ネットワークセキュリティ機器を標的にする新しいMirai亜種

A conceptual image illustrating a Mirai variant, such as the one discussed in this blog.

This post is also available in: English (英語)

概要

2021年2月16日、Unit 42のリサーチャーが、以下の多数の脆弱性を利用する攻撃を発見しました。

  • VisualDoor (SonicWall SSL-VPN エクスプロイト)
  • CVE-2020-25506 (D-Link DNS-320 ファイアウォールのエクスプロイト)
  • CVE-2020-26919 (Netgear ProSAFE Plusのエクスプロイト)
  • (おそらくは)CVE-2019-19356 (Netis WF2419 ワイヤレスルータのエクスプロイト)
  • まだ特定されていない他の3つのIoTデバイスの脆弱性

2021年2月23日、CVE-2021-27561およびCVE-2021-27562の脆弱性に関する詳細公開からわずか数時間のうちに、上記の攻撃に関与したIPの1つが更新され、あるMiraiの亜種を提供しはじめました。2021年3月3日には、同じMirai亜種のサンプルが3つ目のIPアドレスで提供され、それにCVE-2021-22502を利用するエクスプロイトが追加されました。さらに3月13日にはCVE-2020-26919 をターゲットとするエクスプロイトもサンプルに組み込まれました。

本稿執筆時点で攻撃は継続中です。エクスプロイトが成功すると、攻撃者は悪意のあるシェルスクリプトをダウンロードしようとします。このスクリプトには、Miraiの亜種やブルートフォーサーのダウンロードや実行など、さらなる感染動作が含まれています。

パロアルトネットワークスの次世代ファイアウォール脅威防御WildFireURLフィルタリングのセキュリティサブスクリプションとともにご利用のお客様やAutoFocusをご利用中のお客様は、本種のマルウェアファミリのすべてのエクスプロイト試行を検出し、遮断することができます。

悪用される脆弱性

本攻撃では、5つの既知の脆弱性と3つの未知の脆弱性が悪用されていました。エクスプロイトが成功すると、wgetユーティリティが呼び出され、マルウェアのインフラストラクチャからシェルスクリプトがダウンロードされます。次に、シェルスクリプトは、さまざまなアーキテクチャ用にコンパイルされたいくつかのMiraiバイナリをダウンロードし、ダウンロードしたこれらのバイナリを1つずつ実行します。脆弱性に関する情報を以下の表1に示します。

ID 脆弱性 説明 深刻度
1 VisualDoor SonicWall SSL-VPN リモートコード実行脆弱性 Critical (重大)
2 CVE-2020-25506 D-Link DNS-320 Firewall リモートコード実行脆弱性 Critical (重大)
3 CVE-2021-27561 and CVE-2021-27562 Yealink Device Management における認証前のルートレベルのリモートコード実行脆弱性 Critical (重大)
4 CVE-2021-22502 Micro Focus Operation Bridge Reporter (OBR) のリモートコード実行脆弱性(影響を受けるバージョンは 10.40) Critical (重大)
5 CVE-2019-19356 Netis WF2419 と同様のワイヤレスルータのリモートコード実行脆弱性 High (高)
6 CVE-2020-26919 Netgear ProSAFE Plus における未認証のリモートコード実行脆弱性 Critical (重大)
7 未確認 不明なターゲットに対するリモートコマンド実行の脆弱性 不明
8 未確認 不明なターゲットに対するリモートコマンド実行の脆弱性 不明
9 不明な脆弱性 過去にMoobotによって使用されていた脆弱性、ただし正確なターゲットは不明 不明

表1 脆弱性一覧

エクスプロイトのペイロード

1. VisualDoor: SonicWall SSL-VPN のリモートコマンドインジェクションの脆弱性

VisualDoor SonicWall SSL-VPN エクスプロイトのペイロード
図1 VisualDoor SonicWall SSL-VPN エクスプロイトのペイロード

SonicWall SSL-VPNのエクスプロイトは、ShellShockに対して脆弱な古いバージョンのBashを標的としています。攻撃者は、細工されたCommon Gateway Interface(CGI)要求を特定のシェルスクリプトに送信することにより未認証リモートコード実行(RCE)の脆弱性をトリガーする可能性があります。

