Ciljanje na Internet stvari, nova varijanta "Gafgyt" Pojavljuje se trojanac

Ciljanje na Internet stvari, nova varijanta "Gaffyt" Pojavljuje se trojanac

Ciljanje na Internet stvari, nova varijanta "Gaffyt" Pojavljuje se trojanac. Nedavno, Huorong Security Lab je otkrio incident sa upadom virusa, za koji je nakon istrage i analize potvrđeno da je nova varijanta trojanskog virusa Gafgyt.

Ciljanje na Internet stvari, nova varijanta "Gaffyt" Pojavljuje se trojanac

Nedavno, Huorong Security Lab je otkrio incident sa upadom virusa, za koji je nakon istrage i analize potvrđeno da je nova varijanta trojanskog virusa Gafgyt.

Gafgyt je IoT botnet program baziran na IRC protokolu, koji uglavnom inficira Linux bazirane IoT uređaji pokrenuti distribuirane napade uskraćivanja usluge (DDoS). To je najveća aktivna IoT botnet porodica osim Mirai porodice.

Nakon što je njegov izvorni kod procurio i postavljen na GitHub 2015, razne varijante i podvizi su se pojavljivale jedna za drugom, predstavlja veću sigurnosnu prijetnju korisnicima. Trenutno, Huorong sigurnosni proizvodi mogu presresti i ubiti gore navedene viruse. Od poslovnih korisnika se traži da ažuriraju bazu virusa na vrijeme za odbranu.

1. Analiza uzorka
Virus prvo preimenuje svoj proces u "/usr/sbin/dropbear" ili "sshd" da se sakrije:

preimenovati proces

Među njima, šifrirani niz je pronađen, a algoritam za dešifriranje je bajt XOR od 0xDEDEFFBA. Kada se koristi, samo one korištene se dešifriraju pojedinačno, ali samo 4 su zapravo referencirani:

Šifrirani niz i algoritam za dešifriranje

Prva referenca je samo za izlaz odgovarajućeg niza na ekran, a srednje dvije reference su operacije nadzornog procesa kako bi se izbjeglo gubljenje kontrole zbog ponovnog pokretanja uređaja:

dešifrujte i citirajte

Preostale operacije se izvode u petlji, uključujući inicijalizaciju C2 veze (94.156.161.21:671), slanje tipa uređaja platforme, primanje naredbe return i izvršavanje odgovarajuće operacije modula. I u poređenju sa izvornim kodom koji je procurio Gafgy, format i obrada naredbe nisu se mnogo promijenili, a format naredbe je i dalje "!*Zapovjedi [Parametar]"

kod operacije petlje

U funkciji processCmd, ukupno 14 na komande se reaguje i pokreću se odgovarajući DDOS napadi, uključujući: "HTTP", "CUDP ekstenzija", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "SVE", "CNC", "NIGGA"

snimka ekrana komande - IoT sigurnost

Među njima, the CUDP, UDP, JSC, i TCP moduli mogu slati nasumične nizove na specificirani IP i port, i može rekonstruisati TCP i UDP pakete pomoću samoizgrađenih IP zaglavlja kako bi sakrio izvornu IP adresu.

struktura poruke

Pretpostavlja se da je prefiks C skraćenica od običaja. Uzimajući CUDP i UDP kao primjere, u originalnoj verziji Gafgyta, parametri u izdanoj naredbi uključuju: ip, luka, vrijeme, lažno, veličina paketa, pollinterval i druge vrijednosti polja i bitovi zastavice Za konstrukciju UDP paketa. U ovom uzorku, kako god, uočeni rezultati pokazuju da se radi o primjeni ovih parametara na različite stupnjeve ograničenja, što može poboljšati fleksibilnost specifičnih vrsta DDOS napada.

Poređenje CUDP-a i UDP-a

Funkcije drugih modula uključuju dodavanje velikog broja stringova User-Agent, koji se koriste za pokretanje HTTP komandi za CC napade:

CC napad

Uključeno za napade na Valveove Source Engine servere: ("Source Engine" upiti su dio svakodnevne komunikacije između klijenata i serveri za igre koristeći softverski protokol Valve)

Napadi na industriju igara

Uključujući CNC komande koje mogu promijeniti IP veze:

preklopna veza IP

Uključuje SYN i ACK napade:

SYN i ACK napadi

Uključujući UDP STD flood napade:

Napad spolno prenosivih bolesti

Uključujući XMAS napad: (to je, Napad na božićno drvce, postavljanjem svih bitova zastavice TCP-a na 1, čime se troši više resursa za obradu odgovora ciljnog sistema)

XMAS napad

NIGGA modul je ekvivalentan naredbi KILLATTK u originalnoj verziji, koji zaustavlja DoSS napade tako što ubija sve podređene procese osim glavnog procesa

NIGGA modul

Komparativna analiza
Funkcija processCmd koja pohranjuje glavnu logiku u izvornom kodu uključuje PING, GELTOCALIP, SKENER, EMAIL, SMEĆE, UDP, TCP, HOLD, KILLATTK, i LOLNOGTFO moduli. Samo pojednostavljene verzije UDP i TCP modula koegzistiraju u varijanti exploit-a snimljenoj ovog puta. .

I u operaciji dobivanja lokalnog IP-a, originalna verzija dobija lokalni IP preko /proc/net/route i vraća ga kroz GETLOCALIP modul. Ista operacija dobivanja je uočena u ovoj varijanti, ali nema GETLOCALIP modula niti se uočavaju reference.

Nabavite lokalni IP

Vrijedi napomenuti da ne postoji originalna verzija SCANNER modula koji se koristi za razbijanje SSH-a (luka 22) u ovoj vrsti uzorka, i ne postoje druge varijante koje ugrađuju višestruke "aplikacije/uređaj" ranjivosti za širenje kroz Payload. Može se vidjeti da napadač dijeli modul propagacije u nezavisne programe, i nakon uspješnog prijavljivanja na host žrtve, on će preuzeti uzorak komunikacije za sljedeću fazu izvršavanjem shellcode-a, to je, uzorak za analizu.

Izvrši primjer shellcode-a

Uzimajući uzorke dobijene iz istog izvora kao primjer, napadač je uklonio informacije o otklanjanju grešaka za većinu uzoraka, osim nekoliko, kao što su: x86.