简述
该样本通过ssh暴破登录后,存在一系列修改定时任务,清除挖矿竞品,重命名系统命令的行为,具有较强的挖矿样本的特征.
样本类型
挖矿
关键词
.sh,httpss,zh
elkeid 样本ID
elkeid_20221120_miner_7
捕获时间
20221120
最近活跃时间
20221120
已知入侵途径
- 弱口令爆破
涉及样本
- .sh
- /usr/lib/mysql/mysql (重命名)
- /sbin/httpss (重命名)
主要行为
-
重命名系统命令
- cp -f -- https .sh
- cp -f -- sh .sh
-
执行
- ./.sh
- ./.sh -c
- /bin/sh -c /sbin/httpss >/dev/null 2>&1;
- /bin/sh -c /usr/bin/zh >/dev/null 2>&1;
- /bin/sh -c /usr/lib/mysql/mysql;
-
清理挖矿竞品
- pkill -9 Donald
- pkill -f ./-bash
- pkill -f .meinkampf
- pkill -f .report_system
- pkill -f .syst3md
- pkill -f /usr/bin/biden1
- pkill -f apachelogs
- pkill -f auth.sh
- pkill -f cpuminer-sse2
- pkill -f minerd
- pkill -f secure.sh
- pkill -f sprshduerjsaia
-
收集系统信息
- bash -c echo -e \x6F\x6B
- cat /proc/cpuinfo
IOC
- 188.166.164.250
参考链接
- 188.166.164.250
https://www.virustotal.com/gui/url/c2344de55616d9fc3ac26dbc054700fa2dee605bd9bcc376a423a620e118670b