ইমেইল: anwenqq2690502116@gmail.com

টিন্ডার সনাক্তকরণ এবং হত্যা

ইন্টারনেট অফ থিংসের দিকে লক্ষ্য রাখা, একটি নতুন বৈকল্পিক "গ্যাফিট" ট্রোজান উপস্থিত হয়

ইন্টারনেট অফ থিংসের দিকে লক্ষ্য রাখা, একটি নতুন বৈকল্পিক "গ্যাফিট" ট্রোজান উপস্থিত হয়. সম্প্রতি, হুওরং সিকিউরিটি ল্যাব একটি ভাইরাস অনুপ্রবেশের ঘটনা আবিষ্কার করেছে, যা তদন্ত ও বিশ্লেষণের পর গ্যাফগিট ট্রোজান ভাইরাসের একটি নতুন রূপ বলে নিশ্চিত করা হয়েছে.

ইন্টারনেট অফ থিংসের দিকে লক্ষ্য রাখা, একটি নতুন বৈকল্পিক "গ্যাফিট" ট্রোজান উপস্থিত হয়

সম্প্রতি, হুওরং সিকিউরিটি ল্যাব একটি ভাইরাস অনুপ্রবেশের ঘটনা আবিষ্কার করেছে, যা তদন্ত ও বিশ্লেষণের পর গ্যাফগিট ট্রোজান ভাইরাসের একটি নতুন রূপ বলে নিশ্চিত করা হয়েছে.

Gafgyt হল IRC প্রোটোকলের উপর ভিত্তি করে একটি IoT বটনেট প্রোগ্রাম, যা প্রধানত লিনাক্স-ভিত্তিক সংক্রামিত করে আইওটি ডিভাইস সেবা আক্রমণের বিতরণ অস্বীকার চালু করতে (DDoS). এটি মিরাই পরিবার ব্যতীত বৃহত্তম সক্রিয় IoT বটনেট পরিবার.

এর সোর্স কোড ফাঁস হওয়ার পরে এবং GitHub-এ আপলোড করা হয়েছিল 2015, একের পর এক বিভিন্ন রূপ ও শোষণের আবির্ভাব ঘটে, ব্যবহারকারীদের জন্য একটি বৃহত্তর নিরাপত্তা হুমকি জাহির. বর্তমানে, হুওরং সুরক্ষা পণ্যগুলি উপরে উল্লিখিত ভাইরাসগুলিকে আটকাতে এবং মেরে ফেলতে পারে. এন্টারপ্রাইজ ব্যবহারকারীদের প্রতিরক্ষার জন্য সময়মতো ভাইরাস ডাটাবেস আপডেট করার জন্য অনুরোধ করা হচ্ছে.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. নমুনা বিশ্লেষণ
ভাইরাস প্রথমে তার নিজস্ব প্রক্রিয়ার নাম পরিবর্তন করে "/usr/sbin/dropbear" বা "sshd" নিজেকে আড়াল করতে:

process rename
প্রক্রিয়া পুনঃনামকরণ

তাদের মধ্যে, এনক্রিপ্ট করা স্ট্রিং পাওয়া যায়, এবং ডিক্রিপশন অ্যালগরিদম হল 0xDEDEFFBA এর বাইট XOR. যখন ব্যবহার করা হয়, শুধুমাত্র ব্যবহৃত বেশী পৃথকভাবে ডিক্রিপ্ট করা হয়, কিন্তু শুধুমাত্র 4 আসলে উল্লেখ করা হয়:

Encrypted string and decryption algorithm
এনক্রিপ্ট করা স্ট্রিং এবং ডিক্রিপশন অ্যালগরিদম

 

প্রথম রেফারেন্সটি শুধুমাত্র পর্দায় সংশ্লিষ্ট স্ট্রিং আউটপুট করার জন্য, এবং মাঝখানের দুটি রেফারেন্স হল ওয়াচডগ প্রক্রিয়ার অপারেশন যাতে ডিভাইস রিস্টার্টের কারণে নিয়ন্ত্রণ হারানো না হয়:

decrypt and quote

ডিক্রিপ্ট এবং উদ্ধৃতি

 

