ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ: anwenqq2690502116@gmail.com
Στοχεύοντας στο Διαδίκτυο των Πραγμάτων, μια νέα παραλλαγή του "Gaffyt" Εμφανίζεται ο Trojan
Πρόσφατα, Το Huorong Security Lab ανακάλυψε ένα περιστατικό εισβολής ιού, που επιβεβαιώθηκε ότι είναι μια νέα παραλλαγή του ιού Gafgyt Trojan μετά από έρευνα και ανάλυση.
Το Gafgyt είναι ένα πρόγραμμα botnet IoT που βασίζεται στο πρωτόκολλο IRC, που μολύνει κυρίως Linux Συσκευές IoT για την έναρξη κατανεμημένων επιθέσεων άρνησης υπηρεσίας (DDoS). Είναι η μεγαλύτερη ενεργή οικογένεια botnet IoT εκτός από την οικογένεια Mirai.
Αφού διέρρευσε ο πηγαίος κώδικας του και ανέβηκε στο GitHub 2015, διάφορες παραλλαγές και κατορθώματα προέκυψαν το ένα μετά το άλλο, αποτελούν μεγαλύτερη απειλή για την ασφάλεια των χρηστών. Στο παρόν, Τα προϊόντα ασφαλείας Huorong μπορούν να αναχαιτίσουν και να σκοτώσουν τους προαναφερθέντες ιούς. Οι εταιρικοί χρήστες καλούνται να ενημερώσουν έγκαιρα τη βάση δεδομένων ιών για άμυνα.
1. Δείγμα ανάλυση
Ο ιός πρώτα μετονομάζει τη δική του διαδικασία σε "/usr/sbin/dropbear" ή "sshd" να κρυφτεί:
μετονομασία της διαδικασίας
Ανάμεσα τους, βρίσκεται η κρυπτογραφημένη συμβολοσειρά, και ο αλγόριθμος αποκρυπτογράφησης είναι το byte XOR του 0xDEDEFFBA. Όταν χρησιμοποιείται, μόνο τα χρησιμοποιημένα αποκρυπτογραφούνται μεμονωμένα, αλλά μόνο 4 όντως αναφέρονται:
Κρυπτογραφημένη συμβολοσειρά και αλγόριθμος αποκρυπτογράφησης
Η πρώτη αναφορά είναι μόνο η έξοδος της αντίστοιχης συμβολοσειράς στην οθόνη, και οι δύο μεσαίες αναφορές είναι λειτουργίες στη διαδικασία παρακολούθησης για την αποφυγή απώλειας ελέγχου λόγω επανεκκίνησης της συσκευής:
αποκρυπτογράφηση και παράθεση
Οι υπόλοιπες λειτουργίες εκτελούνται σε βρόχο, συμπεριλαμβανομένης της προετοιμασίας της σύνδεσης C2 (94.156.161.21:671), αποστολή του τύπου συσκευής πλατφόρμας, λήψη της εντολής επιστροφής και εκτέλεση της αντίστοιχης λειτουργίας μονάδας. Και σε σύγκριση με τον πηγαίο κώδικα που διέρρευσε ο Gafgy, η μορφή και η επεξεργασία της εντολής δεν έχουν αλλάξει πολύ, και η μορφή της εντολής είναι ακόμα "!*Εντολή [Παράμετρος]"
κωδικός λειτουργίας βρόχου
Στη συνάρτηση processCmd, σύνολο από 14 ανταποκρίνονται στις εντολές και ξεκινούν οι αντίστοιχες επιθέσεις DDOS, συμπεριλαμβανομένου: "HTTP", "Επέκταση CUDP", "UDP", "ΣΜΝ", "JSC", "TCP", "ΣΥΝ" , "ACK", "CXMAS", "ΧΡΙΣΤΟΥΓΕΝΝΑ", "CVSE", "ΤΑ ΠΑΝΤΑ", "CNC", "NIGGA"
στιγμιότυπο οθόνης εντολής - Ασφάλεια IoT
Ανάμεσα τους, το CUDP, UDP, JSC, και οι λειτουργικές μονάδες TCP μπορούν όλες να στέλνουν τυχαίες συμβολοσειρές στην καθορισμένη IP και θύρα, και μπορεί να ανακατασκευάσει τα πακέτα TCP και UDP με κεφαλίδες IP που έχουν δημιουργηθεί μόνοι τους για να κρύψουν τη διεύθυνση IP προέλευσης.
