Sliver 恶意软件：它如何推动非法加密货币挖矿的新时代

了解 Sliver 恶意软件的崛起

Sliver 恶意软件是一种开源命令与控制 (C2) 框架，已成为网络攻击者的强大工具，尤其是在加密挖矿领域。臭名昭著的加密劫持组织 TeamTNT 已开始利用这种适应性强的框架来加强其攻击活动，尤其是针对基于 Docker 的云环境。

TeamTNT 一直是网络安全领域的长期参与者，他们采用 Sliver 恶意软件表明他们不断改进和扩展其策略。从旧工具转向 Sliver 使他们能够更精确地控制受感染的服务器，最终实现其加密货币挖掘和资源货币化的目标。

Sliver 恶意软件想要什么：为加密货币挖矿操作提供动力

TeamTNT 活动中的 Sliver 恶意软件的主要目标是控制云服务器，以进行未经授权的加密挖掘活动，通常称为加密劫持。一旦 Sliver 部署在服务器上，攻击者就可以远程控制设备、管理加密挖掘脚本，并利用服务器的处理能力在所有者不知情的情况下挖掘加密货币。

Sliver 的主要功能之一是它能够执行一系列支持这种隐蔽加密挖矿操作的命令。它允许攻击者根据需要启动、监控和终止挖矿过程。此外，Sliver 促进了额外的网络通信，使 TeamTNT 能够将被感染的设备招募到更大的分布式网络（称为 Docker Swarms）中。这使得 TeamTNT 能够协调大规模挖矿工作或通过接受租金收入的平台将服务器能力出租给第三方，从而为其运营创造可持续的收入模式。

Docker 作为启动板：TeamTNT 如何部署 Sliver

TeamTNT 的 Sliver 驱动攻击主要针对 Docker 容器，Docker 容器因其可扩展性和效率而在云原生环境中广受欢迎。Docker 的开放 API 在没有得到适当保护的情况下通常很容易访问，这为 TeamTNT 向基础设施注入 Sliver 恶意软件提供了切入点。在他们最新的活动中，TeamTNT 扫描暴露的 Docker API 端点以找到易受攻击的服务器并自动安装加密挖掘软件。

此操作的一个关键部分涉及使用 Docker Hub 作为分发平台。通过托管嵌入 Sliver 恶意软件的受感染 Docker 映像，TeamTNT 可以快速扩展其活动，将恶意软件传播到众多环境中。一旦部署了感染 Sliver 恶意软件的容器，它就会执行一系列脚本，将设备链接到 TeamTNT 的命令基础设施。该基础设施不仅协调挖矿活动，而且还使管理员难以检测到未经授权的资源使用。

对企业的影响：资源消耗和安全风险

使用 Sliver 恶意软件进行加密劫持会给企业带来多重影响，尤其是那些严重依赖云基础设施的企业。首先，加密劫持会严重消耗计算资源，因为加密挖矿会消耗大量的处理能力。对于企业来说，这可能导致应用程序性能下降、能源成本增加以及服务器意外停机，所有这些都会影响服务交付和客户满意度。

除了资源消耗之外，Sliver 的部署还带来了一系列复杂的安全挑战。由于恶意软件通过命令和控制框架运行，攻击者可以利用它来扩大其在网络中的立足点。这种扩大的访问权限为其他恶意活动提供了可能性，例如数据盗窃、横向移动或部署其他形式的有害软件。此外，远程控制受感染服务器的能力为攻击者提供了一个在受感染网络内部或外部发起进一步攻击的平台，从而加剧了对企业诚信和声誉的风险。

TeamTNT 的策略如何预示着威胁形势的变化

Sliver 恶意软件的采用反映了网络犯罪朝着适应性和复杂性更高的方向发展的广泛趋势。与传统恶意软件不同，Sliver 的开源特性允许威胁行为者根据自己的需求对其进行定制，无论是提高隐身性、增强远程控制能力，还是将其与其他恶意软件集成。这种适应性意味着 Sliver 可以根据威胁行为者的具体策略和目标实现多种用途。

TeamTNT 尤其表现出了高度的运营灵活性。通过改变方法并采用 Sliver 等新工具，他们保持了弹性且难以被破坏。他们的运营曾经只专注于加密劫持，现在包含其他收入来源，例如出售受感染服务器的访问权限或向其他攻击者提供加密挖矿服务。这种多维度方法不仅使防御工作复杂化，而且还表明非法加密挖矿团体的商业模式日趋成熟。

防范 Sliver 恶意软件和类似威胁

为了防范 Sliver 之类的威胁，企业需要积极主动地保护其云基础设施。这包括：

• 锁定 Docker API 访问：不安全的 Docker 端点是 TeamTNT 的主要入口点。确保 Docker 的 API 安全配置并满足强身份验证要求可以防止未经授权的访问。
• 监控异常活动：服务器性能异常或 CPU 使用率过高可能表示存在加密劫持。通过主动监控资源利用率，企业可以检测到潜在的加密劫持活动并进行进一步调查。
• 定期漏洞扫描：例行扫描可以帮助识别云环境中的暴露或弱点，使企业能够在攻击者利用漏洞之前解决漏洞。

因此，Sliver 恶意软件的兴起表明加密挖矿活动开展方式发生了重大转变。对于在云环境中运营的企业来说，了解 TeamTNT 等组织的策略和目标对于保持抵御不断演变的网络威胁的弹性至关重要。借助云安全和警惕，公司可以更好地保护其系统免受非法加密挖矿活动的侵害以及随之而来的复杂后果。