Насочване към интернет на нещата, нов вариант на „Gafgyt" Троянски се появява

Насочване към интернет на нещата, нов вариант на "Гафит" Троянски се появява

Насочване към интернет на нещата, нов вариант на "Гафит" Троянски се появява. Наскоро, Huorong Security Lab откри инцидент с проникване на вирус, за който беше потвърдено, че е нов вариант на троянския вирус Gafgyt след изследване и анализ.

Насочване към интернет на нещата, нов вариант на "Гафит" Троянски се появява

Наскоро, Huorong Security Lab откри инцидент с проникване на вирус, за който беше потвърдено, че е нов вариант на троянския вирус Gafgyt след изследване и анализ.

Gafgyt е IoT ботнет програма, базирана на IRC протокола, който заразява основно базирани на Linux IoT устройства за стартиране на разпределени атаки за отказ на услуга (DDoS). Това е най-голямото активно IoT ботнет семейство, различно от семейството Mirai.

След като изходният му код беше изтекъл и качен в GitHub през 2015, различни варианти и експлойти се появяват един след друг, представляващи по-голяма заплаха за сигурността на потребителите. В момента, Продуктите за сигурност Huorong могат да прихващат и убиват гореспоменатите вируси. От корпоративните потребители се изисква да актуализират базата данни с вируси навреме за защита.

1. Анализ на пробите
Вирусът първо преименува собствения си процес на "/usr/sbin/dropbear" или "sshd" да се скрие:

процес преименуване

Между тях, криптираният низ е намерен, и алгоритъмът за дешифриране е байт XOR на 0xDEDEFFBA. Когато се използва, само използваните се дешифрират индивидуално, но само 4 всъщност са посочени:

Криптиран низ и алгоритъм за дешифриране

Първата препратка е само за извеждане на съответния низ на екрана, и средните две препратки са операции върху процеса на наблюдение, за да се избегне загубата на контрол поради рестартиране на устройството:

декриптиране и цитиране

Останалите операции се извършват в цикъл, включително инициализиране на C2 връзката (94.156.161.21:671), изпращане на типа устройство на платформата, получаване на командата за връщане и изпълнение на съответната операция на модула. И в сравнение с изходния код, изтекъл от Gafgy, форматът и обработката на командата не са се променили много, и форматът на командата е все още "!*командване [Параметър]"

код на операция на цикъл

Във функцията processCmd, общо 14 на командите се отговаря и се стартират съответните DDOS атаки, включително: "HTTP", "CUDP разширение", "UDP", "STD", "АД", "TCP", "SYN" , "ACK", "Коледа", "Коледа", "CVSE", "ВСИЧКО", "ЦПУ", "НЕГРА"

команда екранна снимка - IoT сигурност

Между тях, CUDP, UDP, АД, и всички TCP модули могат да изпращат произволни низове до посочения IP и порт, и може да реконструира TCP и UDP пакети чрез самостоятелно изградени IP заглавки, за да скрие IP адреса на източника.

структура на съобщението

Предполага се, че префиксът C е съкращението на custom. Вземайки CUDP и UDP като примери, в оригиналната версия на Gafgyt, параметрите в издадената команда включват: ip, порт, време, подправени, размер на пакетите, pollinterval и други стойности на полето и флаг битове За конструиране на UDP пакети. В тази проба, въпреки това, наблюдаваните резултати показват, че прилагането на тези параметри е с различна степен на ограничение, което може да подобри гъвкавостта на специфични видове DDOS атаки.

Сравнение на CUDP и UDP

Функциите на други модули включват добавяне на голям брой низове на User-Agent, които се използват за стартиране на HTTP команди за CC атаки:

CC атака

Включено за атаки срещу сървърите на Source Engine на Valve: ("Изходен двигател" запитванията са част от ежедневната комуникация между клиентите и сървъри за игри използвайки софтуерния протокол на Valve)

Атаки срещу игралната индустрия

Включително CNC команди, които могат да превключват IP на връзката:

превключвател IP връзка

Включва SYN и ACK атаки:

SYN и ACK атаки

Включително UDP STD flood атаки:

STD атака

Включително XMAS атака: (това е, Атака на коледната елха, като зададете всички флаг битове на TCP на 1, като по този начин се консумират повече ресурси за обработка на отговора на целевата система)

Коледна атака

Модулът NIGGA е еквивалентен на командата KILLATTK в оригиналната версия, който спира DoSS атаките, като убива всички дъщерни процеси с изключение на главния процес

NIGGA модул

Сравнителен анализ
Функцията processCmd, която съхранява основната логика в изходния код, включва PING, ГЕТЛОКАЛИП, СКЕНЕР, ЕЛЕКТРОННА ПОЩА, БОКЛУЦИ, UDP, TCP, ДЪРЖИ, KILLATTK, и LOLNOGTFO модули. Само опростени версии на UDP и TCP модули съществуват съвместно във вариантния експлойт, заснет този път. .

И в операцията за получаване на локалния IP, оригиналната версия получава локалния IP чрез /proc/net/route и го връща чрез модула GETLOCALIP. Същата операция за получаване се наблюдава в този вариант, но няма модул GETLOCALIP и не се наблюдават препратки.

Вземете локален IP

Струва си да се отбележи, че няма оригинална версия на модула SCANNER, използван за взривяване на SSH (порт 22) в този тип проба, и няма други варианти, които вграждат множество "приложения/устройство" уязвимости за разпространение чрез Payload. Може да се види, че атакуващият разделя модула за разпространение на независими програми, и след успешно влизане в хоста жертва, той ще изтегли образеца за комуникация за следващия етап, като изпълни шелкода, това е, пробата за анализ.

Пример за изпълнение на шелкод

Като пример се вземат пробите, получени от същия източник, нападателят е премахнал информацията за отстраняване на грешки за повечето проби, с изключение на няколко, като: x86.