অবশিষ্ট অপারেশন একটি লুপ বাহিত হয়, C2 সংযোগ শুরু করা সহ (94.156.161.21:671), প্ল্যাটফর্ম ডিভাইসের ধরন পাঠানো হচ্ছে, রিটার্ন কমান্ড গ্রহণ করা এবং সংশ্লিষ্ট মডিউল অপারেশন চালানো. এবং Gafgy দ্বারা ফাঁস সোর্স কোড সঙ্গে তুলনা, কমান্ডের বিন্যাস এবং প্রক্রিয়াকরণ খুব বেশি পরিবর্তন হয়নি, এবং কমান্ডের বিন্যাস এখনও আছে "!*আদেশ [প্যারামিটার]"

loop operation code

লুপ অপারেশন কোড

 

প্রক্রিয়া সিএমডি ফাংশনে, মোট 14 কমান্ড সাড়া দেওয়া হয় এবং সংশ্লিষ্ট DDOS আক্রমণ চালু করা হয়, সহ: "HTTP", "CUDP এক্সটেনশন", "ইউডিপি", "STD", "জেএসসি", "টিসিপি", "SYN" , "ACK", "CXMAS", "XMAS", "সিভিএসই", "সবকিছু", "সিএনসি", "NIGGA"

command screenshot - IoT security
কমান্ড স্ক্রিনশট - আইওটি নিরাপত্তা

 

তাদের মধ্যে, CUDP, ইউডিপি, জেএসসি, এবং TCP মডিউল সবগুলো নির্দিষ্ট আইপি এবং পোর্টে এলোমেলো স্ট্রিং পাঠাতে পারে, এবং উৎস আইপি ঠিকানা লুকানোর জন্য স্ব-নির্মিত আইপি হেডার দ্বারা TCP এবং UDP প্যাকেট পুনর্গঠন করতে পারে.

 

message structure
বার্তা গঠন

 

উপসর্গ C কে কাস্টম এর সংক্ষিপ্ত রূপ বলে অনুমান করা হয়. উদাহরণ হিসাবে CUDP এবং UDP গ্রহণ করা, Gafgyt এর মূল সংস্করণে, জারি করা কমান্ডের পরামিতি অন্তর্ভুক্ত: আইপি, বন্দর, সময়, প্রতারণা করা, প্যাকেট আকার, pollinterval এবং অন্যান্য ক্ষেত্রের মান এবং পতাকা বিট UDP প্যাকেট নির্মাণের জন্য. এই নমুনায়, যাহোক, পর্যবেক্ষিত ফলাফলগুলি দেখায় যে এটি এই পরামিতিগুলির প্রয়োগ বিভিন্ন ডিগ্রী সীমাবদ্ধতার জন্য, যা নির্দিষ্ট ধরনের DDOS আক্রমণের নমনীয়তা বাড়াতে পারে.

CUDP এবং UDP এর তুলনা

অন্যান্য মডিউলের ফাংশনগুলির মধ্যে বিপুল সংখ্যক ব্যবহারকারী-এজেন্ট স্ট্রিং যোগ করা অন্তর্ভুক্ত, যা সিসি আক্রমণের জন্য HTTP কমান্ড চালু করতে ব্যবহৃত হয়:

সিসি হামলা

ভালভের সোর্স ইঞ্জিন সার্ভারের বিরুদ্ধে আক্রমণের জন্য অন্তর্ভুক্ত: ("উৎস ইঞ্জিন" প্রশ্ন হল ক্লায়েন্ট এবং মধ্যে দৈনন্দিন যোগাযোগের অংশ গেম সার্ভার ভালভ সফ্টওয়্যার প্রোটোকল ব্যবহার করে)

