列操作。

有了服务器上的这个实用程序，TeamTNT可以通过HTTP经由端口4040(作用域应用程序端点的默认端口)连接到Weave作用域仪表板，从而获得控制权。

研究人员表示，如果关闭Docker API端口或实施限制访问策略，这种罕见的情况本可以避免。

另一个错误配置是允许从网络外部连接到Weave Scope仪表板。该工具的文档清楚地说明了不能通过互联网访问端口4040。

5月初，TeamTNT引起了安全研究人员的注意，MalwareHunterTeam在他的推文中提到了这个加密货币挖矿团伙。趋势科技透露，攻击者扫描了整个互联网，以找到开放的Docker守护程序端口。

上个月，英国公司Cado Security发布了一份报告。有证据表明，TeamTNT的加密货币挖掘蠕虫还可以从Docker和Kubernetes实例中窃取AWS登录信息和配置文件。

西部数码代理(chenqinet.cn)是工信部批准的正规老牌云服务商，拥有ISP、云牌照、IDC、CDN全业务资质。自成立以来，二十多年来一直专注于域名注册，虚拟主机，云服务器，企业邮箱，企业网站建立等互联网基础服务！

公司开发的云计算平台以便捷、高效、高性价比、意想不到的售后优势占领市场，跻身国内前三的接入服务商，为国内超过50万家网站提供高速稳定的托管服务！先后荣获中国高新技术企业、中国优秀云计算服务商、中国十大IDC企业、中国最受欢迎云服务商等称号！

目前西部数码代理高性能云服务器在售，最低仅售48元！

http://zhuji.chenqinet.cn/cloudhost/