δομή μηνυμάτων
Το πρόθεμα C εικάζεται ότι είναι η συντομογραφία του custom. Λαμβάνοντας τα CUDP και UDP ως παραδείγματα, στην αρχική έκδοση του Gafgyt, οι παράμετροι στην εκδοθείσα εντολή περιλαμβάνουν: ip, Λιμάνι, χρόνος, πλαστογραφημένος, μέγεθος πακέτων, pollinterval και άλλες τιμές πεδίου και bit σημαίας Για την κατασκευή πακέτων UDP. Σε αυτό το δείγμα, ωστόσο, Τα αποτελέσματα που παρατηρήθηκαν δείχνουν ότι είναι η εφαρμογή αυτών των παραμέτρων σε διαφορετικούς βαθμούς περιορισμού, που μπορεί να ενισχύσει την ευελιξία συγκεκριμένων τύπων επιθέσεων DDOS.
Σύγκριση CUDP και UDP
Οι λειτουργίες άλλων λειτουργικών μονάδων περιλαμβάνουν την προσθήκη μεγάλου αριθμού συμβολοσειρών User-Agent, που χρησιμοποιούνται για την εκκίνηση εντολών HTTP για επιθέσεις CC:
Επίθεση CC
Περιλαμβάνεται για επιθέσεις εναντίον διακομιστών Source Engine της Valve: ("Μηχανή πηγής" τα ερωτήματα αποτελούν μέρος της καθημερινής επικοινωνίας μεταξύ των πελατών και διακομιστές παιχνιδιών χρησιμοποιώντας το πρωτόκολλο λογισμικού Valve)
Επιθέσεις κατά της βιομηχανίας τυχερών παιχνιδιών
Συμπεριλαμβανομένων εντολών CNC που μπορούν να αλλάξουν IP σύνδεσης:
IP σύνδεσης διακόπτη
Περιλαμβάνει επιθέσεις SYN και ACK:
Επιθέσεις SYN και ACK
Συμπεριλαμβανομένων των επιθέσεων πλημμύρας UDP STD:
Επίθεση ΣΜΝ
Συμπεριλαμβανομένης της επίθεσης XMAS: (αυτό είναι, Επίθεση στο χριστουγεννιάτικο δέντρο, ορίζοντας όλα τα bit σημαίας του TCP σε 1, καταναλώνοντας έτσι περισσότερους πόρους επεξεργασίας απόκρισης του συστήματος στόχου)
Χριστουγεννιάτικη επίθεση
Η μονάδα NIGGA είναι ισοδύναμη με την εντολή KILLATTK στην αρχική έκδοση, που σταματά τις επιθέσεις DoSS σκοτώνοντας όλες τις θυγατρικές διεργασίες εκτός από την κύρια διαδικασία
Μονάδα NIGGA
Συγκριτική ανάλυση
Η συνάρτηση processCmd που αποθηκεύει την κύρια λογική στον πηγαίο κώδικα περιλαμβάνει το PING, GETLOCALIP, ΕΡΕΥΝΗΤΗΣ, ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ, ΣΚΟΥΠΙΔΙ, UDP, TCP, ΚΡΑΤΗΣΤΕ, KILLATTK, και ενότητες LOLNOGTFO. Μόνο απλοποιημένες εκδόσεις μονάδων UDP και TCP συνυπάρχουν στην παραλλαγή εκμετάλλευσης που καταγράφηκε αυτή τη φορά. .
Και στην πράξη απόκτησης της τοπικής IP, η αρχική έκδοση λαμβάνει την τοπική IP μέσω του /proc/net/route και την επιστρέφει μέσω της λειτουργικής μονάδας GETLOCALIP. Η ίδια λειτουργία λήψης παρατηρείται σε αυτήν την παραλλαγή, αλλά δεν υπάρχει ενότητα GETLOCALIP και δεν παρατηρούνται αναφορές.
Λάβετε τοπική IP
Αξίζει να σημειωθεί ότι δεν υπάρχει αρχική έκδοση της μονάδας SCANNER που χρησιμοποιείται για την έκρηξη του SSH (Λιμάνι 22) σε αυτό το είδος δείγματος, και δεν υπάρχουν άλλες παραλλαγές που να ενσωματώνουν πολλαπλές "εφαρμογές/συσκευή" ευπάθειες που θα εξαπλωθούν μέσω του Payload. Μπορεί να φανεί ότι ο εισβολέας χωρίζει τη μονάδα διάδοσης σε ανεξάρτητα προγράμματα, και αφού συνδεθείτε με επιτυχία στον κεντρικό υπολογιστή-θύμα, θα κατεβάσει το δείγμα επικοινωνίας για το επόμενο στάδιο εκτελώντας τον shellcode, αυτό είναι, το δείγμα ανάλυσης.
Παράδειγμα εκτέλεσης shellcode
Λαμβάνοντας ως παράδειγμα τα δείγματα που λαμβάνονται από την ίδια πηγή, ο εισβολέας αφαίρεσε τις πληροφορίες εντοπισμού σφαλμάτων για τα περισσότερα δείγματα, εκτός από μερικά, όπως: x86.
