Apuntando al Internet de las Cosas, una nueva variante del "Gafgyt" Aparece troyano

Apuntando al Internet de las Cosas, una nueva variante del "Gaffyt" Aparece troyano

Apuntando al Internet de las Cosas, una nueva variante del "Gaffyt" Aparece troyano. Recientemente, Huorong Security Lab descubrió un incidente de intrusión de virus, que se confirmó que era una nueva variante del virus troyano Gafgyt después de investigación y análisis.

Apuntando al Internet de las Cosas, una nueva variante del "Gaffyt" Aparece troyano

Recientemente, Huorong Security Lab descubrió un incidente de intrusión de virus, que se confirmó que era una nueva variante del virus troyano Gafgyt después de investigación y análisis.

Gafgyt es un programa de botnet de IoT basado en el protocolo IRC, que infecta principalmente a los basados en Linux dispositivos IoT para lanzar ataques distribuidos de denegación de servicio (DDoS). Es la familia de botnets IoT activa más grande además de la familia Mirai..

Después de que su código fuente fuera filtrado y subido a GitHub en 2015, varias variantes y exploits surgieron uno tras otro, representando una mayor amenaza de seguridad para los usuarios. Actualmente, Los productos de seguridad de Huorong pueden interceptar y eliminar los virus mencionados anteriormente.. Se solicita a los usuarios empresariales que actualicen la base de datos de virus a tiempo para la defensa..

1. Análisis de muestras
El virus primero cambia el nombre de su propio proceso a "/usr/sbin/dropbear" o "sshd" esconderse:

cambio de nombre del proceso

Entre ellos, se encuentra la cadena cifrada, y el algoritmo de descifrado es el byte XOR de 0xDEDEFFBA. Cuando se usa, sólo los usados se descifran individualmente, pero sólo 4 en realidad están referenciados:

Cadena cifrada y algoritmo de descifrado

La primera referencia es solo para enviar la cadena correspondiente a la pantalla., y las dos referencias del medio son operaciones en el proceso de vigilancia para evitar perder el control debido al reinicio del dispositivo.:

descifrar y citar

Las operaciones restantes se llevan a cabo en un bucle., incluyendo la inicialización de la conexión C2 (94.156.161.21:671), enviando el tipo de dispositivo de la plataforma, recibir el comando de retorno y ejecutar la operación del módulo correspondiente. Y comparado con el código fuente filtrado por Gafgy, el formato y procesamiento del comando no han cambiado mucho, y el formato del comando sigue siendo "!*Dominio [Parámetro]"

código de operación de bucle

En la función ProcessCmd, un total de 14 Se responden los comandos y se lanzan los correspondientes ataques DDOS., incluido: "HTTP", "extensión CUDP", "UDP", "ETS", "JSC", "tcp", "SINC" , "ACK", "CXMAS", "NAVIDAD", "CVSE", "TODO", "CNC", "negro"

captura de pantalla del comando - seguridad IoT

Entre ellos, la CUDP, UDP, JSC, y todos los módulos TCP pueden enviar cadenas aleatorias a la IP y al puerto especificados, y puede reconstruir paquetes TCP y UDP mediante encabezados IP autoconstruidos para ocultar la dirección IP de origen.

estructura del mensaje

Se supone que el prefijo C es la abreviatura de costumbre.. Tomando CUDP y UDP como ejemplos, en la versión original de Gafgyt, los parámetros en el comando emitido incluyen: IP, puerto, tiempo, falsificado, tamaño del paquete, pollinterval y otros valores de campo y bits de bandera Para la construcción de paquetes UDP. En esta muestra, sin embargo, los resultados observados muestran que es la aplicación de estos parámetros a diferentes grados de restricción, que puede mejorar la flexibilidad de tipos específicos de ataques DDOS.

Comparación de CUDP y UDP

Las funciones de otros módulos incluyen agregar una gran cantidad de cadenas de User-Agent, que se utilizan para lanzar comandos HTTP para ataques CC:

ataque CC

Incluido para ataques contra servidores Source Engine de Valve: ("Motor de origen" Las consultas forman parte de la comunicación diaria entre clientes y servidores de juegos usando el protocolo del software Valve)

Ataques contra la industria del juego

Incluyendo comandos CNC que pueden cambiar la IP de la conexión.:

cambiar la conexión IP

Incluye ataques SYN y ACK:

Ataques SYN y ACK

Incluyendo ataques de inundación UDP STD:

Ataque de ETS

Incluyendo el ataque XMAS: (eso es, Ataque al árbol de Navidad, configurando todos los bits de bandera de TCP en 1, consumiendo así más recursos de procesamiento de respuesta del sistema de destino)

ataque de navidad

El módulo NIGGA es equivalente al comando KILLATTK en la versión original, que detiene los ataques DoSS al eliminar todos los procesos secundarios excepto el proceso principal

módulo negro

Análisis comparativo
La función ProcessCmd que almacena la lógica principal en el código fuente incluye PING, GETLOCALIP, ESCÁNER, CORREO ELECTRÓNICO, BASURA, UDP, tcp, SOSTENER, KILLATTK, y módulos LOLNOGTFO. Solo coexisten versiones simplificadas de los módulos UDP y TCP en la variante de exploit capturada esta vez.. .

Y en la operación de obtención de la IP local, la versión original obtiene la IP local a través de /proc/net/route y la devuelve a través del módulo GETLOCALIP. La misma operación get se observa en esta variante., pero no hay ningún módulo GETLOCALIP y no se observan referencias.

Obtener IP local

Vale la pena señalar que no existe una versión original del módulo SCANNER utilizado para explotar SSH. (puerto 22) en este tipo de muestra, y no hay otras variantes que incorporen múltiples "aplicaciones/dispositivo" vulnerabilidades para propagarse a través de Payload. Se puede ver que el atacante divide el módulo de propagación en programas independientes., y después de iniciar sesión exitosamente en el host de la víctima, descargará la muestra de comunicación para la siguiente etapa ejecutando el código shell, eso es, la muestra de análisis.

Ejecutar ejemplo de código shell

Tomando como ejemplo las muestras obtenidas de la misma fuente., el atacante eliminó la información de depuración de la mayoría de las muestras, excepto por unos pocos, como: x86.