B1txor20 - это бэкдор для платформы Linux, который использует технологию DNS Tunnel для построения каналов связи C2, обнаруженный Qihoo 360.
Функционал B1txor20
- Распространяется с использование уязвимости log4j
- Бекдор
- Использование DNS туннеля для установления канала C2
- Открытие Socket5-прокси
- Удаленная загрузка и установка Rootkit
- Выполнение произвольных команд
- Установка Rootkit
- Загрузка информации на удаленный сервер
Indicator of compromise
C2
- webserv.systems
- 194.165.16.24:53
- 194.165.16.24:443
MD5
- 027d74534a32ba27f225fff6ee7a755f
- 0a0c43726fd256ad827f4108bdf5e772
- 24c49e4c75c6662365e10bbaeaeecb04
- 2e5724e968f91faaf156c48ec879bb40
- 3192e913ed0138b2de32c5e95146a24a
- 40024288c0d230c0b8ad86075bd7c678
- 43fcb5f22a53a88e726ebef46095cd6b
- 59690bd935184f2ce4b7de0a60e23f57
- 5f77c32c37ae7d25e927d91eb3b61c87
- 6b42a9f10db8b11a15006abced212fa4
- 6c05637c29b347c28d05b937e670c81e
- 7ef9d37e18b48de4b26e5d188a383ec8
- 7f4e74e15fafaf3f8b79254558019d7f
- 989dd7aa17244da78309d441d265613a
- dd4b6e2750f86f2630e3aea418d294c0
- e82135951c3d485b7133b9673194a79e
- fd84b2f06f90940cb920e20ad4a30a63
Downloader
- hxxp://179.60.150.23:8000/xExportObject.class
- ldap://179.60.150.23:1389/o=tomcat
- hxxp://194.165.16.24:8229/b1t_1t.sh
- hxxp://194.165.16.24:8228/b1t
- hxxp://194.165.16.24:8228/b1t
- hxxp://194.165.16.24:8228/_run.sh
- hxxp://194.165.16.24:8228/run.sh
- hxxp://194.165.16.24:8228/share.sh
- hxxp://194.165.16.24:8228/b1t
- hxxp://194.165.16.24:8228/run.sh
- hxxp://194.165.16.24:8228/run.sh
- hxxp://194.165.16.24:8229/b4d4b1t.elf