ইমেইল: anwenqq2690502116@gmail.com
ইন্টারনেট অফ থিংসের দিকে লক্ষ্য রাখা, একটি নতুন বৈকল্পিক "গ্যাফিট" ট্রোজান উপস্থিত হয়
সম্প্রতি, হুওরং সিকিউরিটি ল্যাব একটি ভাইরাস অনুপ্রবেশের ঘটনা আবিষ্কার করেছে, যা তদন্ত ও বিশ্লেষণের পর গ্যাফগিট ট্রোজান ভাইরাসের একটি নতুন রূপ বলে নিশ্চিত করা হয়েছে.
Gafgyt হল IRC প্রোটোকলের উপর ভিত্তি করে একটি IoT বটনেট প্রোগ্রাম, যা প্রধানত লিনাক্স-ভিত্তিক সংক্রামিত করে আইওটি ডিভাইস সেবা আক্রমণের বিতরণ অস্বীকার চালু করতে (DDoS). এটি মিরাই পরিবার ব্যতীত বৃহত্তম সক্রিয় IoT বটনেট পরিবার.
এর সোর্স কোড ফাঁস হওয়ার পরে এবং GitHub-এ আপলোড করা হয়েছিল 2015, একের পর এক বিভিন্ন রূপ ও শোষণের আবির্ভাব ঘটে, ব্যবহারকারীদের জন্য একটি বৃহত্তর নিরাপত্তা হুমকি জাহির. বর্তমানে, হুওরং সুরক্ষা পণ্যগুলি উপরে উল্লিখিত ভাইরাসগুলিকে আটকাতে এবং মেরে ফেলতে পারে. এন্টারপ্রাইজ ব্যবহারকারীদের প্রতিরক্ষার জন্য সময়মতো ভাইরাস ডাটাবেস আপডেট করার জন্য অনুরোধ করা হচ্ছে.
1. নমুনা বিশ্লেষণ
ভাইরাস প্রথমে তার নিজস্ব প্রক্রিয়ার নাম পরিবর্তন করে "/usr/sbin/dropbear" বা "sshd" নিজেকে আড়াল করতে:
প্রক্রিয়া পুনঃনামকরণ
তাদের মধ্যে, এনক্রিপ্ট করা স্ট্রিং পাওয়া যায়, এবং ডিক্রিপশন অ্যালগরিদম হল 0xDEDEFFBA এর বাইট XOR. যখন ব্যবহার করা হয়, শুধুমাত্র ব্যবহৃত বেশী পৃথকভাবে ডিক্রিপ্ট করা হয়, কিন্তু শুধুমাত্র 4 আসলে উল্লেখ করা হয়:
এনক্রিপ্ট করা স্ট্রিং এবং ডিক্রিপশন অ্যালগরিদম
প্রথম রেফারেন্সটি শুধুমাত্র পর্দায় সংশ্লিষ্ট স্ট্রিং আউটপুট করার জন্য, এবং মাঝখানের দুটি রেফারেন্স হল ওয়াচডগ প্রক্রিয়ার অপারেশন যাতে ডিভাইস রিস্টার্টের কারণে নিয়ন্ত্রণ হারানো না হয়:
ডিক্রিপ্ট এবং উদ্ধৃতি
অবশিষ্ট অপারেশন একটি লুপ বাহিত হয়, C2 সংযোগ শুরু করা সহ (94.156.161.21:671), প্ল্যাটফর্ম ডিভাইসের ধরন পাঠানো হচ্ছে, রিটার্ন কমান্ড গ্রহণ করা এবং সংশ্লিষ্ট মডিউল অপারেশন চালানো. এবং Gafgy দ্বারা ফাঁস সোর্স কোড সঙ্গে তুলনা, কমান্ডের বিন্যাস এবং প্রক্রিয়াকরণ খুব বেশি পরিবর্তন হয়নি, এবং কমান্ডের বিন্যাস এখনও আছে "!*আদেশ [প্যারামিটার]"
লুপ অপারেশন কোড
প্রক্রিয়া সিএমডি ফাংশনে, মোট 14 কমান্ড সাড়া দেওয়া হয় এবং সংশ্লিষ্ট DDOS আক্রমণ চালু করা হয়, সহ: "HTTP", "CUDP এক্সটেনশন", "ইউডিপি", "STD", "জেএসসি", "টিসিপি", "SYN" , "ACK", "CXMAS", "XMAS", "সিভিএসই", "সবকিছু", "সিএনসি", "NIGGA"
কমান্ড স্ক্রিনশট - আইওটি নিরাপত্তা
তাদের মধ্যে, CUDP, ইউডিপি, জেএসসি, এবং TCP মডিউল সবগুলো নির্দিষ্ট আইপি এবং পোর্টে এলোমেলো স্ট্রিং পাঠাতে পারে, এবং উৎস আইপি ঠিকানা লুকানোর জন্য স্ব-নির্মিত আইপি হেডার দ্বারা TCP এবং UDP প্যাকেট পুনর্গঠন করতে পারে.
