shell脚本样本_一起“深空失忆”僵尸网络样本分析

最新推荐文章于 2023-02-18 20:10:04 发布
最新推荐文章于 2023-02-18 20:10:04 发布
阅读量164 收藏
点赞数
文章标签: shell脚本样本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39606244/article/details/111621739
版权

近期通过蜜罐监测到Mirai僵尸网络的最新网络活动,发现该僵尸网络病毒近期异常活跃,同时针对多个地区发起网络攻击。

Pandorum—《深空失忆》讲述了一群宇航员在飞船上沉睡了多年,突然醒来后完全没有记忆,并遭遇不明外星生物攻击的故事。Mirai悄无声息的活跃起来。

d1d8962ab784d357e56192deee14ce48.png

该病毒是一个主要专注扫描SSH、并且带有网络爆破行为的僵尸网络,Mirai僵尸网络于2016年8月由恶意软件研究小组MalwareMustDie首次发现,并已广泛应用于破坏性的分布式拒绝服务(DDoS)攻击中,活动至今。

2020年8月2日清晨,捕获到shell脚本,该样本有很多个版本。

75b650a1204595790701c1a063d5095d.png

0X00 样本介绍

样本基本信息:

样本MD5内容
wget.sh9db51258f44f6b45328e684f0bdcc08cShell脚本,下载ssh爆破病毒
curl.sh37924436b09df71b137f4e91a933d382Shell脚本,下载Marai僵尸网络病毒
w.arm8a0cd59ae21434f9f6ef615ec3019698dssh爆破病毒
pandorum.arm86507e48941a169d13cc54e982f230746Mirai僵尸网络

0X001 详细分析

wget.sh脚本的脚本内容如下所示,主要包括不同版本的:

caf8afa170df490bd6d112c9cfc90fd6.png

curl.sh脚本包含的内容如下:

55bb2917326e41bdae986bc3bc25a253.png

该僵尸网络,可以攻击包括ARM、ARM、x86、x64、MIPS和MSPP在内的一系列CPU架构。在感染过程中,shell脚本会下载所有的病毒样本,并不会基于不同CPU架构而选择性下载。

包含了两个shell脚本,wget.sh脚本,从攻击者控制的服务器中执行ssh爆破行为,如果爆破成功,则会进行连接,下载marai僵尸网络并执行。

w.arm8的行为特征如下:

fa4780664fc11348034a2d3eaa492d81.png

2-1 爆破行为特征

da8d05e6e39082bca1cd2fedd84dadb6.png

2-2 ssh连接和下载Marai僵尸网络行为特征

pandorum.arm8的行为特征如下:

83f04e60b1dc8e1a4bdcf6986bfeb761.png

2-3 Mirai源代码痕迹

很典型的Marai僵尸网络特征。针对该僵尸网络特征检测的yara规则可以参考:

https://github.com/Neo23x0/signaturebase/blob/master/yara/crime_mirai.yar

041eb9ab08ad7e578dbfd06577f7a6a1.png

2-4 Mirai YARA 检测规则

0X002 相关**IOC**

MD5

9db51258f44f6b45328e684f0bdcc08c

37924436b09df71b137f4e91a933d382

a0cd59ae21434f9f6ef615ec3019698d

6507e48941a169d13cc54e982f230746

C2

46.246.41.29

URL

http://46.246.41.29/wget.sh

http://46.246.41.29/curl.sh

http://46.246.41.29/w.arm8

http://46.246.41.29/w.arm7

http://46.246.41.29/w.arm6

http://46.246.41.29/w.arm5

http://46.246.41.29/w.arm

http://46.246.41.29/w.mips

http://46.246.41.29/w.mpsl

http://46.246.41.29/w.x64

http://46.246.41.29/w.x86

http://46.246.41.29/pandorum.arm8

http://46.246.41.29/pandorum.arm7

http://46.246.41.29/pandorum.arm6

http://46.246.41.29/pandorum.arm5

http://46.246.41.29/pandorum.arm;

http://46.246.41.29/pandorum.arc

http://46.246.41.29/pandorum.mips64

http://46.246.41.29/pandorum.mips

http://46.246.41.29/pandorum.mpsl

http://46.246.41.29/pandorum.m68k

http://46.246.41.29/pandorum.risc

http://46.246.41.29/pandorum.risc64

http://46.246.41.29/pandorum.xtn

http://46.246.41.29/pandorum.ns2

http://46.246.41.29/pandorum.sh4

http://46.246.41.29/pandorum.x64;

http://46.246.41.29/pandorum.x86

http://46.246.41.29/pandorum.x48

http://46.246.41.29/pandorum.x32

http://46.246.41.29/pandorum.spc

http://46.246.41.29/pandorum.blaze

http://46.246.41.29/pandorum.ppc

21967a69cfd0dee56a1bdb993e8b6d9d.gif

精彩推荐

acafdd385dad96a67117281c613ea1ef.png 94c00b5f6a91ea84213dfed00635ca16.png e05a0c807581c51628a539a4beddf32d.png

