增强反杀软功能持续，Warmup挖矿木马与77Rootkit挖矿木马存在联系

攻击者获取受害主机权限后，会部署一个名为 crontab 的shell 脚本为计划任务，脚本会关闭 vm-agent、mysql 和安全软件进程，卸载并删除安全软件。

修改DNS后，安装nc、wget、xinetd。

脚本继续运行，释放/etc/init.d/modules，修改自开源项目，包含后续释放的/etc/init.d/xfix所需要使用的函数。

然后，搜索并结束挖矿进程。

如果 Warmup 正在运行，则会删除所有 Warmup 相关组件及计划任务，否则删除挖矿程序 xfit 相关组件及计划任务。

脚本会判断 xfit 服务状态并访问http://127.0.0.1:999/api.json 来判断 xfit 是否还在运行及网络是否正常，如果不正常，则会尝试修复。即关闭正在运行的xfit服务，然后通过链接下载 shell 脚本。

如果下载失败，脚本会通过 /root/.xfit/ip.txt 下的 IP 地址列表，使用 nc 扫描内网其他主机的 757 端口。若成功，则将对应的主机作为代理，再次尝试下载。

脚本会从 /root/.xfit/config.json 读取矿池的端口号来确定矿池服务所在的 IP 地址，这个值会根据 config.json 文件内的标志改变。

若标志为 “*14444*”，MINEIP 为 5.133.65[.]55；若标志为“*24444*”，MINEIP 为 5.133.65[.]54。

如果 xfit 进程存在，文件 /root/.xfit/reboot 不存在，则会重启主机，否则程序会清除系统内的日志，禁用登录记录，清空并禁用 history，最后退出脚本。

如果 xfit 不存在，则不需要重启，脚本会删除 /root/.xfit/reboot，然后关闭 xfit 进程。

如果 /root/.xfit/pools 文件存在，则读取其中包含的矿池服务器 IP 地址，填入矿池配置中。然后扫描内网其他主机的703 端口，将探测到的 IP 地址填入 /root/.xfit/config.json中。

这个配置文件中，http 选项的地址被设置为 0.0.0.0，端口设置为 999，且开启重定向，矿池端口为 703。

后续测试代理是否可用，如果 703 不可用，则会用上面的方式依次扫描内网主机的 708、8080 和 443 端口，如果发现可用的，就将其作为代理。

解决网络问题后，脚本根据系统版本注册名为 xfit 的自启动挖矿服务，并释放系统引导文件 /etc/init.d/xfit。主要覆盖了 CentOs7，CentOs8 和 Debian 操作系统，其中Debian 适配了支持 service 和 Systemctl 的版本。

脚本还会通过 xinetd.d创建名为 smtp_forward、http_forward 端口转发服务，使用757 端口和 703 端口，分别转发到 5.133.65[.]53:80和$MINEIP:80，这里 $MINEIP 为指向矿池 IP 地址。

同样根据不同系统版本，使用不同的方式修改防火墙设置，开放端口 757。

另外，如果代理检测中间件失败，则会通过 xinetd.d 创建名为 timesync 和 http_stream 的端口转发服务，然后重启 xinetd 服务。转发端口为 708、8080 和 443。

网络配置完成，脚本再次清除挖矿相关进程，清除并禁用日志、history、用户登录等记录。

最后，如果文件名相同，则调用 “main” 函数，部署计划任务脚本，添加计划任务。

否则下载新的 crontab 文件并执行。

经过对 5.133.65[.]53-5.133.65[.]56 等信标的关联分析，发现 $77Loader 挖矿木马与 Warmup 存在资源重叠。

$77 Loader 是在 2021 年末发现的一款 Windows 平台挖矿木马，修改开源 Rootkit 项目，可以隐藏 “$77” 开头的进程名、文件和目录。

$77Loader 和 Warmup 都是使用相同的 IP 地址作为组件更新地址和矿池地址，因此两者背后很可能是同一个黑产团伙在管理。

5.133.65[.]53

5.133.65[.]54

5.133.65[.]55

5.133.65[.]56

http[:]//5.133.65[.]53/soft/linux/warmup

http[:]//5.133.65[.]53/soft/linux/xfitaarch

http[:]//5.133.65[.]53/soft/linux/xfit

http[:]//5.133.65[.]53/soft/linux/crontab