بريد إلكتروني: anwenqq2690502116@gmail.com

كشف Tinder والقتل

تهدف إلى إنترنت الأشياء, نسخة جديدة من "جافيت" يظهر طروادة

تهدف إلى إنترنت الأشياء, نسخة جديدة من "جافيت" يظهر طروادة. حديثاً, اكتشف مختبر Huorong Security Lab حادثة اختراق فيروس, والذي تم التأكد من أنه نسخة جديدة من فيروس Gafgyt Trojan بعد التحقيق والتحليل.

تهدف إلى إنترنت الأشياء, نسخة جديدة من "جافيت" يظهر طروادة

حديثاً, اكتشف مختبر Huorong Security Lab حادثة اختراق فيروس, والذي تم التأكد من أنه نسخة جديدة من فيروس Gafgyt Trojan بعد التحقيق والتحليل.

Gafgyt هو برنامج الروبوتات لإنترنت الأشياء يعتمد على بروتوكول IRC, والذي يصيب أساسًا نظام التشغيل Linux أجهزة إنترنت الأشياء لشن هجمات حجب الخدمة الموزعة (DDoS). إنها أكبر عائلة نشطة لروبوتات إنترنت الأشياء بخلاف عائلة Mirai.

بعد أن تم تسريب الكود المصدري الخاص به وتحميله على GitHub في 2015, ظهرت المتغيرات والمآثر المختلفة واحدة تلو الأخرى, تشكل تهديدا أمنيا أكبر للمستخدمين. في الوقت الحالي, يمكن لمنتجات Huorong الأمنية اعتراض الفيروسات المذكورة أعلاه وقتلها. يُطلب من مستخدمي المؤسسات تحديث قاعدة بيانات الفيروسات في الوقت المناسب للدفاع.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. تحليل العينة
يقوم الفيروس أولاً بإعادة تسمية عمليته الخاصة إلى "/usr/sbin/dropbear" أو "sshd" لإخفاء نفسها:

process rename
إعادة تسمية العملية

فيما بينها, تم العثور على السلسلة المشفرة, وخوارزمية فك التشفير هي بايت XOR لـ 0xDEDEFFBA. عند استخدامها, يتم فك تشفير تلك المستخدمة فقط بشكل فردي, لكن فقط 4 يتم الرجوع إليها في الواقع:

Encrypted string and decryption algorithm
سلسلة مشفرة وخوارزمية فك التشفير

 

المرجع الأول هو فقط إخراج السلسلة المقابلة إلى الشاشة, والمرجعان الأوسطان عبارة عن عمليات في عملية المراقبة لتجنب فقدان السيطرة بسبب إعادة تشغيل الجهاز:

decrypt and quote

فك التشفير والاقتباس

 

يتم تنفيذ العمليات المتبقية في حلقة, بما في ذلك تهيئة اتصال C2 (94.156.161.21:671), إرسال نوع جهاز النظام الأساسي, تلقي أمر الإرجاع وتنفيذ عملية الوحدة المقابلة. ومقارنتها بالكود المصدري الذي سربه Gafgy, لم يتغير تنسيق الأمر ومعالجته كثيرًا, وشكل الأمر لا يزال "!*يأمر [معامل]"

loop operation code

رمز تشغيل الحلقة

 

في وظيفة ProcessCmd, ما مجموعه 14 يتم الرد على الأوامر ويتم إطلاق هجمات DDOS المقابلة, مشتمل: "HTTP", "امتداد CUDP", "UDP", "الأمراض المنقولة جنسيا", "هيئة الأوراق المالية", "برنامج التعاون الفني", "مزامنة" , "أك", "ككسماس", "عيد الميلاد", "CVSE", "كل شئ", "CNC", "نيغا"

command screenshot - IoT security
لقطة شاشة الأوامر - أمن إنترنت الأشياء

 

فيما بينها, CUDP, UDP, هيئة الأوراق المالية, ويمكن لجميع وحدات TCP إرسال سلاسل عشوائية إلى عنوان IP والمنفذ المحددين, ويمكنه إعادة بناء حزم TCP وUDP بواسطة رؤوس IP ذاتية البناء لإخفاء عنوان IP المصدر.

