بريد إلكتروني: anwenqq2690502116@gmail.com
تهدف إلى إنترنت الأشياء, نسخة جديدة من "جافيت" يظهر طروادة
حديثاً, اكتشف مختبر Huorong Security Lab حادثة اختراق فيروس, والذي تم التأكد من أنه نسخة جديدة من فيروس Gafgyt Trojan بعد التحقيق والتحليل.
Gafgyt هو برنامج الروبوتات لإنترنت الأشياء يعتمد على بروتوكول IRC, والذي يصيب أساسًا نظام التشغيل Linux أجهزة إنترنت الأشياء لشن هجمات حجب الخدمة الموزعة (DDoS). إنها أكبر عائلة نشطة لروبوتات إنترنت الأشياء بخلاف عائلة Mirai.
بعد أن تم تسريب الكود المصدري الخاص به وتحميله على GitHub في 2015, ظهرت المتغيرات والمآثر المختلفة واحدة تلو الأخرى, تشكل تهديدا أمنيا أكبر للمستخدمين. في الوقت الحالي, يمكن لمنتجات Huorong الأمنية اعتراض الفيروسات المذكورة أعلاه وقتلها. يُطلب من مستخدمي المؤسسات تحديث قاعدة بيانات الفيروسات في الوقت المناسب للدفاع.
1. تحليل العينة
يقوم الفيروس أولاً بإعادة تسمية عمليته الخاصة إلى "/usr/sbin/dropbear" أو "sshd" لإخفاء نفسها:
إعادة تسمية العملية
فيما بينها, تم العثور على السلسلة المشفرة, وخوارزمية فك التشفير هي بايت XOR لـ 0xDEDEFFBA. عند استخدامها, يتم فك تشفير تلك المستخدمة فقط بشكل فردي, لكن فقط 4 يتم الرجوع إليها في الواقع:
سلسلة مشفرة وخوارزمية فك التشفير
المرجع الأول هو فقط إخراج السلسلة المقابلة إلى الشاشة, والمرجعان الأوسطان عبارة عن عمليات في عملية المراقبة لتجنب فقدان السيطرة بسبب إعادة تشغيل الجهاز:
فك التشفير والاقتباس
يتم تنفيذ العمليات المتبقية في حلقة, بما في ذلك تهيئة اتصال C2 (94.156.161.21:671), إرسال نوع جهاز النظام الأساسي, تلقي أمر الإرجاع وتنفيذ عملية الوحدة المقابلة. ومقارنتها بالكود المصدري الذي سربه Gafgy, لم يتغير تنسيق الأمر ومعالجته كثيرًا, وشكل الأمر لا يزال "!*يأمر [معامل]"
رمز تشغيل الحلقة
في وظيفة ProcessCmd, ما مجموعه 14 يتم الرد على الأوامر ويتم إطلاق هجمات DDOS المقابلة, مشتمل: "HTTP", "امتداد CUDP", "UDP", "الأمراض المنقولة جنسيا", "هيئة الأوراق المالية", "برنامج التعاون الفني", "مزامنة" , "أك", "ككسماس", "عيد الميلاد", "CVSE", "كل شئ", "CNC", "نيغا"
لقطة شاشة الأوامر - أمن إنترنت الأشياء
فيما بينها, CUDP, UDP, هيئة الأوراق المالية, ويمكن لجميع وحدات TCP إرسال سلاسل عشوائية إلى عنوان IP والمنفذ المحددين, ويمكنه إعادة بناء حزم TCP وUDP بواسطة رؤوس IP ذاتية البناء لإخفاء عنوان IP المصدر.
هيكل الرسالة
يُعتقد أن البادئة C هي اختصار للعرف. مع أخذ CUDP وUDP كأمثلة, في النسخة الأصلية من Gafgyt, تتضمن المعلمات الموجودة في الأمر الصادر: الملكية الفكرية, ميناء, وقت, مخادع, حجم الحزمة, فترة التلقيح وقيم الحقول الأخرى وبتات العلم لبناء حزم UDP. في هذه العينة, لكن, وأظهرت النتائج المرصودة أنه يتم تطبيق هذه المعلمات على درجات مختلفة من التقييد, والتي يمكن أن تعزز مرونة أنواع معينة من هجمات DDOS.
مقارنة بين CUDP وUDP
تتضمن وظائف الوحدات الأخرى إضافة عدد كبير من سلاسل وكيل المستخدم, والتي تُستخدم لإطلاق أوامر HTTP لهجمات CC:
هجوم CC
تم تضمينه للهجمات ضد خوادم Source Engine الخاصة بشركة Valve: ("محرك المصدر" الاستفسارات هي جزء من التواصل اليومي بين العملاء و خوادم اللعبة باستخدام بروتوكول برنامج Valve)
هجمات على صناعة الألعاب
بما في ذلك أوامر CNC التي يمكنها تبديل اتصال IP:
تبديل اتصال IP
يتضمن هجمات SYN وACK:
هجمات SYN و ACK
بما في ذلك هجمات الفيضانات UDP STD:
هجوم الأمراض المنقولة جنسيا
بما في ذلك هجوم عيد الميلاد: (إنه, هجوم شجرة عيد الميلاد, عن طريق تعيين كافة بتات العلم لـ TCP على 1, وبالتالي استهلاك المزيد من موارد معالجة الاستجابة للنظام المستهدف)
هجوم عيد الميلاد
وحدة NIGGA تعادل أمر KILLATTK في الإصدار الأصلي, الذي يوقف هجمات DoSS عن طريق قتل جميع العمليات الفرعية باستثناء العملية الرئيسية
وحدة نيجا
تحليل مقارن
تتضمن وظيفة ProcessCmd التي تخزن المنطق الرئيسي في الكود المصدري PING, جيتلوكاليب, الماسح الضوئي, بريد إلكتروني, نفاية, UDP, برنامج التعاون الفني, يمسك, كيلاتك, ووحدات LOLNOGTFO. تتواجد فقط الإصدارات المبسطة من وحدات UDP وTCP في الثغرة المتغيرة التي تم التقاطها هذه المرة. .
وفي عملية الحصول على IP المحلي, يحصل الإصدار الأصلي على عنوان IP المحلي من خلال /proc/net/route ويعيده من خلال وحدة GETLOCALIP. نفس عملية الحصول لوحظت في هذا المتغير, ولكن لا توجد وحدة GETLOCALIP ولا تتم ملاحظة أي مراجع.
الحصول على IP المحلي
ومن الجدير بالذكر أنه لا توجد نسخة أصلية من وحدة SCANNER المستخدمة لتفجير SSH (ميناء 22) في هذا النوع من العينات, ولا توجد متغيرات أخرى تتضمن عدة "التطبيقات/الجهاز" نقاط الضعف للانتشار من خلال الحمولة. يمكن ملاحظة أن المهاجم قام بتقسيم وحدة النشر إلى برامج مستقلة, وبعد تسجيل الدخول بنجاح إلى المضيف الضحية, سيقوم بتنزيل نموذج الاتصال للمرحلة التالية عن طريق تنفيذ كود القشرة, إنه, عينة التحليل.
تنفيذ مثال كود القشرة
أخذ العينات التي تم الحصول عليها من نفس المصدر كمثال, قام المهاجم بتجريد معلومات التصحيح لمعظم العينات, باستثناء عدد قليل, مثل: x86.