Zzhbot Malware IOCs

security IOC
Опубликовано

Zzhbot - Интересное вредоносное ПО, скрывающая информацию о скачиваемых файлах по средства передачи ссылок на легитимные ресурсы.

Zzhbot

Способ распространения вредоносного скрипта не известен.Скрипт включает в себя tar архив, в виде base64.

При запуске, скрипт сбрасывает архив в /tmp/vb.tar, в зависимости о того запущен скрипт под пользователем root, распаковка происходит в /usr/bin/vurl, либо /tmp/vurl.

ZzhbotВ качестве аргументов, в зависимости от способов запуска в скрипт передается строка в виде ссылки на легитимные ресурсы

При запуске с правами root скачиваемый и исполняемый bash скрипт, в зависимости от запущенной операционной системы linux отключает и удаляет различные сервисы, к примеру

  • apparmor
  • aliyun
  • YunJing
  • cloudmonitor

После чего скрипт скачивает и запускает дополнительную полезную нагрузку

На последнем этапе работы происходит очистка следующих журналов

  • /var/log/auth.log
  • /var/log/boot.log
  • /var/log/btmp
  • /var/log/cron
  • /var/log/daemon.log
  • /var/log/dmesg
  • /var/log/faillog
  • /var/log/kern.log
  • /var/log/mail.log
  • /var/log/maillog
  • /var/log/messages
  • /var/log/mysql.log
  • /var/log/mysqld.log
  • /var/log/secure
  • /var/log/syslog
  • /var/log/xferlog

Indicators of Compromise

IPv4

  • 170.106.179.197

Domains

  • b.9-9-11.com

User-Agent

  • zzhbot

MD5

  • 9c6c1c2a43a46435597c5493193beb4b
  • b90fadd754dfcb6ec87aed9e0368a9d2
  • ba46b3d0b51a742fafe9b44667fa8b1a
  • ecf8ecc33196e06365535cb1356520db
  • fef5a8254400cba5202a4ca09a26b823

SHA1

  • 4258eeed5438fcb9fdadeb3570829060d8685a1a
  • 6587b8e401f4bdd3d3a14a9e6915f0aa82eccafd
  • 7ec71921648230d6d7fb9f1320bd43e9ff4ec1b8
  • e811e844c8266cecfa6b94d5c885546e3e754005
  • fe3a16cb022b213583b62aad46ae5ca6086a4555

SHA256

  • 0ada3a819a2cdffe006e9272a7d7921a8bc90b3ca4bdd667186510a65f75b658
  • 2eae85c2a59a2ca6ca99fe22cf4d10bacdb06950442a4b113252f2bf2b5f6e05
  • 7d80ee611ff66f0381632e62cfc190dc771c84ac1f7f4c13afb7ca18255da9ff
  • a19d378c6ae0c0360c3c320ef457d699510c5c1147e7b348cdfcb76eb7040c98
  • fdda14d3bc993960991ac6c95964514444e730f04b76d607df6e59087761648d

Нет связанных сообщений

zzhbot
SEC-1275-1
Добавить комментарий