2. CVE-2020-25506: D-Link DNS-320 ファイアウォールのリモートコマンド実行の脆弱性

D-Link DNS-320 エクスプロイトのペイロード
図2 D-Link DNS-320 エクスプロイトのペイロード

このエクスプロイトは、system_mgr.cgiコンポーネントのコマンドインジェクション脆弱性をターゲットにしています。このコンポーネントではHTTPパラメータf_ntp_serverの値が適切にサニタイズされておらず、そこから任意のコマンドの実行へとつながります。

3. CVE-2021-27561およびCVE-2021-27562: Yealink Device Management における認証前 「ルート」レベルリモートコマンド実行の脆弱性

Yealinkデバイスのエクスプロイトペイロード - 私たちはCVE-2021-27561とCVE-2021-27562を利用してMirai亜種を提供する攻撃に関与するIPの1つを観測しました
図3 Yealink デバイスのエクスプロイトのペイロード

このエクスプロイトは、認証前のサーバーサイドリクエストフォージェリ(SSRF)の脆弱性とコマンドインジェクションの脆弱性を連鎖させることにより機能します。これによってHTTPSリクエストをリモートターゲットに送信するだけで認証なしにrootとしてコマンドを実行できるようになります。

4. CVE-2021-22502:Micro Focus Operation Bridge Reporter(OBR)のリモートコード実行の脆弱性

Micro Focus Operation Bridge Reporter エクスプロイトのペイロード
図4 Micro Focus Operation Bridge Reporter エクスプロイトのペイロード

LogonResource APIへのリクエストで「username」パラメータと「password」パラメータがサニタイズされていないためにこのエクスプロイトが機能します。この脆弱性を悪用すると、OBRサーバーに対し、ルートとして認証されていないリモートコード実行が行えるようになります。

5. CVE-2019-19356:Netis WF2419ワイヤレスルーターのリモートコード実行の脆弱性

Netis WF2419 エクスプロイトのペイロード
図5 Netis WF2419 エクスプロイトのペイロード

このエクスプロイトは、診断ツールユーティリティのリモートコード実行脆弱性を標的としています。認証された攻撃者は、IPアドレスやドメイン名などの複数の脆弱なパラメータを介してコマンドを実行できます。

6. CVE-2020-26919:Netgear ProSAFE Plusの未認証リモートコード実行の脆弱性

Netgear ProSAFE エクスプロイトのペイロード
図6 Netgear ProSAFE エクスプロイトのペイロード

このエクスプロイトは、デバッグ用のWebセクションを標的としていて、攻撃者はこれを介してシステムコマンドを実行できます。これが機能するのはアクセス制御の適切なチェックが不足しているためで、そこから管理者権限でのリモートコード実行につながります。

7. 未確認の脆弱性(langパラメータコマンドインジェクション)

これは新しいMirai亜種の配信に関連して行った観測で見つかった未確認脆弱性エクスプロイトペイロードです。
図7 未確認の脆弱性のエクスプロイトペイロード

このエクスプロイトは、なんらかのコンポーネントのコマンドインジェクション脆弱性をターゲットにしています。このコンポーネントはHTTPパラメータlangの値を適切にサニタイズしておらず、そこから任意のコマンドの実行へとつながります。

8. 未確認の脆弱性(キーパラメータのコマンドインジェクション)

これは新しいMirai亜種の配信に関連して行った観測で見つかった未確認脆弱性エクスプロイトペイロードです。
図8 未確認の脆弱性のエクスプロイトペイロード

この不明なエクスプロイトは、ログインCGIスクリプトを標的としています。このスクリプトでは、あるキーとなるパラメータが適切にサニタイズされておらず、その結果コマンドインジェクションにつながっています。

9. 未知の脆弱性(op_typeパラメータコマンドインジェクション)

これは新しいMirai亜種の配信に関連して行った観測で見つかった未確認脆弱性エクスプロイトペイロードです。
図9 未確認の脆弱性のエクスプロイトペイロード

このエクスプロイトはop_typeパラメータを標的としています。このパラメータは適切にサニタイズされておらず、その結果コマンドインジェクションにつながります。これは以前、Moobotによる使用が確認されている脆弱性ですが、正確なターゲットは不明です。

