Ebost: anwenqq2690502116@gmail.com
Anelu at Rhyngrwyd Pethau, amrywiad newydd o'r "Gafgyt" Trojan yn ymddangos
Yn ddiweddar, Darganfuodd Huorong Security Lab ddigwyddiad ymwthiad firws, a gadarnhawyd i fod yn amrywiad newydd o firws Gafgyt Trojan ar ôl ymchwilio a dadansoddi.
Mae Gafgyt yn rhaglen botnet IoT sy'n seiliedig ar brotocol yr IRC, sy'n heintio seiliedig ar Linux yn bennaf Dyfeisiau IoT i lansio ymosodiadau gwrthod gwasanaeth dosranedig (DDoS). Dyma'r teulu botnet IoT gweithredol mwyaf heblaw'r teulu Mirai.
Ar ôl i'w god ffynhonnell gael ei ollwng a'i uwchlwytho i GitHub i mewn 2015, daeth amrywiol amrywiadau a gorchestion i'r amlwg y naill ar ôl y llall, peri mwy o fygythiad diogelwch i ddefnyddwyr. Ar hyn o bryd, Gall cynhyrchion diogelwch Huorong ryng-gipio a lladd y firysau uchod. Gofynnir i ddefnyddwyr menter ddiweddaru'r gronfa ddata firws mewn pryd ar gyfer amddiffyn.
1. Dadansoddiad sampl
Mae'r firws yn ailenwi ei broses ei hun yn gyntaf i "/usr/sbin/dropbear" neu "sshd" i guddio ei hun:
ailenwi'r broses
Yn eu plith, canfyddir y llinyn wedi'i amgryptio, a'r algorithm dadgryptio yw beit XOR o 0xDEDEFFBA. Pan gaiff ei ddefnyddio, dim ond y rhai a ddefnyddir sy'n cael eu dadgryptio'n unigol, ond yn unig 4 yn cael eu cyfeirio mewn gwirionedd:
Llinyn wedi'i amgryptio a algorithm dadgryptio
Dim ond at allbynnu'r llinyn cyfatebol i'r sgrin y mae'r cyfeiriad cyntaf, ac mae'r ddau gyfeiriad canol yn weithrediadau ar y broses corff gwarchod er mwyn osgoi colli rheolaeth oherwydd ailgychwyn dyfais:
dadgryptio a dyfynnu
Mae'r gweithrediadau sy'n weddill yn cael eu gwneud mewn dolen, gan gynnwys cychwyn y cysylltiad C2 (94.156.161.21:671), anfon y math o ddyfais platfform, derbyn y gorchymyn dychwelyd a gweithredu'r gweithrediad modiwl cyfatebol. Ac o'i gymharu â'r cod ffynhonnell a ddatgelwyd gan Gafgy, nid yw fformat a phrosesu'r gorchymyn wedi newid llawer, ac mae fformat y gorchymyn yn dal i fod "!*Gorchymyn [Paramedr]"
cod gweithredu dolen
Yn y swyddogaeth processCmd, cyfanswm o 14 ymatebir i orchmynion a lansiwyd ymosodiadau DDOS cyfatebol, gan gynnwys: "HTTP", "Estyniad CUDP", "CDU", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "POPETH", "CNC", "NIGGA"
screenshot gorchymyn - Diogelwch IoT
Yn eu plith, y CUDP, CDU, JSC, a gall modiwlau TCP i gyd anfon llinynnau ar hap i'r IP a'r porthladd penodedig, a gall ail-greu pecynnau TCP a CDU gan benawdau IP hunan-adeiledig i guddio cyfeiriad IP y ffynhonnell.
strwythur neges
Tybir mai'r rhagddodiad C yw'r talfyriad o arferiad. Cymryd CUDP a CDU fel enghreifftiau, yn y fersiwn wreiddiol o Gafgyt, mae'r paramedrau yn y gorchymyn a gyhoeddwyd yn cynnwys: ip, porthladd, amser, spoofed, maint paced, peillio a gwerthoedd maes eraill a darnau baneri Ar gyfer adeiladu pecynnau CDU. Yn y sampl hwn, fodd bynnag, dengys y canlyniadau a arsylwyd mai cymhwyso'r paramedrau hyn i wahanol raddau o gyfyngiad ydyw, a all wella hyblygrwydd mathau penodol o ymosodiadau DDOS.
