Scopu à l'Internet di e Cose, una nova variante di u "Gafgyt" Trojan appare

Scopu à l'Internet di e Cose, una nova variante di u "Gaffyt" Trojan appare

Scopu à l'Internet di e Cose, una nova variante di u "Gaffyt" Trojan appare. Recentemente, Huorong Security Lab hà scupertu un incidente di intrusione di virus, chì hè stata cunfirmata per esse una nova variante di u virus Gafgyt Trojan dopu l'investigazione è l'analisi.

Scopu à l'Internet di e Cose, una nova variante di u "Gaffyt" Trojan appare

Recentemente, Huorong Security Lab hà scupertu un incidente di intrusione di virus, chì hè stata cunfirmata per esse una nova variante di u virus Gafgyt Trojan dopu l'investigazione è l'analisi.

Gafgyt hè un prugramma di botnet IoT basatu annantu à u protocolu IRC, chì infetta principalmente basatu in Linux Dispositivi IoT per lancià attacchi distribuiti di denial of service (DDoS). Hè a più grande famiglia di botnet IoT attiva fora di a famiglia Mirai.

Dopu chì u so codice fonte hè stata filtrata è caricata in GitHub in 2015, diverse varianti è sfruttamenti emergenu una dopu à l'altru, ponendu una minaccia di sicurezza più grande per l'utilizatori. Attualmente, I prudutti di sicurezza Huorong ponu intercepte è tumbà i virus sopra citati. L'utilizatori di l'impresa sò dumandati à aghjurnà a basa di dati di virus in tempu per a difesa.

1. Analisi di mostra
U virus prima rinomina u so propiu prucessu à "/usr/sbin/dropbear" o "sshd" per ammuccià si:

prucessu rinomina

À mezu à elli, si trova a stringa criptata, è l'algoritmu di decryption hè u byte XOR di 0xDEDEFFBA. Quandu s'utilice, solu quelli usati sò decriptati individualmente, ma solu 4 sò veramente riferiti:

Stringa criptata è algoritmu di decifrazione

U primu riferimentu hè solu per pruduce a stringa currispondente à u screnu, è i dui riferimenti medii sò operazioni nantu à u prucessu di watchdog per evitari di perde u cuntrollu per via di riavvia di u dispositivu:

decifrare è cita

L'operazioni rimanenti sò realizati in un ciclu, inclusa l'inizializazione di a cunnessione C2 (94.156.161.21:671), mandendu u tipu di dispusitivu di piattaforma, riceve u cumandamentu di ritornu è eseguisce l'operazione di u modulu currispundente. È paragunatu cù u codice fonte filtratu da Gafgy, u furmatu è u prucessu di u cumandamentu ùn anu micca cambiatu assai, è u furmatu di u cumandamentu hè sempre "!*Cumanda [Parametru]"

codice di operazione di loop

In a funzione processCmd, un totale di 14 i cumandamenti sò risposti è l'attacchi DDOS currispondenti sò lanciati, cumpresi: "HTTP", "estensione CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "TUTTI", "CNC", "NIGGA"

screenshot di cumanda - Sicurezza IoT

À mezu à elli, u CUDP, UDP, JSC, è i moduli TCP ponu tutti mandà stringhe aleatorii à l'IP è u portu specificati, è pò ricustruisce i pacchetti TCP è UDP da intestazioni IP autocostruite per ammuccià l'indirizzu IP di fonte.

struttura di missaghju

U prefissu C hè guessatu per esse l'abbreviazione di l'usu. Pigliendu CUDP è UDP cum'è esempi, in a versione originale di Gafgyt, i paràmetri in u cumandimu emessu includenu: ip, portu, tempu, spoofed, pacchettu, pollinterval è altri valori di campu è bits di bandiera Per a custruzzione di pacchetti UDP. In questa mostra, però, i risultati osservati mostranu chì hè l'applicazione di sti paràmetri à diversi gradi di restrizzioni, chì ponu rinfurzà a flessibilità di tipi specifichi di attacchi DDOS.

Comparazione di CUDP è UDP

E funzioni di altri moduli includenu l'aghjunghje un gran numaru di stringhe User-Agent, chì sò usati per lancià cumandamenti HTTP per attacchi CC:

Attaccu CC

Inclusu per attacchi contr'à i servitori Source Engine di Valve: ("Source Engine" e dumande sò parte di a cumunicazione di ogni ghjornu trà i clienti è servitori di ghjocu utilizendu u protocolu di u software Valve)

Attacchi contr'à l'industria di u ghjocu

Includendu cumandamenti CNC chì ponu cambià IP di cunnessione:

cambià a cunnessione IP

Include attacchi SYN è ACK:

Attacchi SYN è ACK

Inclusi l'attacchi di inundazioni UDP STD:

Attaccu STD

Cumpresu l'attaccu di XMAS: (hè, Attaccu à l'arburu di Natale, mettendu tutti i bit di bandiera di TCP à 1, cusì cunsumendu più risorse di trattamentu di risposta di u sistema di destinazione)

Attaccu di XMAS

U modulu NIGGA hè equivalente à u cumandimu KILLATTK in a versione originale, chì ferma l'attacchi DoSS uccidendu tutti i prucessi di u zitellu eccettu u prucessu principale

Modulu NIGGA

Analisi comparativa
A funzione processCmd chì guarda a logica principale in u codice fonte include PING, GETLOCALIP, SCANNER, EMAIL, JUNK, UDP, TCP, HOLD, KILLATTK, è i moduli LOLNOGTFO. Solu versioni simplificate di i moduli UDP è TCP coexistenu in a variante sfruttata catturata sta volta. .

È in l'operazione di ottene l'IP locale, a versione originale ottene l'IP lucale attraversu /proc/net/route è u torna à traversu u modulu GETLOCALIP. A stessa operazione di get hè osservata in questa variante, ma ùn ci hè micca un modulu GETLOCALIP è ùn sò micca osservati riferimenti.

Get IP locale

Hè da nutà chì ùn ci hè micca una versione originale di u modulu SCANNER utilizatu per sparghje SSH (portu 22) in stu tipu di mostra, è ùn ci hè micca altre varianti chì incrustate multiple "appiicazioni / dispusitivu" vulnerabilità per sparghje attraversu Payload. Pò esse vistu chì l'attaccante divide u modulu di propagazione in prugrammi indipendenti, è dopu avè successu login à l'ospitu vittima, hà da scaricà a mostra di cumunicazione per a prossima tappa eseguendu u shellcode, hè, u campione di analisi.

Eseguite un esempiu di shellcode

Pigliendu i campioni ottenuti da a listessa fonte cum'è un esempiu, l'attaccante hà spogliatu l'infurmazioni di debugging per a maiò parte di i campioni, fora di uni pochi, cum'è: x86.