Elkeid 蜜罐样本分析报告

Botnet

简介:x86_64样本属于Mirai样本家族中的一员,主要感染各类IoT设备构建大规模僵尸网络

关键词:x86_64 Mirai

简介: Saitama样本为Mirai变体,主要利用RCE漏洞传播构建僵尸网络并进行DDos攻击。

关键词:Saitama Mirai

简介:该样本为Mirai变体,主要感染各类IoT设备构建大规模僵尸网络

关键词:0xt984767.sh 0x83911d24Fx.sh Mirai

简介:catvsdog是Mirai的启动脚本,会下载执行Mirai,主要建大规模僵尸网络进行DDos攻击。Mirai由于代码开源,不断产生了多种变体,往往与0/N-Day漏洞利用结合,具有很强的感染性。

关键词:catvsdog.sh Mirai 0xt984767.sh meow.x86

简介:该样本回连IP与Mirai 变体样本具有强关联,推测为Mirai变体之一

关键词:x86.sh Mirai

简介:该样本为tsunami 族内样本,属于僵尸网络类型的样本

关键词:tsunami x001804289383 tsh

简介:catvsdog是Mirai的启动脚本,会下载执行Mirai,主要建大规模僵尸网络进行DDos攻击。Mirai由于代码开源,不断产生了多种变体,往往与0/N-Day漏洞利用结合,具有很强的感染性。

关键词:dota.tar.gz X17-unix

简介:arhivehaceru_Update为botnet样本,下载自arhivehaceru.com域名,感染主机后构建僵尸网络,可发动DDos攻击。

关键词:./History arhivehaceru

简介:yy.py样本执行了ssh登陆后通过vim编辑的yy.py文件。同时行为集合中存在/root/pty样本的关联行为,该样本与僵尸网络和挖矿有关

关键词:yy.py x001804289383

Miner

简介:Cleanfda是一种挖矿木马,通常会通过未授权命令执行漏洞攻击目标主机,并利用SSH爆破等方式呈蠕虫式传播。

关键词:cleanfda newinit.sh is.sh

简介: robertreynolds2是github上的一个挖矿样本

关键词:robertreynolds2

简介:该样本ssh登陆后针对hive os挖矿平台进行操作,设置用户密码并关闭开放服务减少暴露。猜测可能为批量扫描暴露的矿机进行利用。

关键词:i2gji23g4jigh3gji4hggij345hgh

简介:该样本通过ssh登录后,存在一系列修改定时任务,清除挖矿竞品,重命名系统命令的行为,具有较强的挖矿样本的特征

关键词:download.sh .mm.jpg x001804289383

简介: 该样本通过ssh登录后,存在一系列修改定时任务、清除挖矿竞品、读取系统信息的行为,根据不同系统架构执行脚本,具有较强的挖矿样本的特征

关键词:b4ngl4d3shS3N941 .billgates spreader

简介:hoze样本为挖矿样本,感染x86_64主机,通过多个样本/脚本链式启动,并且会及时清理自身痕迹,还会进行添加用户、密码、公钥等持久化行为

关键词:hoze secure

简介:该样本通过ssh暴破登录后,存在一系列修改定时任务,清除挖矿竞品,重命名系统命令的行为,具有较强的挖矿样本的特征.

关键词:httpss .sh

Backdoor

简介:g6h7是一系列相似名称后门类型的样本的简称,会根据不同的系统执行不同的后门程序,如 g6h7.arm,g6h7.wrt等

关键词:g6h7

简介:样本关联IP频繁通过暴力破解或窃取的凭据执行 SSH 攻击,通过蜜罐采集行为可知,攻击者在ssh登陆成功后会进行信息收集、修改ssh公钥与系统用户密码。并且在蜜罐中执行行为的时间间隔分布均匀,应为攻击脚本。

关键词:nS97pp7fcZ1qu

简介:该样本行为特征中,存在访问恶意IP,文件删除等行为,推测为通过ssh爆破进入的后门样本

关键词:49.142.208.62

简介:该样本行为特征中,存在访问恶意IP,加载内核模块,建立后门等行为,与gates后门样本有相似行为,推测为通过ddos进入的后门样本

关键词:S97DbSecuritySpt bsd-port

ssh暴破后执行

简介:该样本行为特征中,存在访问恶意IP,文件删除等行为,推测为通过ssh爆破进入的后门样本

  • ifjeeisurofmioufiose
  • finalshell_separator
  • wtmp.honeypot,secscan
  • alternatives,[Mm]iner
  • ns3.jpg,oto,sos.vivi.sg
  • nS97pp7fcZ1qu