B1txor20 Backdoor IOC

security IOC
Опубликовано

B1txor20 - это бэкдор для платформы Linux, который использует технологию DNS Tunnel для построения каналов связи C2, обнаруженный Qihoo 360.

B1txor20 Backdoor

Функционал B1txor20

  • Распространяется с использование уязвимости log4j
  • Бекдор
  • Использование DNS туннеля для установления канала C2
  • Открытие Socket5-прокси
  • Удаленная загрузка и установка Rootkit
  • Выполнение произвольных команд
  • Установка Rootkit
  • Загрузка информации на удаленный сервер

Indicator of compromise

C2

  • webserv.systems
  • 194.165.16.24:53
  • 194.165.16.24:443

MD5

  • 027d74534a32ba27f225fff6ee7a755f
  • 0a0c43726fd256ad827f4108bdf5e772
  • 24c49e4c75c6662365e10bbaeaeecb04
  • 2e5724e968f91faaf156c48ec879bb40
  • 3192e913ed0138b2de32c5e95146a24a
  • 40024288c0d230c0b8ad86075bd7c678
  • 43fcb5f22a53a88e726ebef46095cd6b
  • 59690bd935184f2ce4b7de0a60e23f57
  • 5f77c32c37ae7d25e927d91eb3b61c87
  • 6b42a9f10db8b11a15006abced212fa4
  • 6c05637c29b347c28d05b937e670c81e
  • 7ef9d37e18b48de4b26e5d188a383ec8
  • 7f4e74e15fafaf3f8b79254558019d7f
  • 989dd7aa17244da78309d441d265613a
  • dd4b6e2750f86f2630e3aea418d294c0
  • e82135951c3d485b7133b9673194a79e
  • fd84b2f06f90940cb920e20ad4a30a63

Downloader

  • hxxp://179.60.150.23:8000/xExportObject.class
  • ldap://179.60.150.23:1389/o=tomcat
  • hxxp://194.165.16.24:8229/b1t_1t.sh
  • hxxp://194.165.16.24:8228/b1t
  • hxxp://194.165.16.24:8228/b1t
  • hxxp://194.165.16.24:8228/_run.sh
  • hxxp://194.165.16.24:8228/run.sh
  • hxxp://194.165.16.24:8228/share.sh
  • hxxp://194.165.16.24:8228/b1t
  • hxxp://194.165.16.24:8228/run.sh
  • hxxp://194.165.16.24:8228/run.sh
  • hxxp://194.165.16.24:8229/b4d4b1t.elf
Похожие записи:
  1. StrongPity Backdoor IOCs
  2. BOLDMOVE Backdoor IOCs
  3. IceBreaker APT IOCs
  4. Sliver Malware IOCs
  5. B1txor20 Backoor
B1txor20 Backdoor Qihoo 360
Добавить комментарий