E-mailem: anwenqq2690502116@gmail.com
Míří na internet věcí, nová varianta "Gaffyt" Objeví se Trojan
Nedávno, Bezpečnostní laboratoř Huorong objevila incident s vniknutím viru, který byl po prozkoumání a analýze potvrzen jako nová varianta viru Gafgyt Trojan.
Gafgyt je IoT botnetový program založený na protokolu IRC, který infikuje hlavně Linux IoT zařízení spustit distribuované útoky odmítnutí služby (DDoS). Je to největší aktivní rodina botnetů IoT kromě rodiny Mirai.
Poté, co byl jeho zdrojový kód unikl a nahrán na GitHub 2015, různé varianty a exploity se objevily jedna po druhé, představující větší bezpečnostní hrozbu pro uživatele. V současnosti, Bezpečnostní produkty Huorong mohou zachytit a zabít výše uvedené viry. Podnikoví uživatelé jsou žádáni, aby z důvodu ochrany včas aktualizovali virovou databázi.
1. Analýza vzorku
Virus nejprve přejmenuje svůj vlastní proces na "/usr/sbin/dropbear" nebo "sshd" schovat se:
proces přejmenování
Mezi nimi, je nalezen zašifrovaný řetězec, a dešifrovací algoritmus je bajt XOR 0xDEDEFFBA. Při použití, pouze ty použité se dešifrují jednotlivě, ale pouze 4 jsou skutečně odkazovány:
Šifrovaný řetězec a dešifrovací algoritmus
První odkaz je pouze pro výstup odpovídajícího řetězce na obrazovku, a prostřední dva odkazy jsou operace s procesem hlídacího psa, aby se zabránilo ztrátě kontroly v důsledku restartu zařízení:
dešifrovat a citovat
Zbývající operace se provádějí ve smyčce, včetně inicializace připojení C2 (94.156.161.21:671), odeslání typu zařízení platformy, přijetí příkazu návratu a provedení odpovídající operace modulu. A ve srovnání se zdrojovým kódem, který unikl Gafgy, formát a zpracování příkazu se příliš nezměnily, a formát příkazu je stále "!*Příkaz [Parametr]"
kód operace smyčky
Ve funkci processCmd, celkem 14 na příkazy se reaguje a jsou zahájeny odpovídající útoky DDOS, počítaje v to: "HTTP", "rozšíření CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "VÁNOCE", "CVSE", "VŠECHNO", "CNC", "NIGGA"
snímek obrazovky příkazu - zabezpečení IoT
Mezi nimi, CUDP, UDP, JSC, a TCP moduly mohou všechny odesílat náhodné řetězce na zadanou IP a port, a může rekonstruovat pakety TCP a UDP pomocí vlastních hlaviček IP, aby skryla zdrojovou IP adresu.
struktura zprávy
Předpokládá se, že předpona C je zkratkou zvyku. Vezměme si příklady CUDP a UDP, v původní verzi Gafgyt, parametry ve vydaném příkazu zahrnují: ip, přístav, čas, vymyšlený, velikost paketů, pollinterval a další hodnoty polí a příznakové bity Pro konstrukci UDP paketů. V tomto vzorku, nicméně, pozorované výsledky ukazují, že jde o aplikaci těchto parametrů na různé stupně omezení, což může zvýšit flexibilitu specifických typů útoků DDOS.
Srovnání CUDP a UDP
Mezi funkce ostatních modulů patří přidávání velkého počtu řetězců User-Agent, které se používají ke spouštění HTTP příkazů pro CC útoky:
CC útok
Zahrnuje útoky proti serverům Source Engine společnosti Valve: ("Zdrojový stroj" dotazy jsou součástí každodenní komunikace mezi klienty a herní servery pomocí softwarového protokolu Valve)
Útoky proti hernímu průmyslu
Včetně CNC příkazů, které mohou přepínat IP připojení:
IP připojení přepínače
Zahrnuje útoky SYN a ACK:
Útoky SYN a ACK
Včetně záplavových útoků UDP STD:
STD útok
Včetně XMAS útoku: (to znamená, Útok na vánoční stromeček, nastavením všech příznakových bitů TCP na 1, což spotřebovává více zdrojů zpracování odpovědí cílového systému)
VÁNOČNÍ útok
Modul NIGGA je ekvivalentní příkazu KILLATTK v původní verzi, který zastaví DoSS útoky tím, že zabije všechny podřízené procesy kromě hlavního procesu
modul NIGGA
Srovnávací analýza
Funkce processCmd, která ukládá hlavní logiku do zdrojového kódu, zahrnuje PING, GETLOCALIP, SKENER, E-MAILEM, HARABURDÍ, UDP, TCP, DRŽET, KILLATTK, a moduly LOLNOGTFO. V tentokrát zachycené variantě exploitu koexistují pouze zjednodušené verze modulů UDP a TCP. .
A v operaci získání místní IP, původní verze získá lokální IP přes /proc/net/route a vrátí ji přes modul GETLOCALIP. V této variantě je pozorována stejná operace get, ale není zde žádný modul GETLOCALIP a nejsou dodržovány žádné reference.
Získejte místní IP
Stojí za zmínku, že neexistuje žádná originální verze modulu SCANNER používaného k odstřelování SSH (přístav 22) v tomto typu vzorku, a neexistují žádné další varianty, které by vkládaly více "aplikace/zařízení" zranitelnosti k šíření prostřednictvím Payload. Je vidět, že útočník rozdělí modul šíření na nezávislé programy, a po úspěšném přihlášení k hostiteli oběti, stáhne si ukázku komunikace pro další fázi spuštěním shell kódu, to znamená, analyzovaný vzorek.
Spustit příklad shell kódu
Vezmeme-li jako příklad vzorky získané ze stejného zdroje, útočník odstranil ladicí informace pro většinu vzorků, kromě několika málo, jako: x86.