የነገሮች በይነመረብ ላይ ማነጣጠር, አዲስ ተለዋጭ የ "ጋፊት።" ትሮጃን ይታያል
ሰሞኑን, ሁኦሮንግ ሴኪዩሪቲ ላብ የቫይረስ ጣልቃገብነት ክስተት አግኝቷል, ከምርመራ እና ከመተንተን በኋላ የጋፍጊት ትሮጃን ቫይረስ አዲስ ተለዋጭ መሆኑ የተረጋገጠው።.
ጋፍጊት በ IRC ፕሮቶኮል ላይ የተመሰረተ የ IoT botnet ፕሮግራም ነው።, በዋናነት በሊኑክስ ላይ የተመሰረተ ነው IoT መሳሪያዎች የተከፋፈለ የአገልግሎት ጥቃት መከልከልን ለመጀመር (DDoS). ከሚራይ ቤተሰብ ውጭ ትልቁ የአይኦቲ ቦትኔት ቤተሰብ ነው።.
የምንጭ ኮድ ከተለቀቀ እና ወደ GitHub in ከተሰቀለ በኋላ 2015, የተለያዩ ልዩነቶች እና ብዝበዛዎች አንድ በአንድ ታዩ, ለተጠቃሚዎች የበለጠ የደህንነት ስጋት ይፈጥራል. አህነ, የHuorong የደህንነት ምርቶች ከላይ የተጠቀሱትን ቫይረሶች ጠልፈው ሊገድሏቸው ይችላሉ።. የድርጅት ተጠቃሚዎች ለመከላከል የቫይረስ ዳታቤዝ በጊዜው እንዲያዘምኑ ተጠይቀዋል።.
1. ናሙና ትንተና
ቫይረሱ በመጀመሪያ የራሱን ሂደት ወደ ሌላ ስም ይለውጠዋል "/usr / sbin / dropbear" ወይም "ኤስኤስዲ" እራሱን ለመደበቅ:
ሂደት እንደገና መሰየም
ከነሱ መካክል, የተመሰጠረው ሕብረቁምፊ ተገኝቷል, እና የዲክሪፕት አልጎሪዝም የ0xDEDEFFBA ባይት XOR ነው።. ጥቅም ላይ ሲውል, ያገለገሉት ብቻ በተናጥል ዲክሪፕት ይደረጋሉ።, ግን ብቻ 4 በትክክል ተጠቃሽ ናቸው።:
የተመሰጠረ ሕብረቁምፊ እና ዲክሪፕት አልጎሪዝም
የመጀመሪያው ማጣቀሻ የሚዛመደውን ሕብረቁምፊ ወደ ማያ ገጹ ለማውጣት ብቻ ነው, እና የመካከለኛው ሁለቱ ማጣቀሻዎች በመሳሪያው ዳግም መጀመር ምክንያት ቁጥጥርን ላለማጣት በክትትል ሂደት ላይ የሚሰሩ ስራዎች ናቸው።:
ዲክሪፕት እና ጥቅስ
የተቀሩት ስራዎች በአንድ ዙር ውስጥ ይከናወናሉ, የ C2 ግንኙነትን ማስጀመርን ጨምሮ (94.156.161.21:671), የመሳሪያ ስርዓቱን አይነት በመላክ ላይ, የመመለሻ ትዕዛዙን መቀበል እና ተጓዳኝ ሞጁሉን አሠራር ማከናወን. እና በጋፍጊ ከተለቀቀው የምንጭ ኮድ ጋር ሲነጻጸር, የትዕዛዙ ቅርጸት እና ሂደት ብዙ አልተቀየረም, እና የትዕዛዙ ቅርጸት አሁንም ነው "!*ትዕዛዝ [መለኪያ]"
loop ክወና ኮድ
በሂደቱ ውስጥ የCmd ተግባር, በአጠቃላይ 14 ለትእዛዞች ምላሽ ተሰጥቷቸዋል እና ተዛማጅ የ DDOS ጥቃቶች ተጀምረዋል, ጨምሮ: "HTTP", "CUDP ቅጥያ", "ዩዲፒ", "የአባላዘር በሽታ", "ጄ.ኤስ.ሲ", "TCP", "ሲኤን" , "ኤሲኬ", "CXMAS", "XMAS", "CVSE", "ሁሉም ነገር", "ሲኤንሲ", "NIGGA"
የትእዛዝ ቅጽበታዊ ገጽ እይታ - IoT ደህንነት
ከነሱ መካክል, CUDP, ዩዲፒ, ጄ.ኤስ.ሲ, እና TCP ሞጁሎች ሁሉም የዘፈቀደ ሕብረቁምፊዎችን ወደተገለጸው አይፒ እና ወደብ መላክ ይችላሉ።, እና የምንጭ IP አድራሻን ለመደበቅ TCP እና UDP ፓኬቶችን በራስ-የተገነቡ የአይፒ አርዕስቶች እንደገና መገንባት ይችላል።.