マルウェアの振る舞い

バイナリ 機能
lolol.sh ターゲットマシンからいくつか主要フォルダ(既存のスケジュール済みジョブや起動スクリプトを含むフォルダなど)を削除後、以下で説明する「ダーク」バイナリをダウンロードし、「nginx」という誤認させやすい名前のファイルとして保存し、それぞれを実行しようとするスクリプトです。ダウンロードされた「ダーク」バイナリはそれぞれ異なるアーキテクチャ用にコンパイルされているため、ターゲットマシンと互換性のあるものだけが実際に実行されます。

この後、1時間ごとに実行されるジョブを(意図としては)スケジュールしてlolol.shスクリプトを再実行しようとします。ところがこのcronの構成には誤りがあります。クラッシュその他の理由で強制終了された場合でもプロセスが確実に再起動されるようにという意図でジョブを設定しているものと思われます。

最後に、いくつかのパケットフィルタルールが作成され、標準のSSH、HTTP、Telnetポートなどの一般的に使用されるポートに向けられた着信トラフィックをブロックします。これはおそらく、侵害されたシステムのメンテナンスやリモートアクセスを管理者がやりにくいようにするためと思われます。

観測された2つのバージョンのスクリプトの1つでは以下で説明する「install.sh」スクリプトもダウンロードして実行します。

install.sh このスクリプトは、GoLang v1.9.4をターゲットシステムにダウンロードしてシステムパスに追加します。さらに、GoLang標準SSHパッケージとzmap(一般的なネットワークスキャンパッケージ)もインストールします。

また、以下で説明する「nbrute」バイナリと「combo.txt」ファイルをダウンロードします。先のスクリプト同様、ダウンロードされた「nbrute」バイナリはそれぞれ異なるアーキテクチャ用にコンパイルされ、これによってターゲットマシンとの潜在的互換性を高めています。

最後に、zmapが実行され、22/tcpがスキャンされ、22/tcpでのオープン状態が検出されたIPは、入力としてnbruteバイナリに送信されます。

nbrute.[arch] これらのバイナリはGoLangで記述され、主に、特定IPでSSH接続を開始するさい「combo.txt」にあるさまざまな資格情報をブルートフォースする目的で使用されます。
combo.txt 資格情報ペアを多数含むプレーンテキストファイル(多くの場合、デバイスのデフォルトの資格情報)です。
dark.[arch] これらのバイナリはMiraiコードベースに基づいたもので、主に感染拡大の目的で使われます。そのさい、上記セクションで説明したエクスプロイトを使用するか、バイナリにハードコードされた資格情報を使用してSSH接続をブルートフォースします。

標準のMiraiのバイト単位XOR暗号化ルーチンに使用されるキーは0xbaadf00dです。

表2 マルウェアの振る舞い

結論

IoTデバイス界隈は依然として攻撃者にとってはくみしやすいターゲットとなっています。そうした脆弱性の多くは悪用もごく簡単でなかには破滅的な結果をもたらすものもありますので、最大限のパッチの適用を強くお勧めします。

パロアルトネットワークス製品をご利用中のお客様は、次の製品とサービスによってこれらの脆弱性から保護されています。

  • 次世代ファイアウォールで脅威防御サブスクリプションを利用し、ベストプラクティスに従って運用されているお客様は、本脆弱性のエクスプロイトから保護されています。対応する脅威防御のシグネチャは、907769055355228578425919190302908089082490555です。
  • WildFireは静的シグネチャ検出により同マルウェアを阻止します。
  • URLフィルタリングは悪意のあるマルウェアのドメインをブロックします。
  • AutoFocusをご利用中のお客様はVisualDoorCVE-2020-25506CVE-2021-27562CVE-2021-25502の各タグでエクスプロイトアクティビティを追跡できます。