25100a1a6885c74d1ad95236381a5a51.png81f33b5c8efd778be186a5b65844caa7.png

d9fbea113f4eb7ba5fa6c5f99f335b98.png

0ac01ab95cc140b5397ad3b559fe06ae.gif

weixin_39606244
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux shell 脚本 入门到实战详解[⭐建议收藏!!⭐]
心有鸿鹄天地,不敢妄坠人间
09-28 26万+
文章目录shell 入门到实战详解[⭐建议收藏!!⭐]关于作者**作者介绍**一、shell 入门简介1.1 什么是shell1.2 shell 编程注意事项1.3 第一个shell 脚本 hello world二、shell 环境变量讲解2.1 shell 变量详解2.2 shell 系统变量 介绍2.3 shell 环境变量 介绍2.3.1 常见的系统环境变量2.4 shell 用户环境变量 介绍2.4.1 自定义shell环境变量2.4.2 echo 打印菜单栏2.4.3 shell 中彩色输出 h
adb shell 执行sh脚本_android手机执行shell脚本
weixin_36431535的博客
12-30 6005
注意:1.手机必须root2.shell脚本需要有执行权限流程:1.编写shell脚本#!/system/bin/shi=1while [ $i -le 100]dolet i++sleep2input swipe100 950 200 300 150done解释:每隔2秒滑屏一次,一共滑动100次(这个脚本比较简单,明白流程后可自行优化)2.把shell脚本传到/data/目录(/system目...
基于分布式的僵尸网络主动探测方法研究
01-15
僵尸网络是当前互联网上存在的一类严重安全威胁。传统的被动监控方法需要经过证据积累、检测和反应的过程,只能在实际恶意活动发生之后发现僵尸网络的存在。提出了基于僵尸网络控制端通信协议指纹的分布式主动探测方法,通过逆向分析僵尸网络的控制端和被控端样本,提取僵尸网络通信协议,并从控制端回复信息中抽取通信协议交互指纹,最后基于通信协议指纹对网络上的主机进行主动探测。基于该方法,设计并实现了ActiveSpear主动探测系统,该系统采用分布式架构,扫描所使用的IP动态变化,支持对多种通信协议的僵尸网络控制端的并行扫描。在实验环境中对系统的功能性验证证明了方法的有效性,实际环境中对系统扫描效率的评估说明系统能够在可接受的时间内完成对网段的大规模扫描。
僵尸网络被控端恶意样本分析
weixin_34293902的博客
03-08 506
360安全卫士 · 2016/01/05 18:33Author:王阳东(云安全研究员)@360信息安全部0x00 引子近期, 部署于360云平台(cloud.360.cn)的”360天眼威胁感知系统”发现系统告警某合作伙伴刚开通的云主机存在异常流量,联合排查后发现有恶意攻击者利用redis crackit漏洞入侵服务器并种植了名为unama的恶意程序。 360云安全研究员 --“王阳东”对此恶意...
kinsing挖矿僵尸网络初始化脚本-注释版
makaisghr的专栏
06-01 1401
#!/bin/sh #Linux ulimit命令用于控制shell程序的资源。连接数设置为最大 ulimit -n 65535 #删除系统日志 rm -rf /var/log/syslog #关闭 /tmp /var/tmp 目录不可更改属性 chattr -iua /tmp/ chattr -iua /var/tmp/ #关闭防火墙 UFW,全称 Uncomplicated Firewall,是通过 iptables 实现的防火墙工具 ufw disable #清空iptables iptables
【Python脚本进阶】2.2、构建一个SSH僵尸网络(上):SSH交互脚本
07-28 648
【Python脚本进阶】SSH僵尸网络
行走的漏洞利用机器人:僵尸网络病毒携71个EXP占领高地
whatday的专栏
12-31 964
前言 僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的...
shell脚本语言(超全超详细)
热门推荐
兰天禄的博客
04-20 31万+
shell脚本语言1、shell的概述2、脚本的调用形式打开终端时系统自动调用:/etc/profile 或 ~/.bashrc3、shell语法初识3.1、定义以开头:#!/bin/bash3.2、单个"#"号代表注释当前行第一步:编写脚本文件第二步:加上可执行权限第三步:运行三种执行方式 (./xxx.sh bash xxx.sh . xxx.sh)./xxx.sh......
