shell脚本样本_一起“深空失忆”僵尸网络样本分析

最新推荐文章于 2022-07-29 10:57:02 发布
最新推荐文章于 2022-07-29 10:57:02 发布
阅读量167 收藏
点赞数
文章标签: shell脚本样本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39606244/article/details/111621739
版权

近期通过蜜罐监测到Mirai僵尸网络的最新网络活动,发现该僵尸网络病毒近期异常活跃,同时针对多个地区发起网络攻击。

Pandorum—《深空失忆》讲述了一群宇航员在飞船上沉睡了多年,突然醒来后完全没有记忆,并遭遇不明外星生物攻击的故事。Mirai悄无声息的活跃起来。

d1d8962ab784d357e56192deee14ce48.png

该病毒是一个主要专注扫描SSH、并且带有网络爆破行为的僵尸网络,Mirai僵尸网络于2016年8月由恶意软件研究小组MalwareMustDie首次发现,并已广泛应用于破坏性的分布式拒绝服务(DDoS)攻击中,活动至今。

2020年8月2日清晨,捕获到shell脚本,该样本有很多个版本。

75b650a1204595790701c1a063d5095d.png

0X00 样本介绍

样本基本信息:

样本MD5内容
wget.sh9db51258f44f6b45328e684f0bdcc08cShell脚本,下载ssh爆破病毒
curl.sh37924436b09df71b137f4e91a933d382Shell脚本,下载Marai僵尸网络病毒
w.arm8a0cd59ae21434f9f6ef615ec3019698dssh爆破病毒
pandorum.arm86507e48941a169d13cc54e982f230746Mirai僵尸网络

0X001 详细分析

wget.sh脚本的脚本内容如下所示,主要包括不同版本的:

caf8afa170df490bd6d112c9cfc90fd6.png

curl.sh脚本包含的内容如下:

55bb2917326e41bdae986bc3bc25a253.png

该僵尸网络,可以攻击包括ARM、ARM、x86、x64、MIPS和MSPP在内的一系列CPU架构。在感染过程中,shell脚本会下载所有的病毒样本,并不会基于不同CPU架构而选择性下载。

包含了两个shell脚本,wget.sh脚本,从攻击者控制的服务器中执行ssh爆破行为,如果爆破成功,则会进行连接,下载marai僵尸网络并执行。

w.arm8的行为特征如下:

fa4780664fc11348034a2d3eaa492d81.png

2-1 爆破行为特征

da8d05e6e39082bca1cd2fedd84dadb6.png

2-2 ssh连接和下载Marai僵尸网络行为特征

pandorum.arm8的行为特征如下:

83f04e60b1dc8e1a4bdcf6986bfeb761.png

2-3 Mirai源代码痕迹

很典型的Marai僵尸网络特征。针对该僵尸网络特征检测的yara规则可以参考:

https://github.com/Neo23x0/signaturebase/blob/master/yara/crime_mirai.yar

041eb9ab08ad7e578dbfd06577f7a6a1.png

2-4 Mirai YARA 检测规则

0X002 相关**IOC**

MD5

9db51258f44f6b45328e684f0bdcc08c

37924436b09df71b137f4e91a933d382

a0cd59ae21434f9f6ef615ec3019698d

6507e48941a169d13cc54e982f230746

C2

46.246.41.29

URL

http://46.246.41.29/wget.sh

http://46.246.41.29/curl.sh

http://46.246.41.29/w.arm8

http://46.246.41.29/w.arm7

http://46.246.41.29/w.arm6

http://46.246.41.29/w.arm5

http://46.246.41.29/w.arm

http://46.246.41.29/w.mips

http://46.246.41.29/w.mpsl

http://46.246.41.29/w.x64

http://46.246.41.29/w.x86

http://46.246.41.29/pandorum.arm8

http://46.246.41.29/pandorum.arm7

http://46.246.41.29/pandorum.arm6

http://46.246.41.29/pandorum.arm5

http://46.246.41.29/pandorum.arm;

http://46.246.41.29/pandorum.arc

http://46.246.41.29/pandorum.mips64

http://46.246.41.29/pandorum.mips

http://46.246.41.29/pandorum.mpsl

http://46.246.41.29/pandorum.m68k

http://46.246.41.29/pandorum.risc

http://46.246.41.29/pandorum.risc64

http://46.246.41.29/pandorum.xtn

http://46.246.41.29/pandorum.ns2

http://46.246.41.29/pandorum.sh4

http://46.246.41.29/pandorum.x64;

http://46.246.41.29/pandorum.x86

http://46.246.41.29/pandorum.x48

http://46.246.41.29/pandorum.x32

http://46.246.41.29/pandorum.spc

http://46.246.41.29/pandorum.blaze

http://46.246.41.29/pandorum.ppc

21967a69cfd0dee56a1bdb993e8b6d9d.gif

精彩推荐

acafdd385dad96a67117281c613ea1ef.png 94c00b5f6a91ea84213dfed00635ca16.png e05a0c807581c51628a539a4beddf32d.png

