简介：x86_64样本属于Mirai样本家族中的一员，主要感染各类IoT设备构建大规模僵尸网络

关键词：x86_64 Mirai

elkeid_20220424_botnet_2(Saitama样本)分析报告

简介： Saitama样本为Mirai变体，主要利用RCE漏洞传播构建僵尸网络并进行DDos攻击。

关键词：Saitama Mirai

elkeid_20220809_botnet_3(bin样本)分析报告

简介：该样本为Mirai变体，主要感染各类IoT设备构建大规模僵尸网络

关键词：0xt984767.sh 0x83911d24Fx.sh Mirai

elkeid_20220728_botnet_4(catvsdog样本)分析报告

简介：catvsdog是Mirai的启动脚本，会下载执行Mirai，主要建大规模僵尸网络进行DDos攻击。Mirai由于代码开源，不断产生了多种变体，往往与0/N-Day漏洞利用结合，具有很强的感染性。

关键词：catvsdog.sh Mirai 0xt984767.sh meow.x86

elkeid_20221115_botnet_5分析报告

简介：该样本回连IP与Mirai 变体样本具有强关联,推测为Mirai变体之一

关键词：x86.sh Mirai

elkeid_20221208_botnet_6(tsunami)分析报告

简介：该样本为tsunami 族内样本,属于僵尸网络类型的样本

关键词：tsunami x001804289383 tsh

elkeid_20221109_botnet_7(dota)分析报告

简介：catvsdog是Mirai的启动脚本，会下载执行Mirai，主要建大规模僵尸网络进行DDos攻击。Mirai由于代码开源，不断产生了多种变体，往往与0/N-Day漏洞利用结合，具有很强的感染性。

关键词：dota.tar.gz X17-unix

elkeid_20221202_botnet_8(arhivehaceru_Update)分析报告

简介：arhivehaceru_Update为botnet样本，下载自arhivehaceru.com域名，感染主机后构建僵尸网络，可发动DDos攻击。

关键词：./History arhivehaceru

elkeid_20221202_botnet_9(arhivehaceru_Update)分析报告

简介：yy.py样本执行了ssh登陆后通过vim编辑的yy.py文件。同时行为集合中存在/root/pty样本的关联行为，该样本与僵尸网络和挖矿有关

关键词：yy.py x001804289383

elkeid_20230110_botnet_10(smofpieenq)样本分析报告

简介：yy.py样本执行了ssh登陆后通过vim编辑的yy.py文件。同时行为集合中存在/root/pty样本的关联行为，该样本与僵尸网络和挖矿有关

关键词：smofpieenq

elkeid_20220731_botnet_11(Oblivion)样本报告

简介：Oblivion121样本为gafgyt样本关联脚本，利用Shellshock 漏洞进行分发。用于连接硬编码的 C&C 地址。

关键词：Oblivion x001804289383

Miner

elkeid_20220809_miner_1(cleanfda样本)分析报告

简介：Cleanfda是一种挖矿木马，通常会通过未授权命令执行漏洞攻击目标主机,并利用SSH爆破等方式呈蠕虫式传播。

关键词：cleanfda newinit.sh is.sh

elkeid_20220725_miner_2(robertreynolds2样本)分析报告

简介： robertreynolds2是github上的一个挖矿样本

关键词：robertreynolds2

elkeid_20220609_miner_3分析报告

简介：该样本ssh登陆后针对hive os挖矿平台进行操作，设置用户密码并关闭开放服务减少暴露。猜测可能为批量扫描暴露的矿机进行利用。

关键词：i2gji23g4jigh3gji4hggij345hgh

elkeid_20221120_miner_4分析报告

简介：该样本通过ssh登录后,存在一系列修改定时任务,清除挖矿竞品,重命名系统命令的行为,具有较强的挖矿样本的特征

关键词：download.sh .mm.jpg x001804289383

elkeid_20221207_miner_5(b4ngl4d3shS3N941)分析报告

简介：该样本通过ssh登录后,存在一系列修改定时任务、清除挖矿竞品、读取系统信息的行为,根据不同系统架构执行脚本,具有较强的挖矿样本的特征

关键词：b4ngl4d3shS3N941 .billgates spreader

elkeid_20221106_miner_6(hoze)分析报告

简介：hoze样本为挖矿样本，感染x86_64主机，通过多个样本/脚本链式启动，并且会及时清理自身痕迹，还会进行添加用户、密码、公钥等持久化行为

关键词：hoze secure

elkeid_20221120_miner_7分析报告

简介：该样本通过ssh暴破登录后,存在一系列修改定时任务,清除挖矿竞品,重命名系统命令的行为,具有较强的挖矿样本的特征.