বার্তা গঠন
উপসর্গ C কে কাস্টম এর সংক্ষিপ্ত রূপ বলে অনুমান করা হয়. উদাহরণ হিসাবে CUDP এবং UDP গ্রহণ করা, Gafgyt এর মূল সংস্করণে, জারি করা কমান্ডের পরামিতি অন্তর্ভুক্ত: আইপি, বন্দর, সময়, প্রতারণা করা, প্যাকেট আকার, pollinterval এবং অন্যান্য ক্ষেত্রের মান এবং পতাকা বিট UDP প্যাকেট নির্মাণের জন্য. এই নমুনায়, যাহোক, পর্যবেক্ষিত ফলাফলগুলি দেখায় যে এটি এই পরামিতিগুলির প্রয়োগ বিভিন্ন ডিগ্রী সীমাবদ্ধতার জন্য, যা নির্দিষ্ট ধরনের DDOS আক্রমণের নমনীয়তা বাড়াতে পারে.
CUDP এবং UDP এর তুলনা
অন্যান্য মডিউলের ফাংশনগুলির মধ্যে বিপুল সংখ্যক ব্যবহারকারী-এজেন্ট স্ট্রিং যোগ করা অন্তর্ভুক্ত, যা সিসি আক্রমণের জন্য HTTP কমান্ড চালু করতে ব্যবহৃত হয়:
সিসি হামলা
ভালভের সোর্স ইঞ্জিন সার্ভারের বিরুদ্ধে আক্রমণের জন্য অন্তর্ভুক্ত: ("উৎস ইঞ্জিন" প্রশ্ন হল ক্লায়েন্ট এবং মধ্যে দৈনন্দিন যোগাযোগের অংশ গেম সার্ভার ভালভ সফ্টওয়্যার প্রোটোকল ব্যবহার করে)
গেমিং শিল্পের বিরুদ্ধে আক্রমণ
CNC কমান্ড সহ যা সংযোগ আইপি পরিবর্তন করতে পারে:
সংযোগ আইপি স্যুইচ করুন
SYN এবং ACK আক্রমণ অন্তর্ভুক্ত:
SYN এবং ACK আক্রমণ
UDP STD বন্যা আক্রমণ সহ:
STD আক্রমণ
XMAS আক্রমণ সহ: (এটাই, ক্রিসমাস ট্রি আক্রমণ, TCP এর সমস্ত পতাকা বিট সেট করে 1, এইভাবে লক্ষ্য সিস্টেমের আরও প্রতিক্রিয়া প্রক্রিয়াকরণ সংস্থান গ্রাস করে)
XMAS আক্রমণ
NIGGA মডিউলটি মূল সংস্করণে KILLATTK কমান্ডের সমতুল্য, যা মূল প্রক্রিয়া ব্যতীত সমস্ত শিশু প্রক্রিয়াকে হত্যা করে DoSS আক্রমণ বন্ধ করে
NIGGA মডিউল
তুলনামূলক বিশ্লেষণ
যে ফাংশন প্রসেস সিএমডি সোর্স কোডে মূল লজিক সঞ্চয় করে তার মধ্যে রয়েছে PING, গেটলোক্যালিপ, স্ক্যানার, ইমেইল, জঙ্ক, ইউডিপি, টিসিপি, রাখা, KILLATTK, এবং LOLNOGTFO মডিউল. এই সময় ক্যাপচার করা ভেরিয়েন্ট এক্সপ্লয়েটে শুধুমাত্র UDP এবং TCP মডিউলগুলির সরলীকৃত সংস্করণগুলি সহাবস্থান করে. .
এবং স্থানীয় আইপি পাওয়ার অপারেশনে, আসল সংস্করণ /proc/net/route এর মাধ্যমে স্থানীয় আইপি পায় এবং GETLOCALIP মডিউলের মাধ্যমে ফেরত দেয়. এই ভেরিয়েন্টে একই গেট অপারেশন পরিলক্ষিত হয়, কিন্তু কোন GETLOCALIP মডিউল নেই এবং কোন রেফারেন্স পরিলক্ষিত হয় না.
স্থানীয় আইপি পান
এটা লক্ষণীয় যে SSH বিস্ফোরণে ব্যবহৃত SCANNER মডিউলের কোনো আসল সংস্করণ নেই (বন্দর 22) এই ধরনের নমুনায়, এবং মাল্টিপল এম্বেড করে এমন অন্য কোন ভেরিয়েন্ট নেই "অ্যাপ্লিকেশন/ডিভাইস" পেলোডের মাধ্যমে ছড়িয়ে পড়ার দুর্বলতা. এটি দেখা যায় যে আক্রমণকারী প্রচার মডিউলটিকে স্বাধীন প্রোগ্রামগুলিতে বিভক্ত করে, এবং সফলভাবে ভিকটিম হোস্টে লগ ইন করার পর, তিনি শেলকোড কার্যকর করার মাধ্যমে পরবর্তী পর্যায়ে যোগাযোগের নমুনা ডাউনলোড করবেন, এটাই, বিশ্লেষণ নমুনা.
শেলকোড উদাহরণ চালান
একটি উদাহরণ হিসাবে একই উত্স থেকে প্রাপ্ত নমুনা গ্রহণ, আক্রমণকারী বেশিরভাগ নমুনার জন্য ডিবাগিং তথ্য ছিনিয়ে নিয়েছে, কিছু বাদে, যেমন: x86.