25100a1a6885c74d1ad95236381a5a51.png81f33b5c8efd778be186a5b65844caa7.png

d9fbea113f4eb7ba5fa6c5f99f335b98.png

0ac01ab95cc140b5397ad3b559fe06ae.gif

weixin_39606244
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mirai病毒样本分析
PwnGuo的博客
07-22 2216
发这篇的时候已经是在此岗位工作接近尾声等待交接离职,交接过程中发现自己刚开始做支撑时候遇到驻场人员发现态势感知检a测到有mirai样本样本跑不起来,驻场人员对网络需要排查确定甲方设备安全。通过发回的样本进行分析,提供驻场人员相关建议,简单的做了一点分析记录,直接分享出来。具体的事件已经记不大清楚。 样本信息: PEID查看样本为UPX加壳程序。 ...
【Python脚本进阶】2.2、构建一个SSH僵尸网络(上):SSH交互脚本
07-28 690
【Python脚本进阶】SSH僵尸网络
服务器又中毒了,得治一治!
BioIT爱好者
08-03 2065
...
kinsing挖矿僵尸网络初始化脚本-注释版
makaisghr的专栏
06-01 1422
#!/bin/sh #Linux ulimit命令用于控制shell程序的资源。连接数设置为最大 ulimit -n 65535 #删除系统日志 rm -rf /var/log/syslog #关闭 /tmp /var/tmp 目录不可更改属性 chattr -iua /tmp/ chattr -iua /var/tmp/ #关闭防火墙 UFW,全称 Uncomplicated Firewall,是通过 iptables 实现的防火墙工具 ufw disable #清空iptables iptables
【Python脚本进阶】2.2、组建一个SSH僵尸网络(终)
07-29 641
【Python脚本进阶】组建僵尸网络
给linux的shell脚本加密(ZT).rar_Linux shell_shell 脚本_shell加密_shell脚本
09-23
在Linux系统中,Shell脚本是一种非常强大的工具,它允许用户编写自动化任务,执行系统管理操作,甚至构建复杂的程序。然而,随着脚本的复杂性和重要性增加,保护脚本内容的安全变得至关重要,特别是当脚本包含敏感...
shell_ip_orangewgz_linux_shell_shell编程_shell脚本_
10-02
本文将深入探讨标题"shell_ip_orangewgz_linux_shell_shell编程_shell脚本_"所提及的利用Shell编写判断IP地址合法性的脚本这一主题。我们将围绕Linux ShellShell脚本shell编程以及如何在orangewgz Linux发行版上...
16shell脚本进阶_练习答案.zip
06-15
16shell脚本进阶_练习答案。 1. 判断/var/目录下所有文件的类型 2. 添加10个用户user1-user10,密码为8位随机字符 3. /etc/rc.d/rc3.d目录下分别有多个以K开头和以S开头的文件;分别读取每个文件,以K开头的输出为...
一个强大的网络分析shell脚本分享(实时流量、连接统计)
09-15
本文将介绍一个强大的网络分析Shell脚本,该脚本具备实时流量监控和连接统计等功能,适用于系统管理员进行网络性能分析和安全监控。以下是脚本的主要特点和实现方法: 1. **实时监控任意网卡流量**:通过读取`/proc...
Shell脚本实现查杀子进程、僵尸进程
09-15
在本文中,我们探讨了如何使用Shell脚本来查找并清理子进程和僵尸进程。僵尸进程是指已结束但其父进程尚未从内核中删除其进程描述符的进程,而子进程则是由其他进程(父进程)创建的进程。 首先,脚本接收一个参数...
基于分布式的僵尸网络主动探测方法研究
01-15
僵尸网络是当前互联网上存在的一类严重安全威胁。传统的被动监控方法需要经过证据积累、检测和反应的过程,只能在实际恶意活动发生之后发现僵尸网络的存在。提出了基于僵尸网络控制端通信协议指纹的分布式主动探测方法,通过逆向分析僵尸网络的控制端和被控端样本,提取僵尸网络通信协议,并从控制端回复信息中抽取通信协议交互指纹,最后基于通信协议指纹对网络上的主机进行主动探测。基于该方法,设计并实现了ActiveSpear主动探测系统,该系统采用分布式架构,扫描所使用的IP动态变化,支持对多种通信协议的僵尸网络控制端的并行扫描。在实验环境中对系统的功能性验证证明了方法的有效性,实际环境中对系统扫描效率的评估说明系统能够在可接受的时间内完成对网段的大规模扫描。
