Apuntant a l'Internet de les coses, una nova variant del "Gafgyt" Apareix troià

Apuntant a l'Internet de les coses, una nova variant del "Gaffyt" Apareix troià

Apuntant a l'Internet de les coses, una nova variant del "Gaffyt" Apareix troià. Recentment, Huorong Security Lab va descobrir un incident d'intrusió de virus, que es va confirmar que era una nova variant del virus troià Gafgyt després d'una investigació i anàlisi.

Apuntant a l'Internet de les coses, una nova variant del "Gaffyt" Apareix troià

Recentment, Huorong Security Lab va descobrir un incident d'intrusió de virus, que es va confirmar que era una nova variant del virus troià Gafgyt després d'una investigació i anàlisi.

Gafgyt és un programa de botnet IoT basat en el protocol IRC, que infecta principalment basat en Linux Dispositius IoT per llançar atacs de denegació de servei distribuïts (DDoS). És la família de botnets IoT activa més gran que no sigui la família Mirai.

Després que el seu codi font es va filtrar i es va penjar a GitHub 2015, diverses variants i gestes van sorgir una darrere l'altra, suposa una major amenaça per a la seguretat dels usuaris. Al present, Els productes de seguretat Huorong poden interceptar i matar els virus esmentats anteriorment. Es demana als usuaris empresarials que actualitzin la base de dades de virus a temps per a la defensa.

1. Anàlisi de mostres
El virus primer canvia el nom del seu propi procés a "/usr/sbin/dropbear" o "sshd" per amagar-se:

canvi de nom del procés

Entre ells, es troba la cadena xifrada, i l'algoritme de desxifrat és el byte XOR de 0xDEDEFFBA. Quan s'utilitza, només els utilitzats es desxifra individualment, però només 4 realment es fan referència:

Cadena xifrada i algorisme de desxifrat

La primera referència només és la sortida de la cadena corresponent a la pantalla, i les dues referències centrals són operacions sobre el procés de control per evitar perdre el control a causa del reinici del dispositiu:

desxifrar i citar

La resta d'operacions es realitzen en bucle, inclosa la inicialització de la connexió C2 (94.156.161.21:671), enviant el tipus de dispositiu de la plataforma, rebent l'ordre de retorn i executant l'operació del mòdul corresponent. I en comparació amb el codi font filtrat per Gafgy, el format i el processament de l'ordre no han canviat gaire, i el format de l'ordre és encara "!*Comandament [Paràmetre]"

codi d'operació en bucle

A la funció processCmd, un total de 14 es responen a les ordres i es llancen els atacs DDOS corresponents, inclòs: "HTTP", "Extensió CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "NADAL", "CVSE", "TOT", "CNC", "NIGGA"

captura de pantalla de comandament - Seguretat IoT

Entre ells, el CUDP, UDP, JSC, i els mòduls TCP poden enviar cadenes aleatòries a la IP i el port especificats, i pot reconstruir paquets TCP i UDP mitjançant capçaleres IP autoconstruïdes per ocultar l'adreça IP d'origen.

estructura del missatge

S'endevina que el prefix C és l'abreviatura de costum. Prenent com a exemple CUDP i UDP, en la versió original de Gafgyt, els paràmetres de l'ordre emesa inclouen: ip, port, temps, falsificat, mida del paquet, pollinterval i altres valors de camp i bits de bandera Per a la construcció de paquets UDP. En aquesta mostra, malgrat això, els resultats observats mostren que es tracta de l'aplicació d'aquests paràmetres a diferents graus de restricció, que pot millorar la flexibilitat de tipus específics d'atacs DDOS.

Comparació de CUDP i UDP

Les funcions d'altres mòduls inclouen afegir un gran nombre de cadenes d'agent d'usuari, que s'utilitzen per llançar ordres HTTP per als atacs CC:

atac CC

Inclòs per als atacs contra els servidors de Source Engine de Valve: ("Motor font" les consultes formen part de la comunicació diària entre clients i servidors de jocs utilitzant el protocol de programari Valve)

Atacs contra la indústria del joc

Inclou ordres CNC que poden canviar la IP de connexió:

commuta la IP de connexió

Inclou atacs SYN i ACK:

Atacs SYN i ACK

Inclosos atacs d'inundació UDP STD:

Atac d'ETS

Inclòs l'atac de XMAS: (això és, Atac a l'arbre de Nadal, establint tots els bits de bandera de TCP a 1, consumint així més recursos de processament de respostes del sistema objectiu)

Atac de Nadal

El mòdul NIGGA és equivalent a l'ordre KILLATTK a la versió original, que atura els atacs DoSS matant tots els processos secundaris excepte el procés principal

Mòdul NIGGA

Anàlisi comparativa
La funció processCmd que emmagatzema la lògica principal al codi font inclou PING, GETLOCALIP, ESCÀNER, CORREU ELECTRÒNIC, RUTA, UDP, TCP, MANTENIM, KILLATTK, i mòduls LOLNOGTFO. Només les versions simplificades dels mòduls UDP i TCP coexisteixen en l'explotació variant capturada aquesta vegada. .

I en l'operació d'obtenció de la IP local, la versió original obté la IP local a través de /proc/net/route i la retorna mitjançant el mòdul GETLOCALIP. La mateixa operació d'obtenció s'observa en aquesta variant, però no hi ha cap mòdul GETLOCALIP i no s'observen referències.

Obteniu IP local

Val la pena assenyalar que no hi ha cap versió original del mòdul SCANNER utilitzat per explotar SSH (port 22) en aquest tipus de mostres, i no hi ha altres variants que incrusten múltiples "aplicacions/dispositiu" vulnerabilitats per propagar-se mitjançant Payload. Es pot veure que l'atacant divideix el mòdul de propagació en programes independents, i després d'iniciar sessió correctament a l'amfitrió de la víctima, descarregarà la mostra de comunicació per a la següent etapa executant el codi shell, això és, la mostra d'anàlisi.

Exemple d'execució de codi shell

Prenent com a exemple les mostres obtingudes de la mateixa font, l'atacant va eliminar la informació de depuració de la majoria de les mostres, excepte uns quants, tal com: x86.