Ebost: anwenqq2690502116@gmail.com

Canfod a lladd tyner

Anelu at Rhyngrwyd Pethau, amrywiad newydd o'r "Gafgyt" Trojan yn ymddangos

Anelu at Rhyngrwyd Pethau, amrywiad newydd o'r "Gafgyt" Trojan yn ymddangos. Yn ddiweddar, Darganfuodd Huorong Security Lab ddigwyddiad ymwthiad firws, a gadarnhawyd i fod yn amrywiad newydd o firws Gafgyt Trojan ar ôl ymchwilio a dadansoddi.

Anelu at Rhyngrwyd Pethau, amrywiad newydd o'r "Gafgyt" Trojan yn ymddangos

Yn ddiweddar, Darganfuodd Huorong Security Lab ddigwyddiad ymwthiad firws, a gadarnhawyd i fod yn amrywiad newydd o firws Gafgyt Trojan ar ôl ymchwilio a dadansoddi.

Mae Gafgyt yn rhaglen botnet IoT sy'n seiliedig ar brotocol yr IRC, sy'n heintio seiliedig ar Linux yn bennaf Dyfeisiau IoT i lansio ymosodiadau gwrthod gwasanaeth dosranedig (DDoS). Dyma'r teulu botnet IoT gweithredol mwyaf heblaw'r teulu Mirai.

Ar ôl i'w god ffynhonnell gael ei ollwng a'i uwchlwytho i GitHub i mewn 2015, daeth amrywiol amrywiadau a gorchestion i'r amlwg y naill ar ôl y llall, peri mwy o fygythiad diogelwch i ddefnyddwyr. Ar hyn o bryd, Gall cynhyrchion diogelwch Huorong ryng-gipio a lladd y firysau uchod. Gofynnir i ddefnyddwyr menter ddiweddaru'r gronfa ddata firws mewn pryd ar gyfer amddiffyn.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. Dadansoddiad sampl
Mae'r firws yn ailenwi ei broses ei hun yn gyntaf i "/usr/sbin/dropbear" neu "sshd" i guddio ei hun:

process rename
ailenwi'r broses

Yn eu plith, canfyddir y llinyn wedi'i amgryptio, a'r algorithm dadgryptio yw beit XOR o 0xDEDEFFBA. Pan gaiff ei ddefnyddio, dim ond y rhai a ddefnyddir sy'n cael eu dadgryptio'n unigol, ond yn unig 4 yn cael eu cyfeirio mewn gwirionedd:

Encrypted string and decryption algorithm
Llinyn wedi'i amgryptio a algorithm dadgryptio

 

Dim ond at allbynnu'r llinyn cyfatebol i'r sgrin y mae'r cyfeiriad cyntaf, ac mae'r ddau gyfeiriad canol yn weithrediadau ar y broses corff gwarchod er mwyn osgoi colli rheolaeth oherwydd ailgychwyn dyfais:

decrypt and quote

dadgryptio a dyfynnu

 

Mae'r gweithrediadau sy'n weddill yn cael eu gwneud mewn dolen, gan gynnwys cychwyn y cysylltiad C2 (94.156.161.21:671), anfon y math o ddyfais platfform, derbyn y gorchymyn dychwelyd a gweithredu'r gweithrediad modiwl cyfatebol. Ac o'i gymharu â'r cod ffynhonnell a ddatgelwyd gan Gafgy, nid yw fformat a phrosesu'r gorchymyn wedi newid llawer, ac mae fformat y gorchymyn yn dal i fod "!*Gorchymyn [Paramedr]"

loop operation code

cod gweithredu dolen

 

Yn y swyddogaeth processCmd, cyfanswm o 14 ymatebir i orchmynion a lansiwyd ymosodiadau DDOS cyfatebol, gan gynnwys: "HTTP", "Estyniad CUDP", "CDU", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "POPETH", "CNC", "NIGGA"

command screenshot - IoT security
screenshot gorchymyn - Diogelwch IoT

 

Yn eu plith, y CUDP, CDU, JSC, a gall modiwlau TCP i gyd anfon llinynnau ar hap i'r IP a'r porthladd penodedig, a gall ail-greu pecynnau TCP a CDU gan benawdau IP hunan-adeiledig i guddio cyfeiriad IP y ffynhonnell.