Cymharu CUDP a CDU
Mae swyddogaethau modiwlau eraill yn cynnwys ychwanegu nifer fawr o linynnau Defnyddiwr-Asiant, a ddefnyddir i lansio gorchmynion HTTP ar gyfer ymosodiadau CC:
Ymosodiad CC
Wedi'i gynnwys ar gyfer ymosodiadau yn erbyn gweinyddwyr Source Engine Valve: ("Peiriant Ffynhonnell" mae ymholiadau yn rhan o'r cyfathrebu dyddiol rhwng cleientiaid a gweinyddwyr gêm defnyddio protocol meddalwedd Falf)
Ymosodiadau yn erbyn y diwydiant hapchwarae
Gan gynnwys gorchmynion CNC a all newid IP cysylltiad:
switsh cysylltiad IP
Yn cynnwys ymosodiadau SYN ac ACK:
Ymosodiadau SYN ac ACK
Gan gynnwys ymosodiadau llifogydd CDU STD:
Ymosodiad STD
Gan gynnwys ymosodiad XMAS: (hynny yw, Ymosodiad coeden Nadolig, trwy osod holl ddarnau baner TCP i 1, gan ddefnyddio mwy o adnoddau prosesu ymateb y system darged)
Ymosodiad XMAS
Mae modiwl NIGGA yn cyfateb i'r gorchymyn KILLATTK yn y fersiwn wreiddiol, sy'n atal ymosodiadau DoSS trwy ladd pob proses plentyn ac eithrio'r brif broses
Modiwl NIGGA
Dadansoddiad cymharol
Mae'r swyddogaeth processCmd sy'n storio'r brif resymeg yn y cod ffynhonnell yn cynnwys PING, GETLOCALIP, SGANWR, E-BOST, JYNC, CDU, TCP, DALWCH, KILLATTK, a modiwlau LOLNOGTFO. Dim ond fersiynau symlach o fodiwlau CDU a TCP sy'n cydfodoli yn yr ecsbloetio amrywiadol a ddaliwyd y tro hwn. .
Ac yn y gweithrediad o gael yr IP lleol, mae'r fersiwn wreiddiol yn cael yr IP lleol trwy /proc/net/ route a'i ddychwelyd trwy'r modiwl GETLOCALIP. Mae'r un llawdriniaeth yn cael ei arsylwi yn yr amrywiad hwn, ond nid oes modiwl GETLOCALIP ac ni welir geirda.
Cael IP lleol
Mae'n werth nodi nad oes fersiwn wreiddiol o'r modiwl SCANNER a ddefnyddir i ffrwydro SSH (porthladd 22) yn y math hwn o sampl, ac nid oes unrhyw amrywiadau eraill sy'n ymgorffori lluosog "cymwysiadau/dyfais" gwendidau i ledaenu trwy Llwyth Tâl. Gellir gweld bod yr ymosodwr yn rhannu'r modiwl lluosogi yn rhaglenni annibynnol, ac ar ôl mewngofnodi'n llwyddiannus i'r gwesteiwr dioddefwr, bydd yn lawrlwytho'r sampl cyfathrebu ar gyfer y cam nesaf trwy weithredu'r cod cragen, hynny yw, y sampl dadansoddi.
Gweithredu enghraifft cod cragen
Cymryd y samplau a gafwyd o'r un ffynhonnell fel enghraifft, tynnodd yr ymosodwr y wybodaeth dadfygio ar gyfer y rhan fwyaf o'r samplau, heblaw am ychydig, fel: x86.