Əşyaların İnterneti hədəflənir, "Gafgyt"ın yeni variantı" Trojan görünür

Əşyaların İnterneti hədəflənir, yeni variantı "Gaffyt" Trojan görünür

Əşyaların İnterneti hədəflənir, yeni variantı "Gaffyt" Trojan görünür. Bu yaxınlarda, Huorong Təhlükəsizlik Laboratoriyası virusa müdaxilə hadisəsi aşkar etdi, araşdırma və təhlildən sonra Gafgyt Trojan virusunun yeni variantı olduğu təsdiqlənib.

Əşyaların İnterneti hədəflənir, yeni variantı "Gaffyt" Trojan görünür

Bu yaxınlarda, Huorong Təhlükəsizlik Laboratoriyası virusa müdaxilə hadisəsi aşkar etdi, araşdırma və təhlildən sonra Gafgyt Trojan virusunun yeni variantı olduğu təsdiqlənib.

Gafgyt IRC protokoluna əsaslanan IoT botnet proqramıdır, əsasən Linux-a yoluxdurur IoT cihazları paylanmış xidmətdən imtina hücumlarına başlamaq (DDoS). Bu, Mirai ailəsindən başqa ən böyük aktiv IoT botnet ailəsidir.

Mənbə kodu sızdıqdan və GitHub-a yükləndikdən sonra 2015, müxtəlif variantlar və istismarlar bir-birinin ardınca meydana çıxdı, istifadəçilər üçün daha böyük təhlükəsizlik təhlükəsi yaradır. Hal hazırda, Huorong təhlükəsizlik məhsulları yuxarıda qeyd olunan virusları ələ keçirə və öldürə bilər. Müəssisə istifadəçilərindən müdafiə üçün vaxtında virus verilənlər bazasını yeniləmələri xahiş olunur.

1. Nümunə təhlili
Virus əvvəlcə öz prosesinin adını dəyişdirir "/usr/sbin/dropbear" və ya "sshd" özünü gizlətmək:

prosesin adını dəyişdirin

Onların arasında, şifrələnmiş sətir tapılır, və deşifrə alqoritmi 0xDEDEFFBA bayt XOR-dur. İstifadə edildikdə, yalnız istifadə olunanların şifrəsi ayrı-ayrılıqda açılır, ancaq 4 əslində istinad edilir:

Şifrələnmiş sətir və deşifrə alqoritmi

Birinci istinad yalnız müvafiq sətri ekrana çıxarmaq üçündür, və ortadakı iki istinad, cihazın yenidən işə salınması səbəbindən nəzarəti itirməmək üçün gözətçi prosesində əməliyyatlardır:

deşifrə və sitat

Qalan əməliyyatlar bir döngədə həyata keçirilir, C2 bağlantısının işə salınması daxil olmaqla (94.156.161.21:671), platforma cihaz növünün göndərilməsi, qaytarma əmrinin alınması və müvafiq modul əməliyyatının yerinə yetirilməsi. Və Gafgy tərəfindən sızdırılan mənbə kodu ilə müqayisədə, komandanın formatı və işlənməsi çox dəyişməyib, və əmrin formatı hələ də qalır "!*Əmr [Parametr]"

loop əməliyyat kodu

processCmd funksiyasında, cəmi 14 əmrlərə cavab verilir və müvafiq DDOS hücumları həyata keçirilir, daxil olmaqla: "HTTP", "CUDP uzadılması", "UDP", "STD", "ASC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "HƏR ŞEY", "CNC", "NIGGA"

əmr ekran görüntüsü - IoT təhlükəsizliyi

Onların arasında, CUDP, UDP, ASC, və TCP modullarının hamısı müəyyən edilmiş IP və porta təsadüfi sətirlər göndərə bilər, və mənbə IP ünvanını gizlətmək üçün öz-özünə qurulmuş IP başlıqları ilə TCP və UDP paketlərini yenidən qura bilər..

mesaj strukturu

C prefiksinin adət sözünün abbreviaturası olduğu təxmin edilir. Nümunə olaraq CUDP və UDP-ni götürək, Gafgyt'ın orijinal versiyasında, verilən əmrdəki parametrlər daxildir: ip, liman, vaxt, aldadılmış, paket ölçüsü, pollinterval və digər sahə dəyərləri və bayraq bitləri UDP paketlərinin qurulması üçün. Bu nümunədə, lakin, müşahidə olunan nəticələr göstərir ki, məhz bu parametrlərin müxtəlif məhdudiyyət dərəcələrinə tətbiqi, DDOS hücumlarının xüsusi növlərinin çevikliyini artıra bilər.

CUDP və UDP-nin müqayisəsi

Digər modulların funksiyalarına çoxlu sayda İstifadəçi-Agent sətirlərinin əlavə edilməsi daxildir, CC hücumları üçün HTTP əmrlərini işə salmaq üçün istifadə olunur:

CC hücumu

Valve's Source Engine serverlərinə hücumlar üçün daxil edilmişdir: ("Mənbə Mühərriki" sorğular müştərilər və arasında gündəlik ünsiyyətin bir hissəsidir oyun serverləri Valve proqram protokolundan istifadə etməklə)

Oyun sənayesinə qarşı hücumlar

Bağlantı IP-ni dəyişə bilən CNC əmrləri daxil olmaqla:

keçid IP

SYN və ACK hücumları daxildir:

SYN və ACK hücumları

O cümlədən UDP STD daşqın hücumları:

STD hücumu

XMAS hücumu da daxil olmaqla: (yəni, Milad ağacına hücum, TCP-nin bütün bayraq bitlərini təyin etməklə 1, beləliklə, hədəf sistemin daha çox cavab emal resurslarını istehlak edir)

XMAS hücumu

NIGGA modulu orijinal versiyada KILLATTK əmrinə bərabərdir, əsas prosesdən başqa bütün uşaq proseslərini öldürərək DoSS hücumlarını dayandırır

NIGGA modulu

Müqayisəli təhlil
Mənbə kodunda əsas məntiqi saxlayan processCmd funksiyasına PING daxildir, GETLOCALIP, Skaner, E-poçt, zibil, UDP, TCP, BAXIN, KILLATTK, və LOLNOGTFO modulları. Bu dəfə ələ keçirilən variant istismarında yalnız UDP və TCP modullarının sadələşdirilmiş versiyaları birlikdə mövcuddur. .

Və yerli IP əldə etmək əməliyyatında, orijinal versiya yerli IP-ni /proc/net/route vasitəsilə əldə edir və onu GETLOCALIP modulu vasitəsilə qaytarır.. Eyni alma əməliyyatı bu variantda da müşahidə olunur, lakin GETLOCALIP modulu yoxdur və heç bir istinad müşahidə edilmir.

Yerli IP əldə edin

Qeyd etmək lazımdır ki, SSH-ni partlatmaq üçün istifadə edilən SCANNER modulunun orijinal versiyası yoxdur (liman 22) bu tip nümunədə, və çoxlu yerləşdirən başqa variantlar yoxdur "proqramlar/cihaz" Payload vasitəsilə yayılan zəifliklər. Görünür ki, təcavüzkar yayılma modulunu müstəqil proqramlara bölür, və qurban hostuna uğurla daxil olduqdan sonra, shellcode yerinə yetirməklə növbəti mərhələ üçün rabitə nümunəsini endirəcək, yəni, analiz nümunəsi.

Shellcode nümunəsini icra edin

Eyni mənbədən alınan nümunələrin nümunə kimi götürülməsi, təcavüzkar nümunələrin əksəriyyəti üçün sazlama məlumatını sildi, bir neçə istisna olmaqla, kimi: x86.