የመልዕክት መዋቅር
ቅድመ ቅጥያ ሐ የብጁ ምህጻረ ቃል ተብሎ ይገመታል።. CUDP እና UDPን እንደ ምሳሌ መውሰድ, በመጀመሪያው የ Gafgyt ስሪት ውስጥ, በተሰጠው ትዕዛዝ ውስጥ ያሉት መለኪያዎች ያካትታሉ: አይፒ, ወደብ, ጊዜ, ማንኪያ, እሽግ ማድረግ, የአበባ ዱቄት እና ሌሎች የመስክ እሴቶች እና ባንዲራዎች ለ UDP ፓኬቶች ግንባታ. በዚህ ናሙና ውስጥ, ቢሆንም, የተመለከቱት ውጤቶች እንደሚያሳዩት የእነዚህን መመዘኛዎች ወደ ተለያዩ የመገደብ ደረጃዎች መተግበር ነው, የተወሰኑ የ DDOS ጥቃቶችን ተለዋዋጭነት ሊያሻሽል ይችላል.
የ CUDP እና UDP ንጽጽር
የሌሎች ሞጁሎች ተግባራት ብዙ ቁጥር ያላቸውን የተጠቃሚ-ወኪል ሕብረቁምፊዎችን ይጨምራሉ, ለ CC ጥቃቶች HTTP ትዕዛዞችን ለማስጀመር የሚያገለግሉ:
የሲሲ ጥቃት
በValve's Source Engine አገልጋዮች ላይ ለሚሰነዘሩ ጥቃቶች ተካቷል።: ("ምንጭ ሞተር" መጠይቆች በደንበኞች መካከል ያለው የዕለት ተዕለት ግንኙነት አካል ናቸው። የጨዋታ አገልጋዮች የቫልቭ ሶፍትዌር ፕሮቶኮልን በመጠቀም)
በጨዋታ ኢንዱስትሪ ላይ የሚደረጉ ጥቃቶች
የግንኙነት IP መቀየር የሚችሉ የCNC ትዕዛዞችን ጨምሮ:
ግንኙነት ቀይር IP
SYN እና ACK ጥቃቶችን ያካትታል:
SYN እና ACK ጥቃቶች
የ UDP STD የጎርፍ ጥቃቶችን ጨምሮ:
የ STD ጥቃት
የ XMAS ጥቃትን ጨምሮ: (ያውና, የገና ዛፍ ጥቃት, ሁሉንም የTCP ባንዲራዎች ወደ ላይ በማቀናበር 1, ስለዚህ የዒላማው ስርዓት ተጨማሪ የምላሽ ማቀነባበሪያ ሀብቶችን ይበላል)
የኤክስኤምኤኤስ ጥቃት
የ NIGGA ሞጁል በመጀመሪያው ስሪት ውስጥ ካለው የKILLATTK ትዕዛዝ ጋር እኩል ነው።, ከዋናው ሂደት በስተቀር ሁሉንም የልጅ ሂደቶችን በመግደል የ DoSS ጥቃቶችን ያስቆማል
NIGGA ሞጁል
የንጽጽር ትንተና
በምንጭ ኮድ ውስጥ ዋናውን አመክንዮ የሚያከማች ተግባር ሂደትCmd ፒንግን ያካትታል, ጌትሎካሊፕ, ስካነር, ኢሜል, ጀንክ, ዩዲፒ, TCP, ያዝ, KILLATTK, እና LOLNOGTFO ሞጁሎች. በዚህ ጊዜ በተያዘው ብዝበዛ ውስጥ ቀለል ያሉ የUDP እና TCP ሞጁሎች ብቻ ይኖራሉ. .
እና በአካባቢው አይፒን በማግኘት ሂደት ውስጥ, ዋናው እትም የአካባቢውን አይፒ በ /proc/net/route አግኝቶ በGETLOCALIP ሞጁል በኩል ይመለሳል።. በዚህ ልዩነት ውስጥ ተመሳሳይ የማግኘት ክዋኔ ይስተዋላል, ግን GETLOCALIP ሞጁል የለም እና ምንም ማጣቀሻዎች አይታዩም.
የአካባቢ አይፒን ያግኙ
SSH ለማፈንዳት ጥቅም ላይ የሚውለው የ SCANNER ሞጁል ኦሪጅናል ስሪት እንደሌለ ልብ ሊባል የሚገባው ጉዳይ ነው። (ወደብ 22) በዚህ ዓይነት ናሙና ውስጥ, እና ብዙ የሚካተት ሌሎች ተለዋጮች የሉም "መተግበሪያዎች / መሳሪያ" በPayload በኩል ለመሰራጨት ተጋላጭነቶች. አጥቂው የስርጭት ሞጁሉን ወደ ገለልተኛ ፕሮግራሞች ሲከፋፍል ማየት ይቻላል, እና በተሳካ ሁኔታ ወደ ተጎጂው አስተናጋጅ ከገቡ በኋላ, የሼልኮድ ኮድን በማስፈጸም ለሚቀጥለው ደረጃ የግንኙነት ናሙናውን ያወርዳል, ያውና, የመተንተን ናሙና.
የሼል ኮድ ምሳሌን ያስፈጽሙ
ከተመሳሳይ ምንጭ የተገኙ ናሙናዎችን እንደ ምሳሌ መውሰድ, አጥቂው ለአብዛኛዎቹ ናሙናዎች የማረም መረጃን ነጠቀ, ከጥቂቶች በቀር, እንደ: x86.