IoC

サンプル

初出 URL SHA256値
Mar 13, 2021 02:43 UTC 203[.]159.80.241/bins/dark.arm5 60135a7817a0a1734c2e211a8613873548f4611fddc8666890f6a69860c43e61
Mar 13, 2021 02:43 UTC 203[.]159.80.241/bins/dark.arm6 087fc3206ddb94e80118e7e7f0215c88409a0071b657d21071e15b7917f7cc4e
Mar 13, 2021 02:43 UTC 203[.]159.80.241/bins/dark.arm7 33f75999a3b4c354b6281399e541b97fd6463c5cd2ab13a538522d72a8870f30
Mar 13, 2021 02:43 UTC 203[.]159.80.241/bins/dark.m68k 02d48570f1089e2e7f4f9256bb033136c773834af31054e477e094e48cba110e
Mar 13, 2021 02:43 UTC 203[.]159.80.241/bins/dark.mips 45ff08b1de872379f965d423a0f4e1f2e82f0ea8d101220b83d3aed3b2e7f1c9
Mar 13, 2021 02:43 UTC 203[.]159.80.241/bins/dark.mpsl 85acead88180809d47524aac87d6f76799e7c0a1729d9614446be73aa8e7d871
Mar 13, 2021 02:43 UTC 203[.]159.80.241/bins/dark.ppc 0bbdb062ecfae7e1b59084a5e5fe052908ecfdea7db0777a9c318e9e55fdb5ff
Mar 13, 2021 02:43 UTC 203[.]159.80.241/bins/dark.sh4 77a1f62dc76cc9ee2d924008a0fdcc329396021f027ebe1cfa468f9625c2455b
Mar 13, 2021 02:43 UTC 203[.]159.80.241/bins/dark.x86 8d11635019b077d36ce7de2a3ca9261f126e0ff5808f722fcb967e7cd000be23
Mar 11, 2021 19:22 UTC 203[.]159.80.241/bins/dark.arm7 519b2d04e80c2cb7c000a3c00cb30098df363bd825281b2b7384d964b832df3b
Mar 11, 2021 19:22 UTC 203[.]159.80.241/bins/dark.arm6 7a571f666c8f272cce1ee7ad75520a013bbed800e7d0c80a17804500a3474a13
Mar 11, 2021 19:22 UTC 203[.]159.80.241/bins/dark.arm5 5d7487a5d6febb015a21a98eddffc617cfc06453fe2a7dacac6e1719f56c56fb
Mar 11, 2021 19:22 UTC 203[.]159.80.241/bins/dark.mpsl e9d056afe12210ddf98967e3291127ef9d0d24cbd36862ebc8b0726a565eefb8
Mar 11, 2021 19:22 UTC 203[.]159.80.241/bins/dark.mips 73aaf3ce3e5ea7a598f01d727e8278ff64ff0067fc2f2b22387b09de64c2ff4f
Mar 11, 2021 13:12 UTC 203[.]159.80.241/bins/dark.x86 64f9bc6e925fd2f538c89fd8a8c25d11521b9fcc51c8c5308e9850c990bea04b
Mar 11, 2021 12:59 UTC 203[.]159.80.241/bins/dark.ppc 0c4ec06f32d5f15846239d224d68086cbeaf513b63f0fcafa4eddd8e18a3d372
Mar 11, 2021 12:30 UTC 203[.]159.80.241/bins/dark.sh4 2f590f5af68dd30cdd51de85cb55dd16160ffce16dd326b2ac4c85e0007fca51
Mar 11, 2021 12:30 UTC 203[.]159.80.241/bins/dark.m68k cd59c912b9af910db1880d6fb86cd6cb656477552cf2c2fc82e372bafbe004b8
Mar 5, 2021 14:13 UTC 45[.]133.1.133/bins/dark.ppc 63e66d6f0ddf5fea5b1f71643bdb30f3fff4531c364b6fd1b0e0e0cfe5da833f
Mar 4, 2021 10:19 UTC 45[.]133.1.133/bins/dark.m68k 0a664a74fcc00910170edcd5f548569b40c2c5d58fc5ced1f475dbe938684e17
Mar 4, 2021 10:19 UTC 45[.]133.1.133/bins/dark.mips 05102e5abb23c761426c2c0f19f70f650938ea9e9295ccbb92349513c1d26c63
Mar 4, 2021 10:19 UTC 45[.]133.1.133/bins/dark.mpsl cc996d19c3e9b732b5f61fb7a2ad20a4f9e1fd7e62f484f15c7cc984a32dec01
