Нацэлены на Інтэрнэт рэчаў, новы варыянт «Гафгыт" З'яўляецца траян

Нацэлены на Інтэрнэт рэчаў, новы варыянт ст "Гафіт" З'яўляецца траян

Нацэлены на Інтэрнэт рэчаў, новы варыянт ст "Гафіт" З'яўляецца траян. Нядаўна, Huorong Security Lab выявіла інцыдэнт з пранікненнем віруса, пасля даследавання і аналізу было пацверджана, што гэта новы варыянт траянскага віруса Gafgyt.

Нацэлены на Інтэрнэт рэчаў, новы варыянт ст "Гафіт" З'яўляецца траян

Нядаўна, Huorong Security Lab выявіла інцыдэнт з пранікненнем віруса, пасля даследавання і аналізу было пацверджана, што гэта новы варыянт траянскага віруса Gafgyt.

Gafgyt - гэта ботнет-праграма IoT, заснаваная на пратаколе IRC, які ў асноўным заражае Linux-аснове прылады IoT запускаць размеркаваныя атакі адмовы ў абслугоўванні (DDoS). Гэта самае вялікае актыўнае сямейства ботнетаў IoT, акрамя сямейства Mirai.

Пасля ўцечкі яго зыходнага кода і загрузкі на GitHub у 2015, адзін за адным з'яўляліся розныя варыянты і подзвігі, ствараючы вялікую пагрозу бяспецы карыстальнікаў. Зараз, Прадукты бяспекі Huorong могуць перахопліваць і знішчаць вышэйзгаданыя вірусы. Карпаратыўным карыстальнікам прапануецца своечасова абнаўляць вірусную базу да абароны.

1. Аналіз узораў
Вірус спачатку пераназывае свой працэс у "/usr/sbin/dropbear" або "sshd" каб схаваць сябе:

працэс перайменавання

Сярод іх, зашыфраваны радок знойдзены, а алгарытм дэшыфравання - гэта байтавае XOR 0xDEDEFFBA. Пры выкарыстанні, толькі выкарыстаныя расшыфроўваюцца індывідуальна, але толькі 4 фактычна спасылаюцца:

Зашыфраваны радок і алгарытм дэшыфравання

Першая спасылка прызначана толькі для вываду адпаведнага радка на экран, і дзве сярэднія спасылкі - гэта аперацыі над вартавым працэсам, каб пазбегнуць страты кантролю з-за перазапуску прылады:

расшыфраваць і зацытаваць

Астатнія аперацыі выконваюцца ў цыкле, уключаючы ініцыялізацыю злучэння C2 (94.156.161.21:671), адпраўка тыпу прылады платформы, прыём каманды вяртання і выкананне адпаведнай аперацыі модуля. І ў параўнанні з зыходным кодам, уцечкай Gafgy, фармат і апрацоўка каманды не моцна змяніліся, і фармат каманды па-ранейшаму "!*Камандаванне [Параметр]"

код аперацыі цыкла

У функцыі processCmd, у агульнай складанасці 14 на каманды рэагуюць і запускаюцца адпаведныя DDOS-атакі, у тым ліку: "HTTP", "Пашырэнне CUDP", "UDP", "ЗППП", "ААТ", "TCP", "СІН" , "ACK", "Каляды", "Каляды", "CVSE", "УСЁ", "ЧПУ", "НІГГА"

скрыншот каманды - Бяспека IoT

Сярод іх, CUDP, UDP, ААТ, і TCP-модулі могуць адпраўляць выпадковыя радкі на ўказаны IP і порт, і можа рэканструяваць пакеты TCP і UDP з дапамогай уласных IP-загалоўкаў, каб схаваць зыходны IP-адрас.

структура паведамлення

Мяркуецца, што прэфікс C - гэта абрэвіятура custom. Прымаючы CUDP і UDP у якасці прыкладаў, у арыгінальнай версіі Gafgyt, параметры ў выдадзенай камандзе ўключаюць: ip, порт, час, падроблены, памер пакетаў, pollinterval і іншыя значэнні палёў і біты сцяга Для пабудовы UDP-пакетаў. У гэтым узоры, аднак, назіраныя вынікі паказваюць, што гэта прымяненне гэтых параметраў з рознай ступенню абмежавання, што можа павысіць гнуткасць пэўных тыпаў DDOS-атак.

Параўнанне CUDP і UDP

Функцыі іншых модуляў ўключаюць даданне вялікай колькасці радкоў User-Agent, якія выкарыстоўваюцца для запуску каманд HTTP для нападаў CC:

CC атака

Уключана для нападаў на серверы Valve Source Engine: ("Зыходны рухавік" запыты з'яўляюцца часткай штодзённага зносін паміж кліентамі і гульнявыя серверы з дапамогай праграмнага пратаколу Valve)

Атакі на гульнявую індустрыю

Уключаючы каманды ЧПУ, якія могуць перамыкаць IP злучэння:

IP злучэння камутатара

Уключае атакі SYN і ACK:

Атакі SYN і ACK

У тым ліку атакі паводкі UDP STD:

прыступ ЗППП

У тым ліку атака XMAS: (гэта, Атака елкі, усталяваўшы ўсе біты сцяга TCP у 1, такім чынам спажываецца больш рэсурсаў апрацоўкі адказу мэтавай сістэмы)

Калядная атака

Модуль NIGGA эквівалентны камандзе KILLATTK у арыгінальнай версіі, які спыняе атакі DoSS, забіваючы ўсе даччыныя працэсы, акрамя асноўнага

Модуль NIGGA

Параўнальны аналіз
Функцыя processCmd, якая захоўвае асноўную логіку ў зыходным кодзе, уключае PING, ГЕТЛОКАЛІП, СКАНЕР, Электронная пошта, СМЕЦЦЕ, UDP, TCP, ТРЫМАЦЬ, ЗАБІЦЬ, і модулі LOLNOGTFO. Толькі спрошчаныя версіі модуляў UDP і TCP суіснуюць у варыянце эксплойта, зафіксаваным на гэты раз. .

І ў аперацыі па атрыманні мясцовага IP, арыгінальная версія атрымлівае лакальны IP праз /proc/net/route і вяртае яго праз модуль GETLOCALIP. Такая ж аперацыя атрымання назіраецца і ў гэтым варыянце, але няма модуля GETLOCALIP і спасылак не назіраецца.

Атрымаць лакальны IP

Варта адзначыць, што не існуе арыгінальнай версіі модуля SCANNER, які выкарыстоўваецца для падрыву SSH (порт 22) у гэтым тыпе выбаркі, і няма іншых варыянтаў, якія ўбудоўваюць некалькі "прыкладання/прылада" уразлівасці для распаўсюджвання праз Payload. Відаць, што зламыснік разбівае модуль распаўсюджвання на незалежныя праграмы, і пасля паспяховага ўваходу ў хост-ахвяру, ён загрузіць узор сувязі для наступнага этапу, выканаўшы шеллкод, гэта, ўзор аналізу.

Выканаць прыклад шеллкода

У якасці прыкладу бяруцца ўзоры, атрыманыя з той жа крыніцы, зламыснік пазбавіў адладкавую інфармацыю для большасці ўзораў, за выключэннем некалькіх, такія як: x86.