关键词：httpss .sh

elkeid_20230131_miner_8(x86_64)样本分析报告

简介：该样本通过ssh暴破登录后，存在一系列更改用户密码，添加用户，重命名系统命令的行为,具有较强的挖矿样本的特征.

关键词：x86_64 ec2-user binfmt_misc

elkeid_20230114_miner_9(xmrig)样本分析报告

简介： ssh暴破登录后，xmrig样本被远程下载并执行，是被广泛使用的挖矿样本

关键词：xmrig networkxm install_xm

elkeid_20230104_miner_10(minerus)样本分析报告

简介：ssh暴破登录后，minerus样本被下载并执行，具备挖矿样本特征。

关键词：minerus cnrig

elkeid_20230121_miner_11(diicot)样本分析报告

简介：ssh暴破登录后，diicot样本通过arhivehaceru.com被下载并执行，具备挖矿样本特征。

关键词：diicot arhivehaceru Opera

elkeid_20230130_miner_12(kthreads)样本分析报告

简介： ssh暴破登录后，kthreads样本被下载并执行，预备连接特定矿池进行挖矿，具备挖矿样本特征。

关键词：kthreads pool.hashvault.pro

elkeid_20230104_miner_13(c3pool)样本分析报告

简介：ssh暴破登录后，c3pool_miner样本从download.c3pool.org远程下载并执行，是被广泛使用的挖矿样本

关键词：setup_c3pool_miner protocoldetect

elkeid_20230213_miner_14(payload)样本分析报告

简介：ssh暴破登录后，payload样本通过arhivehaceru.com被下载并执行，具备挖矿样本特征。

关键词：payload arhivehaceru

Backdoor

elkeid_20220809_backdoor_1(g6h7样本)分析报告

简介：g6h7是一系列相似名称后门类型的样本的简称,会根据不同的系统执行不同的后门程序,如 g6h7.arm,g6h7.wrt等

关键词：g6h7

elkeid_20220609_backdoor_2分析报告

简介：样本关联IP频繁通过暴力破解或窃取的凭据执行 SSH 攻击，通过蜜罐采集行为可知，攻击者在ssh登陆成功后会进行信息收集、修改ssh公钥与系统用户密码。并且在蜜罐中执行行为的时间间隔分布均匀，应为攻击脚本。

关键词：nS97pp7fcZ1qu

elkeid_20220609_backdoor_3分析报告

简介：该样本行为特征中,存在访问恶意IP,文件删除等行为,推测为通过ssh爆破进入的后门样本

关键词：49.142.208.62

elkeid_20221111_backdoor_4分析报告

简介：该样本行为特征中,存在访问恶意IP,加载内核模块,建立后门等行为,与gates后门样本有相似行为,推测为通过ddos进入的后门样本

关键词：S97DbSecuritySpt bsd-port

elkeid_20230216_backdoor_5(messages)样本分析报告

简介：messages是一种未知恶意样本，推测为后门。

关键词：messages

ssh暴破后执行

简介：该样本行为特征中,存在访问恶意IP,文件删除等行为,推测为通过ssh爆破进入的后门样本

ifjeeisurofmioufiose
finalshell_separator
wtmp.honeypot,secscan
alternatives,[Mm]iner
ns3.jpg,oto,sos.vivi.sg
nS97pp7fcZ1qu
games, x
BC20mxv7lX91

Elkeid blogs

Elkeid 蜜罐样本分析报告

Botnet

Miner

Backdoor

ssh暴破后执行