E-pošta: anwenqq2690502116@gmail.com
Ciljanje na Internet stvari, nova varijanta "Gaffyt" Pojavljuje se trojanac
Nedavno, Huorong Security Lab je otkrio incident sa upadom virusa, za koji je nakon istrage i analize potvrđeno da je nova varijanta trojanskog virusa Gafgyt.
Gafgyt je IoT botnet program baziran na IRC protokolu, koji uglavnom inficira Linux bazirane IoT uređaji pokrenuti distribuirane napade uskraćivanja usluge (DDoS). To je najveća aktivna IoT botnet porodica osim Mirai porodice.
Nakon što je njegov izvorni kod procurio i postavljen na GitHub 2015, razne varijante i podvizi su se pojavljivale jedna za drugom, predstavlja veću sigurnosnu prijetnju korisnicima. Trenutno, Huorong sigurnosni proizvodi mogu presresti i ubiti gore navedene viruse. Od poslovnih korisnika se traži da ažuriraju bazu virusa na vrijeme za odbranu.
1. Analiza uzorka
Virus prvo preimenuje svoj proces u "/usr/sbin/dropbear" ili "sshd" da se sakrije:
preimenovati proces
Među njima, šifrirani niz je pronađen, a algoritam za dešifriranje je bajt XOR od 0xDEDEFFBA. Kada se koristi, samo one korištene se dešifriraju pojedinačno, ali samo 4 su zapravo referencirani:
Šifrirani niz i algoritam za dešifriranje
Prva referenca je samo za izlaz odgovarajućeg niza na ekran, a srednje dvije reference su operacije nadzornog procesa kako bi se izbjeglo gubljenje kontrole zbog ponovnog pokretanja uređaja:
dešifrujte i citirajte
Preostale operacije se izvode u petlji, uključujući inicijalizaciju C2 veze (94.156.161.21:671), slanje tipa uređaja platforme, primanje naredbe return i izvršavanje odgovarajuće operacije modula. I u poređenju sa izvornim kodom koji je procurio Gafgy, format i obrada naredbe nisu se mnogo promijenili, a format naredbe je i dalje "!*Zapovjedi [Parametar]"
kod operacije petlje
U funkciji processCmd, ukupno 14 na komande se reaguje i pokreću se odgovarajući DDOS napadi, uključujući: "HTTP", "CUDP ekstenzija", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "SVE", "CNC", "NIGGA"
snimka ekrana komande - IoT sigurnost
Među njima, the CUDP, UDP, JSC, i TCP moduli mogu slati nasumične nizove na specificirani IP i port, i može rekonstruisati TCP i UDP pakete pomoću samoizgrađenih IP zaglavlja kako bi sakrio izvornu IP adresu.
struktura poruke
Pretpostavlja se da je prefiks C skraćenica od običaja. Uzimajući CUDP i UDP kao primjere, u originalnoj verziji Gafgyta, parametri u izdanoj naredbi uključuju: ip, luka, vrijeme, lažno, veličina paketa, pollinterval i druge vrijednosti polja i bitovi zastavice Za konstrukciju UDP paketa. U ovom uzorku, kako god, uočeni rezultati pokazuju da se radi o primjeni ovih parametara na različite stupnjeve ograničenja, što može poboljšati fleksibilnost specifičnih vrsta DDOS napada.
Poređenje CUDP-a i UDP-a
Funkcije drugih modula uključuju dodavanje velikog broja stringova User-Agent, koji se koriste za pokretanje HTTP komandi za CC napade:
CC napad
Uključeno za napade na Valveove Source Engine servere: ("Source Engine" upiti su dio svakodnevne komunikacije između klijenata i serveri za igre koristeći softverski protokol Valve)
Napadi na industriju igara
Uključujući CNC komande koje mogu promijeniti IP veze:
preklopna veza IP
Uključuje SYN i ACK napade:
SYN i ACK napadi
Uključujući UDP STD flood napade:
Napad spolno prenosivih bolesti
Uključujući XMAS napad: (to je, Napad na božićno drvce, postavljanjem svih bitova zastavice TCP-a na 1, čime se troši više resursa za obradu odgovora ciljnog sistema)
XMAS napad
NIGGA modul je ekvivalentan naredbi KILLATTK u originalnoj verziji, koji zaustavlja DoSS napade tako što ubija sve podređene procese osim glavnog procesa
NIGGA modul
Komparativna analiza
Funkcija processCmd koja pohranjuje glavnu logiku u izvornom kodu uključuje PING, GELTOCALIP, SKENER, EMAIL, SMEĆE, UDP, TCP, HOLD, KILLATTK, i LOLNOGTFO moduli. Samo pojednostavljene verzije UDP i TCP modula koegzistiraju u varijanti exploit-a snimljenoj ovog puta. .
I u operaciji dobivanja lokalnog IP-a, originalna verzija dobija lokalni IP preko /proc/net/route i vraća ga kroz GETLOCALIP modul. Ista operacija dobivanja je uočena u ovoj varijanti, ali nema GETLOCALIP modula niti se uočavaju reference.
Nabavite lokalni IP
Vrijedi napomenuti da ne postoji originalna verzija SCANNER modula koji se koristi za razbijanje SSH-a (luka 22) u ovoj vrsti uzorka, i ne postoje druge varijante koje ugrađuju višestruke "aplikacije/uređaj" ranjivosti za širenje kroz Payload. Može se vidjeti da napadač dijeli modul propagacije u nezavisne programe, i nakon uspješnog prijavljivanja na host žrtve, on će preuzeti uzorak komunikacije za sljedeću fazu izvršavanjem shellcode-a, to je, uzorak za analizu.
Izvrši primjer shellcode-a
Uzimajući uzorke dobijene iz istog izvora kao primjer, napadač je uklonio informacije o otklanjanju grešaka za većinu uzoraka, osim nekoliko, kao što su: x86.