一次被僵尸网络病毒攻击的过程
weixin_34025151的博客
02-26 807
事件背景 回想起来应该算是去年的事情了, 时值 2019 年 1 月 24 日早上, 当时我正忙碌于开发手头的一个珠宝分销系统项目, 由于已经进行了多日封闭式开发, 项目初见效果, 准备放到内网服务器 A 上跑跑看. 项目的一些功能需要通过公网才能访问, 于是便打算通过一台之前就架设在公网的服务器 B上做 SSH 端口转发, 将服务器 A...
悬镜安全丨德国电信断网事件详细分析:mirai僵尸网络的新变种和旧主控
Anprou的博客
11-30 2751
新变种的感染和植入过程已经被安全社区广泛讨论,例如下面的这篇文章,这里不再赘述,读者可以自行扩展阅读。
僵尸网络病毒之BotNet扫盲、预防及清除
kevinhg的博客
10-14 9497
僵尸网络(英文名称叫BotNet),是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”(如:信用卡,网络银行支付帐号,股票资金帐户.等等)。
Mirai僵尸网络
zheng_zmy的博客
06-15 5921
《Understanding the Mirai Botnet》选择这篇论文是想了解一下物联网设备现如今面临的安全威胁,这篇文章选题是在当时对美国等多个国家的其由于在2016年导致美国大范围网络瘫痪而名噪一时的Mirai僵尸网络,这篇论文对于Mirai僵尸网络进行了完整的分析。但是这是一篇实验记录的文章,主要讲了他们对Mirai的哪些方面做了研究,收集了什么样本,怎么做的实验,得出什么结果,对于想了解Mirai的读者我不怎么友好。因此我结合了一些网上搜集的相关文章来简单介绍一下Mirai以及蜜罐。 僵尸网络
恶意代码Mirai的编译
06-13 1442
        毕业设计的题目是恶意代码Mirai的研究与实验,所有趁着刚学完打算写点文章做做笔记。从运行原理和原帖的安装指导中不难看出,安装主要分为编译,主控安装,接收器加载器安装等几部分。1、 源码下载地址:https://github.com/jgamblin/Mirai-Source-Code 下载命令: git clone https://git...
BotenaGo 僵尸网络利用33个exploit 攻击数百万物联网设备
smellycat000的专栏
11-12 503
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士研究人员发现 BotenaGo 恶意软件僵尸网络使用30多个exploit,攻击数百万台路由器和物联网设备。BotenaGo 用Gola...
记一次挖矿病毒kdevtmpfsi,xmrig,定时任务crontab不能更改,及莫名的curl,导致CPU过高,占用网络连接数过大的解决办法
yongxuezhen的博客
04-14 3399
一、警告 二、解决病毒 1.docker 引发的挖矿程序的惨案 (1)病毒原因 (2)解决病毒 2.定时任务crontab不能更改 3.更改ssh端口 4.莫名的curl,导致CPU过高 三、完成 一、警告 在linux中使用docker,redis,ssh,tomcat等 的时候,建议全部更改成自己自定义的端口,开启防火墙并开发自己需要的端口。 二、解决病毒 1.d...
Botnet僵尸网络:可怕而无声的网络罪犯
亚信安全-云安全博客
04-13 4056
<br /> <br />  调查局在最近的一份报告中指出2010年是僵尸网络(Botnet)年,全球遭遇攻击数量中僵尸网络名列第一。不久前,台湾当局就破获了一起国家级的僵尸网络;该僵尸网络连接台湾的主控台(CNC),以2万多个病毒,对30多个国家同时发动拒绝式服务的攻击。<br />  僵尸网络(Botnet)到底是怎么发动攻击的?以下这篇深入剖析文章是由趋势科技Sr. Dev Manager Arther Wu所撰写。<br />Botnet 僵尸网络:<br />  无声的主流威胁恐使电脑使用者成罪
shell脚本备份mysql_shell脚本备份MySQL数据库
最新发布
08-30
首先,您需要创建一个新的Shell脚本文件,比如说`backup_mysql.sh`,并将其保存到您的Linux服务器上。 接下来,您可以使用以下代码来编写脚本: ``` #!/bin/bash # 定义备份目录和文件名 BACKUP_DIR="/var/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值