 

message structure
هيكل الرسالة

 

يُعتقد أن البادئة C هي اختصار للعرف. مع أخذ CUDP وUDP كأمثلة, في النسخة الأصلية من Gafgyt, تتضمن المعلمات الموجودة في الأمر الصادر: الملكية الفكرية, ميناء, وقت, مخادع, حجم الحزمة, فترة التلقيح وقيم الحقول الأخرى وبتات العلم لبناء حزم UDP. في هذه العينة, لكن, وأظهرت النتائج المرصودة أنه يتم تطبيق هذه المعلمات على درجات مختلفة من التقييد, والتي يمكن أن تعزز مرونة أنواع معينة من هجمات DDOS.

مقارنة بين CUDP وUDP

تتضمن وظائف الوحدات الأخرى إضافة عدد كبير من سلاسل وكيل المستخدم, والتي تُستخدم لإطلاق أوامر HTTP لهجمات CC:

هجوم CC

تم تضمينه للهجمات ضد خوادم Source Engine الخاصة بشركة Valve: ("محرك المصدر" الاستفسارات هي جزء من التواصل اليومي بين العملاء و خوادم اللعبة باستخدام بروتوكول برنامج Valve)

هجمات على صناعة الألعاب

بما في ذلك أوامر CNC التي يمكنها تبديل اتصال IP:

تبديل اتصال IP

يتضمن هجمات SYN وACK:

هجمات SYN و ACK

بما في ذلك هجمات الفيضانات UDP STD:

هجوم الأمراض المنقولة جنسيا

بما في ذلك هجوم عيد الميلاد: (إنه, هجوم شجرة عيد الميلاد, عن طريق تعيين كافة بتات العلم لـ TCP على 1, وبالتالي استهلاك المزيد من موارد معالجة الاستجابة للنظام المستهدف)

هجوم عيد الميلاد

وحدة NIGGA تعادل أمر KILLATTK في الإصدار الأصلي, الذي يوقف هجمات DoSS عن طريق قتل جميع العمليات الفرعية باستثناء العملية الرئيسية

وحدة نيجا

تحليل مقارن
تتضمن وظيفة ProcessCmd التي تخزن المنطق الرئيسي في الكود المصدري PING, جيتلوكاليب, الماسح الضوئي, بريد إلكتروني, نفاية, UDP, برنامج التعاون الفني, يمسك, كيلاتك, ووحدات LOLNOGTFO. تتواجد فقط الإصدارات المبسطة من وحدات UDP وTCP في الثغرة المتغيرة التي تم التقاطها هذه المرة. .

وفي عملية الحصول على IP المحلي, يحصل الإصدار الأصلي على عنوان IP المحلي من خلال /proc/net/route ويعيده من خلال وحدة GETLOCALIP. نفس عملية الحصول لوحظت في هذا المتغير, ولكن لا توجد وحدة GETLOCALIP ولا تتم ملاحظة أي مراجع.

الحصول على IP المحلي

ومن الجدير بالذكر أنه لا توجد نسخة أصلية من وحدة SCANNER المستخدمة لتفجير SSH (ميناء 22) في هذا النوع من العينات, ولا توجد متغيرات أخرى تتضمن عدة "التطبيقات/الجهاز" نقاط الضعف للانتشار من خلال الحمولة. يمكن ملاحظة أن المهاجم قام بتقسيم وحدة النشر إلى برامج مستقلة, وبعد تسجيل الدخول بنجاح إلى المضيف الضحية, سيقوم بتنزيل نموذج الاتصال للمرحلة التالية عن طريق تنفيذ كود القشرة, إنه, عينة التحليل.

تنفيذ مثال كود القشرة

أخذ العينات التي تم الحصول عليها من نفس المصدر كمثال, قام المهاجم بتجريد معلومات التصحيح لمعظم العينات, باستثناء عدد قليل, مثل: x86.

شارك حبك

المنشورات ذات الصلة

اترك رد

لن يتم نشر عنوان بريدك الإلكتروني. الحقول المطلوبة محددة *