Eesmärgiks asjade internet, uus variant "Gaffyt" Ilmub troojalane
Hiljuti, Huorong Security Lab avastas viiruse sissetungi intsidendi, mis kinnitati pärast uurimist ja analüüsi, et tegemist on Gafgyt Trooja viiruse uue variandiga.
Gafgyt on IoT botneti programm, mis põhineb IRC-protokollil, mis nakatab peamiselt Linuxi-põhiseid IoT seadmed käivitada hajutatud teenuse keelamise rünnakud (DDoS). See on suurim aktiivne asjade Interneti botnettide perekond peale Mirai perekonna.
Pärast selle lähtekoodi lekkimist ja GitHubi üleslaadimist 2015, üksteise järel tekkisid mitmesugused variandid ja vägiteod, kujutab endast kasutajatele suuremat turvaohtu. Hetkel, Huorongi turbetooted suudavad ülalnimetatud viiruseid kinni pidada ja tappa. Ettevõtluskasutajatel palutakse kaitseks viiruseandmebaasi õigeaegselt värskendada.
1. Proovi analüüs
Esmalt nimetab viirus oma protsessi ümber "/usr/sbin/dropbear" või "sshd" ennast varjata:
protsessi ümbernimetamine
Nende hulgas, krüptitud string leitakse, ja dekrüpteerimisalgoritm on 0xDEDEFFBA bait XOR. Kui kasutatakse, üksikult dekrüpteeritakse ainult kasutatud, aga ainult 4 on tegelikult viidatud:
Krüptitud string ja dekrüpteerimisalgoritm
Esimene viide on ainult vastava stringi väljastamine ekraanile, ja kaks keskmist viidet on valvekoera protsessi toimingud, et vältida kontrolli kaotamist seadme taaskäivitamise tõttu:
dekrüpteerida ja tsiteerida
Ülejäänud toimingud tehakse tsüklina, sealhulgas C2 ühenduse lähtestamine (94.156.161.21:671), platvormi seadme tüübi saatmine, tagastamiskäsu vastuvõtmine ja vastava mooduli toimingu sooritamine. Ja võrreldes Gafgy lekitatud lähtekoodiga, käsu formaat ja töötlus pole palju muutunud, ja käsu formaat on endiselt "!*Käsk [Parameeter]"
silmuse operatsioonikood
Funktsioonis processCmd, kogusumma 14 käskudele vastatakse ja käivitatakse vastavad DDOS-i rünnakud, kaasa arvatud: "HTTP", "CUDP laiendus", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "JÕULUD", "CVSE", "KÕIKE", "CNC", "NIGGA"
käsu ekraanipilt - IoT turvalisus
Nende hulgas, CUDP, UDP, JSC, ja TCP-moodulid saavad kõik saata juhuslikke stringe määratud IP-le ja pordile, ja saab taastada TCP- ja UDP-pakette iseehitatud IP-päiste abil, et varjata lähte-IP-aadressi.
sõnumi struktuur
Eelliide C on tavapäraste sõnade lühend. Võttes näiteks CUDP ja UDP, Gafgyti algversioonis, väljastatud käsu parameetrid hõlmavad: ip, sadamasse, aega, võltsitud, paketi suurus, pollininterval ja muud välja väärtused ja lipubitid UDP-pakettide koostamiseks. Selles proovis, Kuid, vaadeldud tulemused näitavad, et just nende parameetrite rakendamine erineva piiranguastmega, mis võib suurendada teatud tüüpi DDOS-rünnakute paindlikkust.
CUDP ja UDP võrdlus
Teiste moodulite funktsioonide hulka kuulub suure hulga User-Agent stringide lisamine, mida kasutatakse HTTP-käskude käivitamiseks CC-rünnakute jaoks:
CC rünnak
Kaasatud Valve Source Engine serverite vastu suunatud rünnakute jaoks: ("Lähtemootor" päringud on osa igapäevasest suhtlusest klientide ja mänguserverid kasutades Valve tarkvaraprotokolli)
Rünnakud mängutööstuse vastu
Sealhulgas CNC-käsud, mis võivad ühenduse IP-d vahetada:
lüliti ühenduse IP
Sisaldab SYN- ja ACK-rünnakuid:
SYN ja ACK rünnakud
Sealhulgas UDP STD üleujutusrünnakud:
STD rünnak
Sealhulgas XMAS-rünnak: (see on, Jõulupuu rünnak, määrates kõik TCP lipubitid väärtusele 1, kulutab seega rohkem sihtsüsteemi vastuse töötlemise ressursse)
Jõulurünnak
NIGGA moodul on samaväärne algversiooni käsuga KILLATTK, mis peatab DoSS-i rünnakud, tappes kõik alamprotsessid, välja arvatud põhiprotsess
NIGGA moodul
Võrdlev analüüs
Funktsioon processCmd, mis salvestab lähtekoodi peamise loogika, sisaldab PING-i, GETLOCALIP, SKANNER, EMAIL, RÄMPS, UDP, TCP, HOIDA, KILLATTK, ja LOLNOGTFO moodulid. Seekord jäädvustatud variandi ärakasutamises eksisteerivad koos ainult UDP- ja TCP-moodulite lihtsustatud versioonid. .
Ja kohaliku IP hankimisel, algversioon hangib kohaliku IP läbi /proc/net/route ja tagastab selle mooduli GETLOCALIP kaudu. Selles variandis täheldatakse sama toimingut, kuid puudub GETLOCALIP moodul ja viiteid pole täheldatud.
Hankige kohalik IP
Väärib märkimist, et SSH-i lõhkamiseks kasutatud SCANNER-moodulil pole algset versiooni (sadamasse 22) seda tüüpi proovides, ja pole muid variante, mis manustavad mitut "rakendused/seade" haavatavused levivad Payloadi kaudu. On näha, et ründaja jagab levimooduli iseseisvateks programmideks, ja pärast edukat sisselogimist ohvri hosti, ta laadib shellkoodi käivitades alla suhtlusnäidise järgmise etapi jaoks, see on, analüüsi proov.
Käivitage shellkoodi näide
Võttes näitena samast allikast saadud proovid, ründaja eemaldas enamiku näidiste silumisteabe, välja arvatud mõned, nagu näiteks: x86.
