报告信息
简述
g6h7是一系列相似名称后门类型的样本的简称,会根据不同的系统执行不同的后门程序,如
g6h7.arm,g6h7.wrt等
样本类型
后门
elkeid 样本ID
elkeid_20220809_backdoor_1
捕获时间
- 20220809
最近活跃时间
- 20221118
已知入侵途径
- 弱口令爆破
涉及样本
- /root/g6h72.6
- g6h7.arm
- g6h7.wrt
- g6h7.mips
主要行为
- 关闭iptables
systemctl stop iptables.service
- 恶意样本执行
nohup /root/g6h72.6
- 根据不同系统执行恶意样本
chmod 777 g6h72.6;chmod 777 g6h7.arm
- 执行脚本
sed -ne s/\.socket\s*[a-z]*\s*$/.socket/p
- 处理密码请求
/bin/systemd-tty-ask-password-agent --watch
- 查看全部socket 单元
systemctl list-unit-files --full --type=socket
- 不挂起执行
nohup /root/g6h72.6
IOC
- URL 183.57.157.118