shell脚本内调用另外一个shell脚本的几种方法
网络资源是无限的
02-18 1万+
shell脚本内调用另外一个shell脚本的几种方法
shell sleep毫秒_Shell脚本之date、sleep、usleep命令
weixin_39996798的博客
12-22 8874
1.1 date命令date用于获取和设置操作系统的时间,还有hwclock是获取硬件时间。date有个选项"-d",可以用来描述获取什么时候的时间,描述的方式非常开放,但不能使用"now"关键字,其他的如3天前"3 days ago",3天后"3 days",昨天"yesterday",下周一"next Monday",epoch时间"@EPOCH"等等。Linux中设置date命令的显示格式:...
给linux的shell脚本加密(ZT).rar_Linux shell_shell 脚本_shell加密_shell脚本
09-23
给linux的shell脚本加密(ZT).rar
16shell脚本进阶_练习答案.zip
06-15
16shell脚本进阶_练习答案。 1. 判断/var/目录下所有文件的类型 2. 添加10个用户user1-user10,密码为8位随机字符 3. /etc/rc.d/rc3.d目录下分别有多个以K开头和以S开头的文件;分别读取每个文件,以K开头的输出为...
shell_ip_orangewgz_linux_shell_shell编程_shell脚本_
10-02
利用shell编程编写的判断IP地址是否合法的脚本
一个强大的网络分析shell脚本分享(实时流量、连接统计)
09-15
主要介绍了一个强大的网络分析shell脚本分享,此脚本包含实时流量统计、连接统计强大功能,需要的朋友可以参考下
Shell脚本实现查杀子进程、僵尸进程
01-11
核心服务器上跑了一堆的脚本、程序,难免有时候会出现僵尸进程,死不死活不活的在那里占用资源,最初只是写了个根据关键字查杀进程的linux shell脚本,后来发现很多时候进程死在那里的时候其实是内部调用子进程的...
cmake:使用execute_process调用shell命令或脚本
Magnum的博客
07-30 2万+
CMake可以通过execute_process调用shell命令或者脚本,其原型如下: execute_process(COMMAND <cmd1> [args1...]] [COMMAND <cmd2> [args2...] [...]] [WORKING_DIRECTORY <directory...
基于springboot+vue+MySQL实现的在线考试系统+源代码+文档
06-01
web期末作业设计网页 基于springboot+vue+MySQL实现的在线考试系统+源代码+文档
318_面向物联网机器视觉的目标跟踪方法设计与实现的详细信息-源码.zip
06-02
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
FPGA Verilog 计算信号频率,基础时钟100Mhz,通过锁相环ip核生成200Mhz检测时钟,误差在10ns
最新发布
06-02
结合等精度测量原理和原理示意图可得:被测时钟信号的时钟频率fx的相对误差与被测时钟信号无关;增大“软件闸门”的有效范围或者提高“标准时钟信号”的时钟频率fs,可以减小误差,提高测量精度。 实际闸门下被测时钟信号周期数为X,设被测信号时钟周期为Tfx,它的时钟频率fx = 1/Tfx,由此可得等式:X * Tfx = X / fx = Tx(实际闸门)。 其次,将两等式结合得到只包含各自时钟周期计数和时钟频率的等式:X / fx = Y / fs = Tx(实际闸门),等式变换,得到被测时钟信号时钟频率计算公式:fx = X * fs / Y。 最后,将已知量标准时钟信号时钟频率fs和测量量X、Y带入计算公式,得到被测时钟信号时钟频率fx。
shell脚本备份mysql_shell脚本备份MySQL数据库
08-30
首先,您需要创建一个新的Shell脚本文件,比如说`backup_mysql.sh`,并将其保存到您的Linux服务器上。 接下来,您可以使用以下代码来编写脚本: ``` #!/bin/bash # 定义备份目录和文件名 BACKUP_DIR="/var/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值