Mar 4, 2021 10:19 UTC 45[.]133.1.133/bins/dark.sh4 f05225fec1fda7c6405e6961207ee12e198272d352144f516e970829a74093e2
Mar 4, 2021 10:19 UTC 45[.]133.1.133/bins/dark.x86 9aa0ded21b8c21075a6ad24180befc47dbfeb3985a433f1baa6181ec945a19b9
Mar 3, 2021 14:24 UTC 45[.]133.1.133/lolol.sh ecae298b18493bf2366f6081e8215a474cce4554e07a7b2380a7f8e8a3a9a37d
Mar 3, 2021 14:24 UTC 45[.]133.1.133/bins/dark.arm5 fb940b1049e0e95c03adb7a2750347108cadf6b19ef4149a5103f7625c07c8ec
Mar 3, 2021 14:24 UTC 45[.]133.1.133/bins/dark.arm6 515dc2fd8819c7fc82395acc4c7fb5b2903982a5f48bc26bc8d0235bc0664d1f
Mar 3, 2021 14:24 UTC 45[.]133.1.133/bins/dark.arm7 a9c4ea40b08ce4281c2dc9776355186dfc5649f9ec2b36c32fa5540f8d2aef2d
Mar 3, 2021 14:24 UTC 45[.]133.1.133/bins/dark.m68k ac75cb71c2f052141a238b8f7215d5a0956f7034cf90f231d228ce58254d23ba
Mar 3, 2021 14:24 UTC 45[.]133.1.133/bins/dark.mips 1e56f8ca44f84eff212805fa061ecb0f6fb8bc9499ff2e541ad3c43fb2f4420a
Mar 3, 2021 14:24 UTC 45[.]133.1.133/bins/dark.mpsl 1d9496814d35d9e302d7e99339e9730fc81c022bc085c0711b73ebad962cbc2b
Mar 3, 2021 14:24 UTC 45[.]133.1.133/bins/dark.ppc 971b5a96d84ca0d7dd906b639cd97a04835013be32356d09037cff64516c73bf
Mar 3, 2021 14:24 UTC 45[.]133.1.133/bins/dark.sh4 e2a6ac516ec8b5dcc76becc26cf992434882d490d8f2c9d7071298dba7a641a2
Mar 3, 2021 14:24 UTC 45[.]133.1.133/bins/dark.x86 a5ca43106a713c4a8e978575b8685889c244501288b9fa7c7dc7f1e8c5ef1291
Feb 26, 2021 13:14 UTC iotlmao[.]xyz/bins/dark.m68k a6cb6356432ca83467f6da2168be2aabbabe5d2f2dd4c01d6c4a93d01a57df53
Feb 26, 2021 13:14 UTC iotlmao[.]xyz/bins/dark.sh4 c686712f9be64e3d2957754ce181e5b4680b205cb6773b85b35df57983ed31cf
Feb 24, 2021 15:59 UTC 185[.]239.242.63/bins/dark.arm5 8cc6375f2eabe865e8400f27381a513a69e4100748458c3d2c706f3d4002bf1e
Feb 24, 2021 15:59 UTC 185[.]239.242.63/bins/dark.arm6 4414bf4f41663a6458372bcc4743d6e50bbb2d40c26d71bcb945926c98cd5537
Feb 24, 2021 15:59 UTC 185[.]239.242.63/bins/dark.arm7 8d0beb4b143dc4a9543b4bc5d7f44a6771a973709aaf8c3a4754d120b99d0afd
Feb 24, 2021 15:59 UTC 185[.]239.242.63/bins/dark.m68k f9770197d2254e6d5d4cb872b07dc25feb2994d4d5f0b3c854a98f9dfa3c6854
Feb 24, 2021 15:59 UTC 185[.]239.242.63/bins/dark.mips 74ab77e1069c6fb32925e89563c57f09c842cad0de6ab6b7c9ec2fa44d2641b1
Feb 24, 2021 15:59 UTC 185[.]239.242.63/bins/dark.mpsl 0039231b2fd5e5a3d86ae3b626d35b8fed7f2887a58e32b480ac82cd82150f7c
Feb 24, 2021 15:59 UTC 185[.]239.242.63/bins/dark.ppc 9d55aa1d9841be74cdc0c9d0a9fe2f20e0704ea30c721a7b2dcae02675416629
Feb 24, 2021 15:59 UTC 185[.]239.242.63/bins/dark.sh4 7aa437a562f3a956cf60fce652e6a0fb2d3c7cda0e5312c1a7fa62e177c45906