 

message structure
strwythur neges

 

Tybir mai'r rhagddodiad C yw'r talfyriad o arferiad. Cymryd CUDP a CDU fel enghreifftiau, yn y fersiwn wreiddiol o Gafgyt, mae'r paramedrau yn y gorchymyn a gyhoeddwyd yn cynnwys: ip, porthladd, amser, spoofed, maint paced, peillio a gwerthoedd maes eraill a darnau baneri Ar gyfer adeiladu pecynnau CDU. Yn y sampl hwn, fodd bynnag, dengys y canlyniadau a arsylwyd mai cymhwyso'r paramedrau hyn i wahanol raddau o gyfyngiad ydyw, a all wella hyblygrwydd mathau penodol o ymosodiadau DDOS.

Cymharu CUDP a CDU

Mae swyddogaethau modiwlau eraill yn cynnwys ychwanegu nifer fawr o linynnau Defnyddiwr-Asiant, a ddefnyddir i lansio gorchmynion HTTP ar gyfer ymosodiadau CC:

Ymosodiad CC

Wedi'i gynnwys ar gyfer ymosodiadau yn erbyn gweinyddwyr Source Engine Valve: ("Peiriant Ffynhonnell" mae ymholiadau yn rhan o'r cyfathrebu dyddiol rhwng cleientiaid a gweinyddwyr gêm defnyddio protocol meddalwedd Falf)

Ymosodiadau yn erbyn y diwydiant hapchwarae

Gan gynnwys gorchmynion CNC a all newid IP cysylltiad:

switsh cysylltiad IP

Yn cynnwys ymosodiadau SYN ac ACK:

Ymosodiadau SYN ac ACK

Gan gynnwys ymosodiadau llifogydd CDU STD:

Ymosodiad STD

Gan gynnwys ymosodiad XMAS: (hynny yw, Ymosodiad coeden Nadolig, trwy osod holl ddarnau baner TCP i 1, gan ddefnyddio mwy o adnoddau prosesu ymateb y system darged)

Ymosodiad XMAS

Mae modiwl NIGGA yn cyfateb i'r gorchymyn KILLATTK yn y fersiwn wreiddiol, sy'n atal ymosodiadau DoSS trwy ladd pob proses plentyn ac eithrio'r brif broses

Modiwl NIGGA

Dadansoddiad cymharol
Mae'r swyddogaeth processCmd sy'n storio'r brif resymeg yn y cod ffynhonnell yn cynnwys PING, GETLOCALIP, SGANWR, E-BOST, JYNC, CDU, TCP, DALWCH, KILLATTK, a modiwlau LOLNOGTFO. Dim ond fersiynau symlach o fodiwlau CDU a TCP sy'n cydfodoli yn yr ecsbloetio amrywiadol a ddaliwyd y tro hwn. .

Ac yn y gweithrediad o gael yr IP lleol, mae'r fersiwn wreiddiol yn cael yr IP lleol trwy /proc/net/ route a'i ddychwelyd trwy'r modiwl GETLOCALIP. Mae'r un llawdriniaeth yn cael ei arsylwi yn yr amrywiad hwn, ond nid oes modiwl GETLOCALIP ac ni welir geirda.

Cael IP lleol

Mae'n werth nodi nad oes fersiwn wreiddiol o'r modiwl SCANNER a ddefnyddir i ffrwydro SSH (porthladd 22) yn y math hwn o sampl, ac nid oes unrhyw amrywiadau eraill sy'n ymgorffori lluosog "cymwysiadau/dyfais" gwendidau i ledaenu trwy Llwyth Tâl. Gellir gweld bod yr ymosodwr yn rhannu'r modiwl lluosogi yn rhaglenni annibynnol, ac ar ôl mewngofnodi'n llwyddiannus i'r gwesteiwr dioddefwr, bydd yn lawrlwytho'r sampl cyfathrebu ar gyfer y cam nesaf trwy weithredu'r cod cragen, hynny yw, y sampl dadansoddi.

Gweithredu enghraifft cod cragen

Cymryd y samplau a gafwyd o'r un ffynhonnell fel enghraifft, tynnodd yr ymosodwr y wybodaeth dadfygio ar gyfer y rhan fwyaf o'r samplau, heblaw am ychydig, fel: x86.

Rhannwch eich cariad

Swyddi Cysylltiedig

Gadael Ateb

Ni fydd eich cyfeiriad e-bost yn cael ei gyhoeddi. Mae meysydd gofynnol wedi'u marcio *