入侵 后门连接 求分析
疑似挖矿但未找到配置文件
n789sesb 2019-12-25 09:37:42 1297人浏览

偶然获取到的样本,样本大概从12-20 、12-21开始活动的,目前大概有3个主样本。

我分析的是第三次样本,脚本有些小改。

第一个脚本:

http://142.44.191.122/spre.sh

主要功能获取ip,并下载第二个脚本

1.jpg

第二个脚本:

http://142.44.191.122/spr.sh

执行卸载阿里云安骑士并kill进程还删除了文件

2.jpg

3.jpg4.jpg

5.jpg


下载kingsing

6.jpg

7.jpg8.jpg

9.jpg

目前为止,第二个样本没有发现挖矿的.conf配置文件

10.jpg

有意思的是,在kinsing样本里发现了哈姆雷特的剧本¿¿¿

11.jpg

能力有限,直接扔到了微步云沙箱

检测结果:可疑文件

12.jpg

往91.215.169.111发起请求

hxxp://91.215.169.111/h

hxxp://91.215.169.111/get

hxxp://91.215.169.111/getT

hxxp://91.215.169.111/s

hxxp://91.215.169.111/mg

hxxp://91.215.169.111/ms

13.jpg


通过这一步步,还是没有分析清除这个样本,求大佬分析一波

这几天的观察,

第一个kinsing:190a2e140771413821e535aeb31e96b9

第二个kinsing:6f9cae2a24e9d7a9c5d147f51e885827

第三个kinsing:3bc057c2f9a468ad8bae97f4bc862b92

boy666 2020-01-07 09:56:24 回复
谁说挖矿程序一定要配置文件的?直接硬编码就完事了
匿名用户 2019-12-27 15:18:30 回复
沙箱运行结果里面就有矿池,得看流量包里面的Ip
奖励计划banner
今日推荐