Email: anwenqq2690502116@gmail.com
Pagpunting sa Internet sa mga Butang, bag-ong variant sa "Gaffyt" Trojan makita
Bag-o lang, Nadiskobrehan sa Huorong Security Lab ang insidente sa pagsulod sa virus, nga gipamatud-an nga bag-ong variant sa Gafgyt Trojan virus human sa imbestigasyon ug pagtuki.
Ang Gafgyt usa ka IoT botnet nga programa base sa IRC protocol, nga nag-una nga makaapekto sa Linux-based Mga kagamitan sa IoT aron ilunsad ang gipang-apod-apod nga pagdumili sa mga pag-atake sa serbisyo (DDoS). Kini ang pinakadako nga aktibo nga IoT botnet nga pamilya gawas sa pamilyang Mirai.
Pagkahuman nga na-leak ang source code ug gi-upload sa GitHub sa 2015, lain-laing mga variant ug mga pagpahimulos mitumaw sunod-sunod nga, nagbutang og mas dakong hulga sa seguridad sa mga tiggamit. Sa pagkakaron, Ang mga produkto sa seguridad sa Huorong mahimong makapugong ug makapatay sa nahisgutan nga mga virus. Ang mga tiggamit sa negosyo gihangyo nga i-update ang database sa virus sa oras alang sa depensa.
1. Sampol nga pagtuki
Ang virus una nga nag-usab sa iyang kaugalingon nga proseso sa "/usr/sbin/dropbear" o "sshd" sa pagtago sa kaugalingon:
pagbag-o sa ngalan sa proseso
Taliwala kanila, makit-an ang naka-encrypt nga hilo, ug ang decryption algorithm mao ang byte XOR sa 0xDEDEFFBA. Kung gigamit, ang mga gigamit ra ang gi-decrypted sa tinagsa, apan lamang 4 tinuod nga reference:
Na-encrypt nga string ug decryption algorithm
Ang una nga pakisayran mao lamang ang pag-output sa katugbang nga string sa screen, ug ang tunga nga duha nga mga pakisayran mao ang mga operasyon sa proseso sa pagbantay aron malikayan ang pagkawala sa kontrol tungod sa pag-restart sa aparato:
decrypt ug quote
Ang nahabilin nga mga operasyon gihimo sa usa ka loop, lakip ang pagsugod sa koneksyon sa C2 (94.156.161.21:671), pagpadala sa matang sa plataporma device, pagdawat sa return command ug pagpatuman sa katugbang nga operasyon sa module. Ug itandi sa source code nga gi-leak ni Gafgy, ang pormat ug pagproseso sa sugo wala kaayo mausab, ug ang pormat sa sugo mao gihapon "!*Sugo [Parameter]"
loop nga operasyon code
Sa processCmd function, usa ka kinatibuk-an sa 14 Ang mga sugo gitubag ug ang katugbang nga mga pag-atake sa DDOS gilunsad, lakip: "HTTP", "CUDP extension", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "Pasko", "CVSE", "TANAN", "CNC", "NIGGA"
command screenshot - Seguridad sa IoT
Taliwala kanila, ang CUDP, UDP, JSC, ug ang TCP modules makapadala tanan ug random strings ngadto sa espesipikong IP ug port, ug makahimo pag-usab sa TCP ug UDP packets pinaagi sa self-built IP header aron itago ang source IP address.
istruktura sa mensahe
Ang prefix nga C gituohan nga abbreviation sa custom. Pagkuha sa CUDP ug UDP isip mga pananglitan, sa orihinal nga bersyon sa Gafgyt, ang mga parameter sa gi-isyu nga mando naglakip: ip, pantalan, panahon, gilimbongan, gidak-on sa pakete, pollinterval ug uban pang field values ug flag bits Alang sa pagtukod sa UDP packets. Sa niini nga sample, bisan pa niana, ang naobserbahan nga mga resulta nagpakita nga kini mao ang paggamit niini nga mga parameter sa lain-laing ang-ang sa pagdili, nga makapauswag sa pagka-flexible sa piho nga mga matang sa pag-atake sa DDOS.
Pagtandi sa CUDP ug UDP
Ang mga gimbuhaton sa ubang mga module naglakip sa pagdugang sa daghang gidaghanon sa mga string sa User-Agent, nga gigamit sa paglunsad sa HTTP nga mga sugo alang sa mga pag-atake sa CC:
Pag-atake sa CC
Apil alang sa mga pag-atake batok sa mga server sa Source Engine sa Valve: ("Tinubdan nga Engine" Ang mga pangutana kabahin sa adlaw-adlaw nga komunikasyon tali sa mga kliyente ug mga server sa dula gamit ang Valve software protocol)
Pag-atake batok sa industriya sa sugalan
Lakip ang mga sugo sa CNC nga makabalhin sa koneksyon IP:
switch koneksyon IP
Naglakip sa mga pag-atake sa SYN ug ACK:
Mga pag-atake sa SYN ug ACK
Naglakip sa mga pag-atake sa baha sa UDP STD:
Pag-atake sa STD
Lakip ang pag-atake sa XMAS: (mao, Pag-atake sa Christmas tree, pinaagi sa pagbutang sa tanang flag bits sa TCP sa 1, sa ingon nagaut-ut sa dugang nga mga kapanguhaan sa pagproseso sa tubag sa target nga sistema)
Pag-atake sa Pasko
Ang NIGGA module katumbas sa KILLATTK command sa orihinal nga bersyon, nga nagpahunong sa mga pag-atake sa DoSS pinaagi sa pagpatay sa tanang proseso sa bata gawas sa nag-unang proseso
NIGGA module
Pagtandi nga pagtuki
Ang function processCmd nga nagtipig sa nag-unang lohika sa source code naglakip sa PING, GETLOCALIP, SCANNER, EMAIL, JUNK, UDP, TCP, HAWAT, KILLATTK, ug LOLNOGTFO modules. Gipasimple nga mga bersyon sa UDP ug TCP modules ang nag-uban sa variant exploit nga nakuha karong panahona. .
Ug sa operasyon sa pagkuha sa lokal nga IP, ang orihinal nga bersyon makakuha sa lokal nga IP pinaagi sa /proc/net/ruta ug ibalik kini pinaagi sa GETLOCALIP module. Ang parehas nga operasyon sa pagkuha naobserbahan sa kini nga variant, apan walay GETLOCALIP module ug walay mga pakisayran nga naobserbahan.
Pagkuha og lokal nga IP
Angay nga matikdan nga walay orihinal nga bersyon sa SCANNER module nga gigamit sa pagpabuto sa SSH (pantalan 22) sa niini nga matang sa sample, ug walay laing mga variant nga nag-embed sa daghang "mga aplikasyon/sangkap" mga kahuyangan nga mokaylap pinaagi sa Payload. Makita nga gibahin sa tig-atake ang module sa pagpadaghan sa mga independente nga programa, ug human sa malampuson nga pag-log in sa biktima nga host, iyang i-download ang sampol sa komunikasyon alang sa sunod nga yugto pinaagi sa pagpatuman sa shellcode, mao, ang sample sa pag-analisa.
Ipatuman ang pananglitan sa shellcode
Pagkuha sa mga sampol nga nakuha gikan sa parehas nga gigikanan ingon usa ka pananglitan, gihukasan sa tig-atake ang impormasyon sa pag-debug alang sa kadaghanan sa mga sample, gawas sa pipila, sama sa: x86.
