简述

yy.py样本执行了ssh登陆后通过vim编辑的yy.py文件。同时行为集合中存在/root/pty样本的关联行为,该样本与僵尸网络和挖矿有关,在本报告的数据采集周期内未见其他派生行为。

elkeid 样本ID

  • elkeid_20221202_botnet(miner)_9

捕获时间

  • 20221121

关键词

yy.py,x001804289383

最近活跃时间

  • 20221121

已知入侵途径

  • 弱口令爆破

涉及样本

执行目录

  • /root

样本

  • yy.py

    • python文件

  • pty

    • elf文件

主要行为

  • ssh行为

    • 安装文件

      • sudo apt install screen
      • bash -c curl ipinfo.io/org
      • bash -c nproc

    • 编辑yy.py 并赋权执行

      • vim yy.py
      • touch yy.py
      • screen -S yy
      • python3 yy.py

  • /root/pty行为

    • 查看定时任务并过滤掉包含"/root/pty","no cron" 和 "lesshts/run.sh"的行,并将结果输出到/var/run/.x001804289383 )

      • sh -c (crontab -l | grep -v "/root/pty" | grep -v "no cron" | grep -v "lesshts/run.sh" > /var/run/.x001804289383) > /dev/null 2>&1
      • crontab /var/run/.x001804289383
      • rm -rf /var/run/.x001804289383

IOC

URLsha256
http://147.231.19.62/.x/ptyaf736d0466d0c88fe66666676ca09462fddedbbe8befe49dd2dc691053c293c6

已知情报

https://vms.drweb.com/virus/?i=24091822

https://www.kernelmode.info/forum/viewtopicf566-2.html?t=2747&start=20

https://www.virustotal.com/gui/file/af736d0466d0c88fe66666676ca09462fddedbbe8befe49dd2dc691053c293c6/detection/f-af736d0

安全配置建议

  • 避免使用弱密码或默认密码

参考链接