Goldoon Botnet IOCs

botnet IOC
Опубликовано

В апреле был обнаружен новый ботнет, названный "Goldoon", который использует уязвимость D-Link CVE-2015-2051 для распространения. Уязвимость позволяет злоумышленникам выполнять произвольные команды через действие GetDeviceSettings на интерфейсе HNAP. Злоумышленник может создать поддельный HTTP-запрос с вредоносной командой, встроенной в заголовок.

Ботнет "Goldoon" использует уязвимость для загрузки файла "дроппера" с определенного адреса. Дроппер загружает и выполняет файлы с вредоносными командами на различных архитектурах Linux-систем. Каждый загруженный файл выполняется после загрузки и настройки прав доступа. Затем скрипт удаляет загруженный файл и сам себя для скрытия своей активности.

Дроппер также использует фиксированный заголовок и специальный ключ для загрузки полезной нагрузки ботнета. Он изменяет файлы, на которые может записать, и затем удаляет их после изменения, чтобы стереть следы. Это увеличивает скрытность взломанной системы.

Ботнет "Goldoon" инициализирует необходимые аргументы и устанавливает автозапуск на устройстве жертвы. Он устанавливает постоянное соединение с сервером команд и контроля (C2) и ожидает команд от него для выполнения действий. Ботнет шифрует трафик и устанавливает DNS-сервер Google в качестве DNS-резолвера.

Ботнет "Goldoon" может выполняться при загрузке компьютера жертвы, либо создаваться в виде демона, либо автоматически запускаться, когда жертва входит в систему. Ботнет постоянно пытается подключиться к серверу C2 и записывает информацию о системе жертвы.

Этот ботнет представляет серьезную угрозу, так как злоумышленники могут получить полный контроль над скомпрометированными устройствами и использовать их для дальнейших атак, таких как распределенный отказ в обслуживании (DDoS). Анализ данного ботнета позволил выявить его методы распространения, автозапуска и взаимодействия с C2 сервером.

Indicators of Compromise

IPv4

  • 94.228.168.60

SHA256

  • 037331ab84a841b9d3cfb6f8797c1695e2dc0a2cdcc3f8f3c794dfaa50bcf0df
  • 0e6eb17664943756cab434af5d94fcd341f154cb36fc6f1ef5eb5cfdce68975f
  • 115e15fbee077a9e126cc0eb349445df34cc9404245520c702fadc5f75b6f859
  • 246142a5e3f3d3f84d8b38f98ff6897b03628e06e31016b8fafc9eb8c2b6201d
  • 3123a458a6346fd14c5bd7d41cda6c9c9bdabc786366a9ab3d5e7c00132ff835
  • 45bf2c9c6628d87a3cb85ee78ae3e92a09949185e6da11c41e2df04a53bb1274
  • 48130a7c09a5c92e15b3fc0d2e1eb655e0bd8f759e01ba849f7734e32dbc2652
  • 5631980fab33525f4de1b47be606cd518403f54fa71b81186f02dbf7e9ed0004
  • 66f21251d7f8c58316f149fec104723beb979a1215ad4e788d83f0ee6fd34696
  • 712d9abe8fbdff71642a4d377ef920d66338d73388bfee542f657f2e916e219c
  • 88cea61218bdeea94537b74c67873e75b8ada6d050a30d311569c3118d161c46
  • 8eb9c1eaecd0dcdd242e1bc8c62a1052915b627abe2de8ce147635fb7da3bfcc
  • 9af8720766c5f3978718c026c2263801b08634443c93bd67022c56c6ef531ef3
  • aa9e6006bce7d0b4554165dba76e67c4a44d98090c9e6ac9f3dca726f6e9adbf
  • b050a1ff0d205f392195179233493ff5b6f44adc93fe0dba1f78c4fe90ebcc46
  • b10e47db989e29ace6c23ed15e29f313993f95e5e615711060881dfa84618071
  • c81cfe4d3b98d0b28d3c3e7812beda005279bc6c67821b27571240eba440fa49
  • d7367d41d19baa4f1022f8eb47f7ff1e13f583265c7c26ab96d5f716fa0d61ee
  • df71219ba6f5835309479b6e3eaca73b187f509b915420656bfe9a9cc32596c2
  • e7b78f16d0dfc91b4c7e8fd50fc31eba1eb22ec7030af9bf7c551b6019c79333
  • fc44018b7432d9e6a1e98f723b0402101fa6e7483d098b10133aac142c0a4a0b
  • fdf6dae772f7003d0b7cdc55e047434dbd089e0dc7664a3fae8ccfd9d10ece8c
  • ffd2d3888b6b1289e380fa040247db6a4fbd2555db3e01fadd2fe41a0fa2debc
Похожие записи:
  1. Beastmode Botnet IOC
  2. Enemybot Botnet IOC
  3. Emotet Botnet IOCs
  4. BianLian (Hydra) Botnet IOCs
  5. RapperBot Botnet IOCs
Botnet CVE-2015-2051 FortiGuard Labs Goldoon
SEC-1275-1
Добавить комментарий