Míří na internet věcí, nová varianta "Gaffyt" Objeví se Trojan

Míří na internet věcí, nová varianta "Gaffyt" Objeví se Trojan

Nedávno, Bezpečnostní laboratoř Huorong objevila incident s vniknutím viru, který byl po prozkoumání a analýze potvrzen jako nová varianta viru Gafgyt Trojan.

Gafgyt je IoT botnetový program založený na protokolu IRC, který infikuje hlavně Linux IoT zařízení spustit distribuované útoky odmítnutí služby (DDoS). Je to největší aktivní rodina botnetů IoT kromě rodiny Mirai.

Poté, co byl jeho zdrojový kód unikl a nahrán na GitHub 2015, různé varianty a exploity se objevily jedna po druhé, představující větší bezpečnostní hrozbu pro uživatele. V současnosti, Bezpečnostní produkty Huorong mohou zachytit a zabít výše uvedené viry. Podnikoví uživatelé jsou žádáni, aby z důvodu ochrany včas aktualizovali virovou databázi.

1. Analýza vzorku
Virus nejprve přejmenuje svůj vlastní proces na "/usr/sbin/dropbear" nebo "sshd" schovat se:

proces přejmenování

Mezi nimi, je nalezen zašifrovaný řetězec, a dešifrovací algoritmus je bajt XOR 0xDEDEFFBA. Při použití, pouze ty použité se dešifrují jednotlivě, ale pouze 4 jsou skutečně odkazovány:

Šifrovaný řetězec a dešifrovací algoritmus

První odkaz je pouze pro výstup odpovídajícího řetězce na obrazovku, a prostřední dva odkazy jsou operace s procesem hlídacího psa, aby se zabránilo ztrátě kontroly v důsledku restartu zařízení:

dešifrovat a citovat

Zbývající operace se provádějí ve smyčce, včetně inicializace připojení C2 (94.156.161.21:671), odeslání typu zařízení platformy, přijetí příkazu návratu a provedení odpovídající operace modulu. A ve srovnání se zdrojovým kódem, který unikl Gafgy, formát a zpracování příkazu se příliš nezměnily, a formát příkazu je stále "!*Příkaz [Parametr]"

kód operace smyčky

Ve funkci processCmd, celkem 14 na příkazy se reaguje a jsou zahájeny odpovídající útoky DDOS, počítaje v to: "HTTP", "rozšíření CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "VÁNOCE", "CVSE", "VŠECHNO", "CNC", "NIGGA"

snímek obrazovky příkazu - zabezpečení IoT

Mezi nimi, CUDP, UDP, JSC, a TCP moduly mohou všechny odesílat náhodné řetězce na zadanou IP a port, a může rekonstruovat pakety TCP a UDP pomocí vlastních hlaviček IP, aby skryla zdrojovou IP adresu.

struktura zprávy

Předpokládá se, že předpona C je zkratkou zvyku. Vezměme si příklady CUDP a UDP, v původní verzi Gafgyt, parametry ve vydaném příkazu zahrnují: ip, přístav, čas, vymyšlený, velikost paketů, pollinterval a další hodnoty polí a příznakové bity Pro konstrukci UDP paketů. V tomto vzorku, nicméně, pozorované výsledky ukazují, že jde o aplikaci těchto parametrů na různé stupně omezení, což může zvýšit flexibilitu specifických typů útoků DDOS.

Srovnání CUDP a UDP

Mezi funkce ostatních modulů patří přidávání velkého počtu řetězců User-Agent, které se používají ke spouštění HTTP příkazů pro CC útoky:

CC útok

Zahrnuje útoky proti serverům Source Engine společnosti Valve: ("Zdrojový stroj" dotazy jsou součástí každodenní komunikace mezi klienty a herní servery pomocí softwarového protokolu Valve)

Útoky proti hernímu průmyslu

Včetně CNC příkazů, které mohou přepínat IP připojení:

IP připojení přepínače

Zahrnuje útoky SYN a ACK:

Útoky SYN a ACK

Včetně záplavových útoků UDP STD:

STD útok

Včetně XMAS útoku: (to znamená, Útok na vánoční stromeček, nastavením všech příznakových bitů TCP na 1, což spotřebovává více zdrojů zpracování odpovědí cílového systému)

VÁNOČNÍ útok

Modul NIGGA je ekvivalentní příkazu KILLATTK v původní verzi, který zastaví DoSS útoky tím, že zabije všechny podřízené procesy kromě hlavního procesu

modul NIGGA

Srovnávací analýza
Funkce processCmd, která ukládá hlavní logiku do zdrojového kódu, zahrnuje PING, GETLOCALIP, SKENER, E-MAILEM, HARABURDÍ, UDP, TCP, DRŽET, KILLATTK, a moduly LOLNOGTFO. V tentokrát zachycené variantě exploitu koexistují pouze zjednodušené verze modulů UDP a TCP. .

A v operaci získání místní IP, původní verze získá lokální IP přes /proc/net/route a vrátí ji přes modul GETLOCALIP. V této variantě je pozorována stejná operace get, ale není zde žádný modul GETLOCALIP a nejsou dodržovány žádné reference.

Získejte místní IP

Stojí za zmínku, že neexistuje žádná originální verze modulu SCANNER používaného k odstřelování SSH (přístav 22) v tomto typu vzorku, a neexistují žádné další varianty, které by vkládaly více "aplikace/zařízení" zranitelnosti k šíření prostřednictvím Payload. Je vidět, že útočník rozdělí modul šíření na nezávislé programy, a po úspěšném přihlášení k hostiteli oběti, stáhne si ukázku komunikace pro další fázi spuštěním shell kódu, to znamená, analyzovaný vzorek.

Spustit příklad shell kódu

Vezmeme-li jako příklad vzorky získané ze stejného zdroje, útočník odstranil ladicí informace pro většinu vzorků, kromě několika málo, jako: x86.