E-poçt: anwenqq2690502116@gmail.com
Əşyaların İnterneti hədəflənir, yeni variantı "Gaffyt" Trojan görünür
Bu yaxınlarda, Huorong Təhlükəsizlik Laboratoriyası virusa müdaxilə hadisəsi aşkar etdi, araşdırma və təhlildən sonra Gafgyt Trojan virusunun yeni variantı olduğu təsdiqlənib.
Gafgyt IRC protokoluna əsaslanan IoT botnet proqramıdır, əsasən Linux-a yoluxdurur IoT cihazları paylanmış xidmətdən imtina hücumlarına başlamaq (DDoS). Bu, Mirai ailəsindən başqa ən böyük aktiv IoT botnet ailəsidir.
Mənbə kodu sızdıqdan və GitHub-a yükləndikdən sonra 2015, müxtəlif variantlar və istismarlar bir-birinin ardınca meydana çıxdı, istifadəçilər üçün daha böyük təhlükəsizlik təhlükəsi yaradır. Hal hazırda, Huorong təhlükəsizlik məhsulları yuxarıda qeyd olunan virusları ələ keçirə və öldürə bilər. Müəssisə istifadəçilərindən müdafiə üçün vaxtında virus verilənlər bazasını yeniləmələri xahiş olunur.
1. Nümunə təhlili
Virus əvvəlcə öz prosesinin adını dəyişdirir "/usr/sbin/dropbear" və ya "sshd" özünü gizlətmək:
prosesin adını dəyişdirin
Onların arasında, şifrələnmiş sətir tapılır, və deşifrə alqoritmi 0xDEDEFFBA bayt XOR-dur. İstifadə edildikdə, yalnız istifadə olunanların şifrəsi ayrı-ayrılıqda açılır, ancaq 4 əslində istinad edilir:
Şifrələnmiş sətir və deşifrə alqoritmi
Birinci istinad yalnız müvafiq sətri ekrana çıxarmaq üçündür, və ortadakı iki istinad, cihazın yenidən işə salınması səbəbindən nəzarəti itirməmək üçün gözətçi prosesində əməliyyatlardır:
deşifrə və sitat
Qalan əməliyyatlar bir döngədə həyata keçirilir, C2 bağlantısının işə salınması daxil olmaqla (94.156.161.21:671), platforma cihaz növünün göndərilməsi, qaytarma əmrinin alınması və müvafiq modul əməliyyatının yerinə yetirilməsi. Və Gafgy tərəfindən sızdırılan mənbə kodu ilə müqayisədə, komandanın formatı və işlənməsi çox dəyişməyib, və əmrin formatı hələ də qalır "!*Əmr [Parametr]"
loop əməliyyat kodu
processCmd funksiyasında, cəmi 14 əmrlərə cavab verilir və müvafiq DDOS hücumları həyata keçirilir, daxil olmaqla: "HTTP", "CUDP uzadılması", "UDP", "STD", "ASC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "HƏR ŞEY", "CNC", "NIGGA"
əmr ekran görüntüsü - IoT təhlükəsizliyi
Onların arasında, CUDP, UDP, ASC, və TCP modullarının hamısı müəyyən edilmiş IP və porta təsadüfi sətirlər göndərə bilər, və mənbə IP ünvanını gizlətmək üçün öz-özünə qurulmuş IP başlıqları ilə TCP və UDP paketlərini yenidən qura bilər..
mesaj strukturu
C prefiksinin adət sözünün abbreviaturası olduğu təxmin edilir. Nümunə olaraq CUDP və UDP-ni götürək, Gafgyt'ın orijinal versiyasında, verilən əmrdəki parametrlər daxildir: ip, liman, vaxt, aldadılmış, paket ölçüsü, pollinterval və digər sahə dəyərləri və bayraq bitləri UDP paketlərinin qurulması üçün. Bu nümunədə, lakin, müşahidə olunan nəticələr göstərir ki, məhz bu parametrlərin müxtəlif məhdudiyyət dərəcələrinə tətbiqi, DDOS hücumlarının xüsusi növlərinin çevikliyini artıra bilər.
CUDP və UDP-nin müqayisəsi
Digər modulların funksiyalarına çoxlu sayda İstifadəçi-Agent sətirlərinin əlavə edilməsi daxildir, CC hücumları üçün HTTP əmrlərini işə salmaq üçün istifadə olunur:
CC hücumu
Valve's Source Engine serverlərinə hücumlar üçün daxil edilmişdir: ("Mənbə Mühərriki" sorğular müştərilər və arasında gündəlik ünsiyyətin bir hissəsidir oyun serverləri Valve proqram protokolundan istifadə etməklə)
Oyun sənayesinə qarşı hücumlar
Bağlantı IP-ni dəyişə bilən CNC əmrləri daxil olmaqla:
keçid IP
SYN və ACK hücumları daxildir:
SYN və ACK hücumları
O cümlədən UDP STD daşqın hücumları:
STD hücumu
XMAS hücumu da daxil olmaqla: (yəni, Milad ağacına hücum, TCP-nin bütün bayraq bitlərini təyin etməklə 1, beləliklə, hədəf sistemin daha çox cavab emal resurslarını istehlak edir)
XMAS hücumu
NIGGA modulu orijinal versiyada KILLATTK əmrinə bərabərdir, əsas prosesdən başqa bütün uşaq proseslərini öldürərək DoSS hücumlarını dayandırır
NIGGA modulu
Müqayisəli təhlil
Mənbə kodunda əsas məntiqi saxlayan processCmd funksiyasına PING daxildir, GETLOCALIP, Skaner, E-poçt, zibil, UDP, TCP, BAXIN, KILLATTK, və LOLNOGTFO modulları. Bu dəfə ələ keçirilən variant istismarında yalnız UDP və TCP modullarının sadələşdirilmiş versiyaları birlikdə mövcuddur. .
Və yerli IP əldə etmək əməliyyatında, orijinal versiya yerli IP-ni /proc/net/route vasitəsilə əldə edir və onu GETLOCALIP modulu vasitəsilə qaytarır.. Eyni alma əməliyyatı bu variantda da müşahidə olunur, lakin GETLOCALIP modulu yoxdur və heç bir istinad müşahidə edilmir.
Yerli IP əldə edin
Qeyd etmək lazımdır ki, SSH-ni partlatmaq üçün istifadə edilən SCANNER modulunun orijinal versiyası yoxdur (liman 22) bu tip nümunədə, və çoxlu yerləşdirən başqa variantlar yoxdur "proqramlar/cihaz" Payload vasitəsilə yayılan zəifliklər. Görünür ki, təcavüzkar yayılma modulunu müstəqil proqramlara bölür, və qurban hostuna uğurla daxil olduqdan sonra, shellcode yerinə yetirməklə növbəti mərhələ üçün rabitə nümunəsini endirəcək, yəni, analiz nümunəsi.
Shellcode nümunəsini icra edin
Eyni mənbədən alınan nümunələrin nümunə kimi götürülməsi, təcavüzkar nümunələrin əksəriyyəti üçün sazlama məlumatını sildi, bir neçə istisna olmaqla, kimi: x86.