【原创】记录蜜罐捕获到的一个样本分析
💡
原文中文,约5500字,阅读约需13分钟。
📝
内容提要
今晚18个样本被蜜罐捕获,样本是一个下载器,攻击IP存在恶意软件攻击行为。对子样本进行分析,修改母样本,将子样本下载到虚拟机。A5样本可能是一个蠕虫程序,用于爆破ssh进行传染和DDOS攻击。
🎯
关键要点
- 今晚捕获18个样本,主要是一个下载器,攻击IP存在恶意软件攻击行为。
- 样本通过wget命令下载文件到/tmp目录,并修改文件权限后执行。
- 攻击IP 178.215.236.209的payload用于传播恶意木马。
- 对样本进行分析,发现A5样本可能是一个蠕虫程序,用于爆破ssh进行传染和DDOS攻击。
- A5样本中包含大量user-agent信息和DDOS攻击相关字符串。
- 动态分析A5样本时遇到格式不匹配问题,无法运行。
❓
延伸问答
蜜罐捕获的样本主要是什么类型的恶意软件?
主要是一个下载器,用于下载恶意文件并执行。
攻击IP 178.215.236.209的行为是什么?
该IP存在通过恶意软件进行攻击的行为,传播恶意木马。
A5样本可能用于什么攻击?
A5样本可能是一个蠕虫程序,用于爆破SSH进行传染和DDOS攻击。
样本是如何下载和执行恶意文件的?
样本通过wget命令下载文件到/tmp目录,并修改文件权限后执行。
在动态分析A5样本时遇到了什么问题?
动态分析时遇到格式不匹配问题,无法运行。
如何对捕获的样本进行进一步分析?
可以修改母样本,使其将所有子样本下载到虚拟机,但不运行。
➡️
