E-pos: anwenqq2690502116@gmail.com
Gemik op die internet van dinge, 'n nuwe variant van die "Gaffyt" Trojan verskyn
Onlangs, Huorong Security Lab het 'n virus-inbraakvoorval ontdek, wat na ondersoek en ontleding bevestig is as 'n nuwe variant van die Gafgyt Trojaanse virus.
Gafgyt is 'n IoT-botnetprogram gebaseer op die IRC-protokol, wat hoofsaaklik Linux-gebaseerde besmet IoT-toestelle verspreide ontkenning van diens-aanvalle te loods (DDoS). Dit is die grootste aktiewe IoT-botnetfamilie behalwe die Mirai-familie.
Nadat die bronkode daarvan uitgelek is en na GitHub opgelaai is 2015, verskeie variante en uitbuitings het een na die ander na vore gekom, 'n groter sekuriteitsbedreiging vir gebruikers inhou. Huidiglik, Huorong-sekuriteitsprodukte kan die bogenoemde virusse onderskep en doodmaak. Ondernemingsgebruikers word versoek om die virusdatabasis betyds op te dateer vir verdediging.
1. Monster analise
Die virus hernoem eers sy eie proses na "/usr/sbin/dropbear" of "sshd" om homself weg te steek:
proses hernoem
Tussen hulle, die geënkripteerde string is gevind, en die dekripsie-algoritme is die greep XOR van 0xDEDEFFBA. Wanneer dit gebruik word, slegs die gebruikte word individueel gedekripteer, maar net 4 word eintlik verwys:
Geënkripteerde string en dekripsie-algoritme
Die eerste verwysing is slegs om die ooreenstemmende string na die skerm uit te voer, en die middelste twee verwysings is bewerkings op die waghondproses om te verhoed dat beheer verloor word as gevolg van toestelherbegin:
dekripteer en kwoteer
Die oorblywende bewerkings word in 'n lus uitgevoer, insluitend die inisiasie van die C2-verbinding (94.156.161.21:671), stuur die tipe platformtoestel, ontvang die terugkeer-opdrag en voer die ooreenstemmende module-bewerking uit. En in vergelyking met die bronkode wat deur Gafgy uitgelek is, die formaat en verwerking van die opdrag het nie veel verander nie, en die formaat van die opdrag is steeds "!*Bevel [Parameter]"
lus operasie kode
In die processCmd-funksie, n somtotaal van 14 opdragte word gereageer en ooreenstemmende DDOS-aanvalle word geloods, insluitend: "HTTP", "CUDP uitbreiding", "UDP", "STD", "RDK", "TCP", "SYN" , "ACK", "CXMAS", "KERSFEES", "CVSE", "ALLES", "CNC", "NIGGA"
opdrag skermskoot - IoT-sekuriteit
Tussen hulle, die CUDP, UDP, RDK, en TCP-modules kan almal ewekansige stringe na die gespesifiseerde IP en poort stuur, en kan TCP- en UDP-pakkies rekonstrueer deur selfgeboude IP-opskrifte om die bron-IP-adres te versteek.
boodskapstruktuur
Die voorvoegsel C is vermoedelik die afkorting van gewoonte. Neem CUDP en UDP as voorbeelde, in die oorspronklike weergawe van Gafgyt, die parameters in die uitgereikte opdrag sluit in: ip, hawe, tyd, bedrieglik, pakkiesgrootte, pollinterval en ander veldwaardes en vlagstukke Vir die konstruksie van UDP-pakkies. In hierdie voorbeeld, egter, die waargenome resultate toon dat dit die toepassing van hierdie parameters op verskillende grade van beperking is, wat die buigsaamheid van spesifieke tipes DDOS-aanvalle kan verbeter.
Vergelyking van CUDP en UDP
Die funksies van ander modules sluit in die byvoeging van 'n groot aantal User-Agent-stringe, wat gebruik word om HTTP-opdragte vir CC-aanvalle te begin:
CC aanval
Ingesluit vir aanvalle teen Valve se Source Engine-bedieners: ("Bron-enjin" navrae is deel van die daaglikse kommunikasie tussen kliënte en spelbedieners met behulp van die Valve sagteware protokol)
Aanvalle teen die dobbelbedryf
Insluitend CNC-opdragte wat verbindings-IP kan verander:
skakel verbinding IP
Sluit SYN- en ACK-aanvalle in:
SYN en ACK aanvalle
Insluitend UDP STD-vloedaanvalle:
STD aanval
Insluitend XMAS aanval: (dit wil sê, Kersboom aanval, deur al die vlagstukke van TCP op te stel 1, verbruik dus meer reaksieverwerkingshulpbronne van die teikenstelsel)
XMAS aanval
Die NIGGA-module is gelykstaande aan die KILLATTK-opdrag in die oorspronklike weergawe, wat DoSS-aanvalle stop deur alle kinderprosesse behalwe die hoofproses dood te maak
NIGGA module
Vergelykende analise
Die funksie processCmd wat die hooflogika in die bronkode stoor, sluit PING in, GETLOCALIP, SKANDEERDER, E-POS, ROMMEL, UDP, TCP, HOU, KILLATTK, en LOLNOGTFO-modules. Slegs vereenvoudigde weergawes van UDP- en TCP-modules bestaan saam in die variantuitbuiting wat hierdie keer vasgelê is. .
En in die werking van die verkryging van die plaaslike IP, die oorspronklike weergawe verkry die plaaslike IP deur /proc/net/route en stuur dit terug deur die GETLOCALIP module. Dieselfde kry-operasie word in hierdie variant waargeneem, maar daar is geen GETLOCALIP-module nie en geen verwysings word waargeneem nie.
Kry plaaslike IP
Dit is opmerklik dat daar geen oorspronklike weergawe van die SCANNER-module is wat gebruik word om SSH te ontplof nie (hawe 22) in hierdie tipe monster, en daar is geen ander variante wat veelvuldige insluit nie "toepassings/toestel" kwesbaarhede om deur loonvrag te versprei. Dit kan gesien word dat die aanvaller die voortplantingsmodule in onafhanklike programme verdeel, en nadat u suksesvol by die slagoffergasheer aangemeld het, hy sal die kommunikasiemonster vir die volgende fase aflaai deur die dopkode uit te voer, dit wil sê, die analise monster.
Voer dopkode voorbeeld uit
Neem die monsters verkry uit dieselfde bron as 'n voorbeeld, die aanvaller het die ontfoutingsinligting vir die meeste van die monsters gestroop, behalwe vir 'n paar, soos: x86.
