freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

一起“深空失忆”僵尸网络样本分析
2020-08-11 15:29:07

近期通过蜜罐监测到Mirai僵尸网络的最新网络活动,发现该僵尸网络病毒近期异常活跃,同时针对多个地区发起网络攻击。

Pandorum--《深空失忆》讲述了一群宇航员在飞船上沉睡了多年,突然醒来后完全没有记忆,并遭遇不明外星生物攻击的故事。Mirai悄无声息的活跃起来。

该病毒是一个主要专注扫描SSH、并且带有网络爆破行为的僵尸网络,Mirai僵尸网络于2016年8月由恶意软件研究小组MalwareMustDie首次发现,并已广泛应用于破坏性的分布式拒绝服务(DDoS)攻击中,活动至今。

2020年8月2日清晨,捕获到shell脚本,该样本有很多个版本。

0X00 样本介绍

样本基本信息:

样本

MD5

内容

wget.sh

9db51258f44f6b45328e684f0bdcc08c

Shell脚本,下载ssh爆破病毒

curl.sh

37924436b09df71b137f4e91a933d382

Shell脚本,下载Marai僵尸网络病毒

w.arm8

a0cd59ae21434f9f6ef615ec3019698d

ssh爆破病毒

pandorum.arm8

6507e48941a169d13cc54e982f230746

Mirai僵尸网络

0X001 详细分析

wget.sh脚本的脚本内容如下所示,主要包括不同版本的:

curl.sh脚本包含的内容如下:

该僵尸网络,可以攻击包括ARM、ARM、x86、x64、MIPS和MSPP在内的一系列CPU架构。在感染过程中,shell脚本会下载所有的病毒样本,并不会基于不同CPU架构而选择性下载。

包含了两个shell脚本,wget.sh脚本,从攻击者控制的服务器中执行ssh爆破行为,如果爆破成功,则会进行连接,下载marai僵尸网络并执行。

w.arm8的行为特征如下:

2-1 爆破行为特征

2-2 ssh连接和下载Marai僵尸网络行为特征

pandorum.arm8的行为特征如下:

  2-3 Mirai源代码痕迹

很典型的Marai僵尸网络特征。针对该僵尸网络特征检测的yara规则可以参考(https://github.com/Neo23x0/signature-base/blob/master/yara/crime_mirai.yar):

 

  2-4 Mirai YARA 检测规则

0X002 相关IOC

MD5

9db51258f44f6b45328e684f0bdcc08c

37924436b09df71b137f4e91a933d382

a0cd59ae21434f9f6ef615ec3019698d

6507e48941a169d13cc54e982f230746

C2

46.246.41.29

URL

http://46.246.41.29/wget.sh

http://46.246.41.29/curl.sh

http://46.246.41.29/w.arm8

http://46.246.41.29/w.arm7

http://46.246.41.29/w.arm6

http://46.246.41.29/w.arm5

http://46.246.41.29/w.arm

http://46.246.41.29/w.mips

http://46.246.41.29/w.mpsl

http://46.246.41.29/w.x64

http://46.246.41.29/w.x86

http://46.246.41.29/pandorum.arm8

http://46.246.41.29/pandorum.arm7

http://46.246.41.29/pandorum.arm6

http://46.246.41.29/pandorum.arm5

http://46.246.41.29/pandorum.arm;

http://46.246.41.29/pandorum.arc

http://46.246.41.29/pandorum.mips64

http://46.246.41.29/pandorum.mips

http://46.246.41.29/pandorum.mpsl

http://46.246.41.29/pandorum.m68k

http://46.246.41.29/pandorum.risc

http://46.246.41.29/pandorum.risc64

http://46.246.41.29/pandorum.xtn

http://46.246.41.29/pandorum.ns2

http://46.246.41.29/pandorum.sh4

http://46.246.41.29/pandorum.x64;

http://46.246.41.29/pandorum.x86

http://46.246.41.29/pandorum.x48

http://46.246.41.29/pandorum.x32

http://46.246.41.29/pandorum.spc

http://46.246.41.29/pandorum.blaze

http://46.246.41.29/pandorum.ppc

本文作者:, 属于FreeBuf原创奖励计划,未经许可禁止转载

# 恶意软件
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