Feb 24, 2021 15:59 UTC 185[.]239.242.63/bins/dark.x86 8e65d7b16939834e1cd86b36b495924d34f10a8c477b53c9c8e648c804b97c2d
Feb 24, 2021 15:59 UTC 185[.]239.242.63/lolol.sh 5715d9c632c646c856f2775de8e98c00cade29f7bfb6fbe33a5741b01e897521
Feb 23, 2021 09:03 UTC 185[.]239.242.63/bins/dark.arm 5525b282df49206e76e884ca0f86806ddc97ec08343bab1d9a98f029a2697b08
Feb 23, 2021 09:03 UTC 185[.]239.242.63/bins/dark.arm5 b82b8957a4397eae1061a74fb7a8014cbbcbe7064d4edf2e0b15233fd2ce8cca
Feb 23, 2021 09:03 UTC 185[.]239.242.63/bins/dark.arm6 ec9dc19758ba74fb254c69d2b60ae1012b1bd65390e936990e4bd8573bcb83aa
Feb 23, 2021 09:03 UTC 185[.]239.242.63/bins/dark.arm7 38d8f2d17b3b676f5258a28b6b4093a1c3cdfa0d34d97c80d86686a3cff7ed55
Feb 23, 2021 09:03 UTC 185[.]239.242.63/bins/dark.m68k b066b1c1d019fc97e3649b99ad10294783b13a12b67d34b9c8500e762c37b7e7
Feb 23, 2021 09:03 UTC 185[.]239.242.63/bins/dark.mips 904b086dbf3e8f4dd1711d758d54675ce2d6002ff607a72d72d7e3aea612ba7d
Feb 23, 2021 09:03 UTC 185[.]239.242.63/bins/dark.mpsl 4f6a9d2c775e0ba38189390aa7975973209f8e703d6f974c2ab67c97ad263204
Feb 23, 2021 09:03 UTC 185[.]239.242.63/bins/dark.ppc c26401490ab9343b023f1f89b39d8d32835a795117ef7d7a129871bc05010dd6
Feb 23, 2021 09:03 UTC 185[.]239.242.63/bins/dark.sh4 73b35ddbf9784a6f6ebad7f5a1f4965daedc2f92cbb45a9cb76e61c0104bf553
Feb 23, 2021 09:03 UTC 185[.]239.242.63/bins/dark.x86 a925f0486b33f3f05d610d33c5a4b6bb2d5531c89e804e001ec01c4f5c25975e
Feb 23, 2021 09:03 UTC 185[.]239.242.63/lolol.sh 4fe20e73217d0bde39616ebf6f50f0f27882f939537561849f7b17968c5b8e30
Feb 22, 2021 16:30 UTC 37[.]46.150.102/bins/dark.mpsl 6b1bea5f17eb2c16815b8cb87d6e24e707248e5384fc4dd33c86c189657c73ff
Feb 22, 2021 16:30 UTC 37[.]46.150.102/bins/dark.ppc 918395bac079ab747736246b9d84e66921774d3eb95bb47045704624646b1287
Feb 22, 2021 16:30 UTC 37[.]46.150.102/bins/dark.sh4 528179f34ed9a6e69f582c23b3cbb50343164bf0e5995624a8d16f8b0df202e8
Feb 22, 2021 16:30 UTC 37[.]46.150.102/bins/dark.x86 f05d21a5b4b72a761c1540f1400dff7e39f10ac1c8b843ec8986d2e780a7807a
Feb 22, 2021 16:30 UTC 37[.]46.150.102/lolol.sh b3a20c8dfa5adaa8247c4d2097f3cc8423b4e270c9735f616628bf9bde583cbe
Feb 22, 2021, 12:32 UTC 185[.]239.242.63/bins/dark.arm5 2102b6a9f4b6745b0963ac3040945fb351c3d7df5b8e75dbc4ebf587c921998f
Feb 22, 2021, 12:32 UTC 185[.]239.242.63/bins/dark.arm6 bfd14a2f5c26501efb5d4010839b7d0bbc9a639d86ab5d12af663de598f15427
Feb 22, 2021, 12:32 UTC 185[.]239.242.63/bins/dark.arm7 d9f7504b3fe81f5264da5f23bdb7529f6d1dd713e28a92828180787729872a8d
