Retpoŝto: anwenqq2690502116@gmail.com
Celante la Interreton de Aĵoj, nova varianto de la "Gaffyt" Trojan aperas
Lastatempe, Huorong Security Lab malkovris virusan entrudiĝokazaĵon, kiu estis konfirmita kiel nova varianto de la Gafgyt Trojan viruso post esploro kaj analizo.
Gafgyt estas IoT botnet-programo bazita sur la IRC-protokolo, kiu ĉefe infektas Linukso-bazitan IoT-aparatoj lanĉi distribuitajn neon de servo atakoj (DDoS). Ĝi estas la plej granda aktiva IoT botnet-familio krom la Mirai-familio.
Post kiam ĝia fontkodo estis likita kaj alŝutita al GitHub en 2015, diversaj variantoj kaj heroaĵoj aperis unu post la alia, prezentante pli grandan sekurecan minacon al uzantoj. Nuntempe, Huorong-sekurecaj produktoj povas kapti kaj mortigi la supre menciitajn virusojn. Entreprenaj uzantoj estas petataj ĝisdatigi la virusdatumbazon ĝustatempe por defendo.
1. Specimena analizo
La viruso unue renomas sian propran procezon al "/usr/sbin/dropbear" aŭ "sshd" kaŝi sin:
procezo renomi
Inter ili, la ĉifrita ĉeno estas trovita, kaj la malĉifra algoritmo estas la bajto XOR de 0xDEDEFFBA. Kiam uzata, nur la uzitaj estas malĉifritaj individue, sed nur 4 estas fakte referencitaj:
Ĉifrita ĉeno kaj malĉifra algoritmo
La unua referenco estas nur eligi la respondan ĉenon al la ekrano, kaj la mezaj du referencoj estas operacioj sur la gardohundo-procezo por eviti perdi kontrolon pro aparato rekomenco:
deĉifri kaj citi
La ceteraj operacioj estas faritaj en buklo, inkluzive de pravalorigo de la C2-konekto (94.156.161.21:671), sendante la platforman aparaton, ricevante la revenan komandon kaj plenumante la respondan modulan operacion. Kaj kompare kun la fontkodo likita de Gafgy, la formato kaj prilaborado de la komando ne multe ŝanĝiĝis, kaj la formato de la komando estas ankoraŭ "!*Komando [Parametro]"
bukla operaciokodo
En la funkcio processCmd, entute de 14 komandoj estas responditaj kaj ekvivalentaj DDOS-atakoj estas lanĉitaj, inkluzive: "HTTP", "CUDP etendo", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "ĈMAS", "KXMASO", "CVSE", "ĈIO", "CNC", "NIGGA"
komanda ekrankopio - Sekureco de IoT
Inter ili, la CUDP, UDP, JSC, kaj TCP-moduloj ĉiuj povas sendi hazardajn ŝnurojn al la specifita IP kaj haveno, kaj povas rekonstrui TCP kaj UDP-pakojn per memkonstruitaj IP-kapoj por kaŝi la fontan IP-adreson.
mesaĝo strukturo
La prefikso C supozeble estas la mallongigo de kutimo. Prenante CUDP kaj UDP kiel ekzemplojn, en la originalversio de Gafgyt, la parametroj en la elsendita komando inkluzivas: ip, haveno, tempo, parodiita, pakaĵgrandeco, pollinterval kaj aliaj kampovaloroj kaj flagbitoj Por la konstruado de UDP-pakaĵoj. En ĉi tiu specimeno, tamen, la observitaj rezultoj montras ke ĝi estas la apliko de ĉi tiuj parametroj al malsamaj gradoj de limigo, kiu povas plibonigi la flekseblecon de specifaj specoj de DDOS-atakoj.
Komparo de CUDP kaj UDP
La funkcioj de aliaj moduloj inkluzivas aldoni grandan nombron da Uzanto-Agent-ĉenoj, kiuj estas uzataj por lanĉi HTTP-komandojn por CC-atakoj:
CC-atako
Inkluditaj por atakoj kontraŭ la serviloj de Source Engine de Valve: ("Fonta Motoro" demandoj estas parto de la ĉiutaga komunikado inter klientoj kaj ludserviloj uzante la Valve-programan protokolon)
Atakoj kontraŭ la videoludadindustrio
Inkluzive de CNC-komandoj, kiuj povas ŝanĝi konekton IP:
ŝanĝi konekton IP
Inkluzivas SYN kaj ACK-atakojn:
SYN kaj ACK-atakoj
Inkluzive de UDP STD-inundatakoj:
STD-atako
Inkluzive de XMAS-atako: (tio estas, Kristnaska atako, metante ĉiujn flagbitojn de TCP al 1, tiel konsumante pli da respondpretigresursoj de la celsistemo)
XMAS-atako
La NIGGA-modulo estas ekvivalenta al la komando KILLATTK en la originalversio, kiu ĉesigas DoSS-atakojn mortigante ĉiujn infanprocezojn krom la ĉefprocezo
NIGGA modulo
Kompara analizo
La funkcio processCmd kiu stokas la ĉefan logikon en la fontkodo inkluzivas PING, GETLOCALIP, Skanilo, RETRETO, RUTO, UDP, TCP, TENU, KILLATTK, kaj LOLNOGTFO-moduloj. Nur simpligitaj versioj de UDP kaj TCP-moduloj kunekzistas en la varianta ekspluato kaptita ĉi-foje. .
Kaj en la operacio akiri la lokan IP, la originala versio akiras la lokan IP per /proc/net/route kaj resendas ĝin per la modulo GETLOCALIP. La sama get operacio estas observita en ĉi tiu varianto, sed ne ekzistas GETLOCALIP-modulo kaj neniuj referencoj estas observataj.
Akiru lokan IP
Indas noti, ke ne ekzistas originala versio de la SCANNER-modulo uzata por eksplodigi SSH (haveno 22) en ĉi tiu speco de specimeno, kaj ne ekzistas aliaj variantoj, kiuj enigas plurajn "aplikoj/aparato" vundeblecoj por disvastigi tra Utila ŝarĝo. Oni povas vidi, ke la atakanto disigas la disvastigmodulon en sendependajn programojn, kaj post sukcese ensaluti al la viktimgastiganto, li elŝutos la komunikadan specimenon por la sekva etapo per ekzekuto de la ŝelkodo, tio estas, la analiza specimeno.
Ekzekutu shellcode ekzemplo
Prenante la specimenojn akiritajn de la sama fonto kiel ekzemplo, la atakanto nudigis la sencimigajn informojn por la plej multaj el la provaĵoj, krom kelkaj, kiel: x86.