গেমিং শিল্পের বিরুদ্ধে আক্রমণ

CNC কমান্ড সহ যা সংযোগ আইপি পরিবর্তন করতে পারে:

সংযোগ আইপি স্যুইচ করুন

SYN এবং ACK আক্রমণ অন্তর্ভুক্ত:

SYN এবং ACK আক্রমণ

UDP STD বন্যা আক্রমণ সহ:

STD আক্রমণ

XMAS আক্রমণ সহ: (এটাই, ক্রিসমাস ট্রি আক্রমণ, TCP এর সমস্ত পতাকা বিট সেট করে 1, এইভাবে লক্ষ্য সিস্টেমের আরও প্রতিক্রিয়া প্রক্রিয়াকরণ সংস্থান গ্রাস করে)

XMAS আক্রমণ

NIGGA মডিউলটি মূল সংস্করণে KILLATTK কমান্ডের সমতুল্য, যা মূল প্রক্রিয়া ব্যতীত সমস্ত শিশু প্রক্রিয়াকে হত্যা করে DoSS আক্রমণ বন্ধ করে

NIGGA মডিউল

তুলনামূলক বিশ্লেষণ
যে ফাংশন প্রসেস সিএমডি সোর্স কোডে মূল লজিক সঞ্চয় করে তার মধ্যে রয়েছে PING, গেটলোক্যালিপ, স্ক্যানার, ইমেইল, জঙ্ক, ইউডিপি, টিসিপি, রাখা, KILLATTK, এবং LOLNOGTFO মডিউল. এই সময় ক্যাপচার করা ভেরিয়েন্ট এক্সপ্লয়েটে শুধুমাত্র UDP এবং TCP মডিউলগুলির সরলীকৃত সংস্করণগুলি সহাবস্থান করে. .

এবং স্থানীয় আইপি পাওয়ার অপারেশনে, আসল সংস্করণ /proc/net/route এর মাধ্যমে স্থানীয় আইপি পায় এবং GETLOCALIP মডিউলের মাধ্যমে ফেরত দেয়. এই ভেরিয়েন্টে একই গেট অপারেশন পরিলক্ষিত হয়, কিন্তু কোন GETLOCALIP মডিউল নেই এবং কোন রেফারেন্স পরিলক্ষিত হয় না.

স্থানীয় আইপি পান

এটা লক্ষণীয় যে SSH বিস্ফোরণে ব্যবহৃত SCANNER মডিউলের কোনো আসল সংস্করণ নেই (বন্দর 22) এই ধরনের নমুনায়, এবং মাল্টিপল এম্বেড করে এমন অন্য কোন ভেরিয়েন্ট নেই "অ্যাপ্লিকেশন/ডিভাইস" পেলোডের মাধ্যমে ছড়িয়ে পড়ার দুর্বলতা. এটি দেখা যায় যে আক্রমণকারী প্রচার মডিউলটিকে স্বাধীন প্রোগ্রামগুলিতে বিভক্ত করে, এবং সফলভাবে ভিকটিম হোস্টে লগ ইন করার পর, তিনি শেলকোড কার্যকর করার মাধ্যমে পরবর্তী পর্যায়ে যোগাযোগের নমুনা ডাউনলোড করবেন, এটাই, বিশ্লেষণ নমুনা.

শেলকোড উদাহরণ চালান

একটি উদাহরণ হিসাবে একই উত্স থেকে প্রাপ্ত নমুনা গ্রহণ, আক্রমণকারী বেশিরভাগ নমুনার জন্য ডিবাগিং তথ্য ছিনিয়ে নিয়েছে, কিছু বাদে, যেমন: x86.

আপনার ভালবাসা শেয়ার করুন

সম্পর্কিত পোস্ট

উত্তর দিন

আপনার ইমেইল ঠিকানা প্রচার করা হবে না. প্রয়োজনীয় ক্ষেত্রগুলি চিহ্নিত করা আছে *