Feb 22, 2021, 12:32 UTC 185[.]239.242.63/bins/dark.m68k 40808fb06796aeb740368b9bc322c12193d1bebb8e5eeddc420a98db6ac82689
Feb 22, 2021, 12:32 UTC 185[.]239.242.63/bins/dark.mips 3c47dceb9b8fbb0d40c3f1efa8ebc8d7dcf82aa0af46c4486ec3fc8ca29a83b2
Feb 22, 2021, 12:32 UTC 185[.]239.242.63/bins/dark.mpsl d31f1fecde01cc37950dc5b5330cd72e8ab1943f251bdfa5990f0d9d3a0a8e8f
Feb 22, 2021, 12:32 UTC 185[.]239.242.63/bins/dark.ppc 5446350c771766589e6d79e8185e10fcc0a6681eb76723b7f26dfef03c9080a5
Feb 22, 2021, 12:32 UTC 185[.]239.242.63/bins/dark.sh4 02f08ccc4a4136c89276135664267e08f1bb6795842a84c06c15478d3c3101e6
Feb 22, 2021, 12:32 UTC 185[.]239.242.63/bins/dark.x86 f467e6335a4a0250a17d61b3d138b31998f3e6669e1fcd1c3648db1b44b55ffa
Feb 22, 2021, 12:32 UTC 185[.]239.242.63/lolol.sh 4fe20e73217d0bde39616ebf6f50f0f27882f939537561849f7b17968c5b8e30
Feb 16, 2021, 11:01 UTC 37[.]46.150.102/brute/combo.txt 6a68acd757fab908b2455c9b5882c25ab4a550121c2badb960b0a514a04a8d3d
Feb 16, 2021, 11:01 UTC 37[.]46.150.102/brute/nbrute.386 baedd59eba62c289dcb722588895eb165f4a1570b3c012efc3dcc60d3bdea521
Feb 16, 2021, 11:01 UTC 37[.]46.150.102/brute/nbrute.amd64 8524826a687491c6bfd161df3e4fb2f537f50ea32834d7710dcf3b788a5ddfc2
Feb 16, 2021, 11:01 UTC 37[.]46.150.102/brute/nbrute.arm 4f69555ab71b49c2c1067f0907eb73b185327b57c566a8311ba9f9e58f4e85a5
Feb 16, 2021, 11:01 UTC 37[.]46.150.102/brute/nbrute.mips a5c2b758da21d7895c7945de8684c9b27370af6c5bf48ce3d94626261982659f
Feb 16, 2021, 11:01 UTC 37[.]46.150.102/brute/nbrute.mipsle b37da8e6afa2b3223b1f8f73e6801cf3fed3c0f114cfb9c134b5f06322a337ca
Feb 16, 2021, 11:01 UTC 37[.]46.150.102/bins/dark.arm5 a447bb67be310702807ff148f53f2b4c64ddba0c37f92caf6acabdfaa9ad6603
Feb 16, 2021, 11:01 UTC 37[.]46.150.102/bins/dark.arm6 b2122c5a9c738d964fa770760db40d6708de377e2e671feccb836054ceda2f47
Feb 16, 2021, 11:01 UTC 37[.]46.150.102/bins/dark.arm7 80cd13bfcc2fc29096abf18525d17766700a6d25a9806e55c7b7de776cba0302
Feb 16, 2021, 11:01 UTC 37[.]46.150.102/bins/dark.m68k 66ea76a427b69f153486f962baff29d4a68393e985c7d88c94d773b25ad4964a
Feb 16, 2021, 11:01 UTC 37[.]46.150.102/bins/dark.mips def1959fae2d8a3dfe606126ceb9d5403deae97a4b4e216dc8e60354980eeac4
Feb 16, 2021, 11:01 UTC 37[.]46.150.102/bins/dark.mpsl 667640d293e4ce2287546fc2e0056ee14f414868bf5b77f72078096c516a9fb0
Feb 16, 2021, 11:01 UTC 37[.]46.150.102/bins/dark.ppc beb0b7178b242f2dba21c3d91abf80e8738847b8086d2a42e9352738c83542b5
Feb 16, 2021, 11:01 UTC 37[.]46.150.102/bins/dark.sh4 554bee9f896a7a013804485894875348ff760b08ff7b0ae14c210e2b37da75f6
Feb 16, 2021, 11:01 UTC 37[.]46.150.102/bins/dark.x86 2a09719254934fe8ee8f200a0a7537d35a293fe1f8d0e396e23374e9b209f273