Электронная пошта: anwenqq2690502116@gmail.com
Нацэлены на Інтэрнэт рэчаў, новы варыянт ст "Гафіт" З'яўляецца траян
Нядаўна, Huorong Security Lab выявіла інцыдэнт з пранікненнем віруса, пасля даследавання і аналізу было пацверджана, што гэта новы варыянт траянскага віруса Gafgyt.
Gafgyt - гэта ботнет-праграма IoT, заснаваная на пратаколе IRC, які ў асноўным заражае Linux-аснове прылады IoT запускаць размеркаваныя атакі адмовы ў абслугоўванні (DDoS). Гэта самае вялікае актыўнае сямейства ботнетаў IoT, акрамя сямейства Mirai.
Пасля ўцечкі яго зыходнага кода і загрузкі на GitHub у 2015, адзін за адным з'яўляліся розныя варыянты і подзвігі, ствараючы вялікую пагрозу бяспецы карыстальнікаў. Зараз, Прадукты бяспекі Huorong могуць перахопліваць і знішчаць вышэйзгаданыя вірусы. Карпаратыўным карыстальнікам прапануецца своечасова абнаўляць вірусную базу да абароны.
1. Аналіз узораў
Вірус спачатку пераназывае свой працэс у "/usr/sbin/dropbear" або "sshd" каб схаваць сябе:
працэс перайменавання
Сярод іх, зашыфраваны радок знойдзены, а алгарытм дэшыфравання - гэта байтавае XOR 0xDEDEFFBA. Пры выкарыстанні, толькі выкарыстаныя расшыфроўваюцца індывідуальна, але толькі 4 фактычна спасылаюцца:
Зашыфраваны радок і алгарытм дэшыфравання
Першая спасылка прызначана толькі для вываду адпаведнага радка на экран, і дзве сярэднія спасылкі - гэта аперацыі над вартавым працэсам, каб пазбегнуць страты кантролю з-за перазапуску прылады:
расшыфраваць і зацытаваць
Астатнія аперацыі выконваюцца ў цыкле, уключаючы ініцыялізацыю злучэння C2 (94.156.161.21:671), адпраўка тыпу прылады платформы, прыём каманды вяртання і выкананне адпаведнай аперацыі модуля. І ў параўнанні з зыходным кодам, уцечкай Gafgy, фармат і апрацоўка каманды не моцна змяніліся, і фармат каманды па-ранейшаму "!*Камандаванне [Параметр]"
код аперацыі цыкла
У функцыі processCmd, у агульнай складанасці 14 на каманды рэагуюць і запускаюцца адпаведныя DDOS-атакі, у тым ліку: "HTTP", "Пашырэнне CUDP", "UDP", "ЗППП", "ААТ", "TCP", "СІН" , "ACK", "Каляды", "Каляды", "CVSE", "УСЁ", "ЧПУ", "НІГГА"
скрыншот каманды - Бяспека IoT
Сярод іх, CUDP, UDP, ААТ, і TCP-модулі могуць адпраўляць выпадковыя радкі на ўказаны IP і порт, і можа рэканструяваць пакеты TCP і UDP з дапамогай уласных IP-загалоўкаў, каб схаваць зыходны IP-адрас.
структура паведамлення
Мяркуецца, што прэфікс C - гэта абрэвіятура custom. Прымаючы CUDP і UDP у якасці прыкладаў, у арыгінальнай версіі Gafgyt, параметры ў выдадзенай камандзе ўключаюць: ip, порт, час, падроблены, памер пакетаў, pollinterval і іншыя значэнні палёў і біты сцяга Для пабудовы UDP-пакетаў. У гэтым узоры, аднак, назіраныя вынікі паказваюць, што гэта прымяненне гэтых параметраў з рознай ступенню абмежавання, што можа павысіць гнуткасць пэўных тыпаў DDOS-атак.
Параўнанне CUDP і UDP
Функцыі іншых модуляў ўключаюць даданне вялікай колькасці радкоў User-Agent, якія выкарыстоўваюцца для запуску каманд HTTP для нападаў CC:
CC атака
Уключана для нападаў на серверы Valve Source Engine: ("Зыходны рухавік" запыты з'яўляюцца часткай штодзённага зносін паміж кліентамі і гульнявыя серверы з дапамогай праграмнага пратаколу Valve)
Атакі на гульнявую індустрыю
Уключаючы каманды ЧПУ, якія могуць перамыкаць IP злучэння:
IP злучэння камутатара
Уключае атакі SYN і ACK:
Атакі SYN і ACK
У тым ліку атакі паводкі UDP STD:
прыступ ЗППП
У тым ліку атака XMAS: (гэта, Атака елкі, усталяваўшы ўсе біты сцяга TCP у 1, такім чынам спажываецца больш рэсурсаў апрацоўкі адказу мэтавай сістэмы)
Калядная атака
Модуль NIGGA эквівалентны камандзе KILLATTK у арыгінальнай версіі, які спыняе атакі DoSS, забіваючы ўсе даччыныя працэсы, акрамя асноўнага
Модуль NIGGA
Параўнальны аналіз
Функцыя processCmd, якая захоўвае асноўную логіку ў зыходным кодзе, уключае PING, ГЕТЛОКАЛІП, СКАНЕР, Электронная пошта, СМЕЦЦЕ, UDP, TCP, ТРЫМАЦЬ, ЗАБІЦЬ, і модулі LOLNOGTFO. Толькі спрошчаныя версіі модуляў UDP і TCP суіснуюць у варыянце эксплойта, зафіксаваным на гэты раз. .
І ў аперацыі па атрыманні мясцовага IP, арыгінальная версія атрымлівае лакальны IP праз /proc/net/route і вяртае яго праз модуль GETLOCALIP. Такая ж аперацыя атрымання назіраецца і ў гэтым варыянце, але няма модуля GETLOCALIP і спасылак не назіраецца.
Атрымаць лакальны IP
Варта адзначыць, што не існуе арыгінальнай версіі модуля SCANNER, які выкарыстоўваецца для падрыву SSH (порт 22) у гэтым тыпе выбаркі, і няма іншых варыянтаў, якія ўбудоўваюць некалькі "прыкладання/прылада" уразлівасці для распаўсюджвання праз Payload. Відаць, што зламыснік разбівае модуль распаўсюджвання на незалежныя праграмы, і пасля паспяховага ўваходу ў хост-ахвяру, ён загрузіць узор сувязі для наступнага этапу, выканаўшы шеллкод, гэта, ўзор аналізу.
Выканаць прыклад шеллкода
У якасці прыкладу бяруцца ўзоры, атрыманыя з той жа крыніцы, зламыснік пазбавіў адладкавую інфармацыю для большасці ўзораў, за выключэннем некалькіх, такія як: x86.