境外僵尸网络攻击溯源与样本分析
💡
原文中文,约15300字,阅读约需37分钟。
📝
内容提要
蜜罐捕获了18个样本,主要是一个用于从特定IP下载并执行文件的下载器。攻击IP为188.166.242.49,样本为shell文件,通过爆破SSH传播,可能用于DDoS攻击。样本连接C&C服务器接收命令,支持多平台,具有强传播和攻击能力。特征码和攻击流程已记录。
🎯
关键要点
- 蜜罐捕获了18个样本,主要是一个下载器。
- 攻击IP为188.166.242.49,样本为shell文件,通过爆破SSH传播。
- 样本连接C&C服务器接收命令,支持多平台,具有强传播和攻击能力。
- 样本通过wget命令下载文件并修改权限后执行,清理痕迹。
- 攻击Payload信息显示其通过恶意软件进行攻击。
- 样本分析显示其可能用于DDoS攻击,具有蠕虫特性。
- 样本内部包含大量网络通信字符串,表明其主要行为为网络通信。
- 样本通过创建进程并使用setsid脱离控制台,发送宿主机环境信息至C&C服务器。
- 样本能够接收C&C服务器的控制命令并执行相应的攻击。
- 攻击流程涉及爆破服务器并上传下载器脚本,下载蠕虫程序感染主机。
➡️
