Posta elektronikoa: anwenqq2690502116@gmail.com
Gauzen Internetera zuzenduta, ren aldaera berri bat "Gaffyt" Troiako agertzen da
Duela gutxi, Huorong Security Lab-ek birusen intrusio-gertaera bat aurkitu zuen, zeina Gafgyt Troiako birusaren aldaera berria zela baieztatu zen ikerketa eta analisiaren ondoren.
Gafgyt IRC protokoloan oinarritutako IoT botnet programa bat da, Linux-en oinarritutako batez ere kutsatzen duena IoT gailuak zerbitzuaren ukapen banatuko erasoak abiarazteko (DDoS). Mirai familia ez den IoT botnet familia aktibo handiena da.
Bere iturburu kodea filtratu eta GitHub-era kargatu ondoren 2015, bata bestearen atzetik hainbat aldaera eta ustiapena sortu ziren, erabiltzaileentzat segurtasun mehatxu handiagoa sortuz. Gaur egun, Huorong segurtasun produktuek goian aipatutako birusak atzeman eta hil ditzakete. Enpresen erabiltzaileei birusen datu-basea defentsarako garaiz eguneratzeko eskatzen zaie.
1. Laginaren analisia
Birusak lehenik bere prozesuari izena ematen dio "/usr/sbin/dropbear" edo "sshd" bere burua ezkutatzeko:
prozesuaren izena aldatu
Haien artean, enkriptatutako katea aurkitzen da, eta deszifratze-algoritmoa 0xDEDEFFBAren byte XOR da. Erabiltzen denean, erabilitakoak bakarrik deszifratzen dira banan-banan, baina bakarrik 4 benetan erreferentziatuta daude:
Kate zifratua eta deszifratze algoritmoa
Lehenengo erreferentzia pantailara dagokion katea ateratzea baino ez da, eta erdiko bi erreferentziak watchdog prozesuan egindako eragiketak dira, gailua berrabiarazteagatik kontrola gal ez dadin:
deszifratu eta aipatu
Gainerako eragiketak begizta batean egiten dira, barne C2 konexioa hasieratzea (94.156.161.21:671), plataformako gailu mota bidaltzea, itzulera komandoa jaso eta dagokion modulu-eragiketa exekutatzen. Eta Gafgyk filtratutako iturburu-kodearekin alderatuta, komandoaren formatua eta prozesamendua ez dira asko aldatu, eta komandoaren formatua oraindik dago "!*Agindua [Parametroa]"
begizta eragiketa kodea
processCmd funtzioan, guztira 14 komandoei erantzuten zaie eta dagozkien DDOS erasoak abiarazten dira, barne: "HTTP", "CUDP luzapena", "UDP", "STD", "JSC", "TCP", "SIN" , "ACK", "CXMAS", "EGUBERRIA", "CVSE", "DENA", "CNCa", "NIGGA"
komandoaren pantaila-argazkia - IoT segurtasuna
Haien artean, CUDP, UDP, JSC, eta TCP moduluek ausazko kateak bidal ditzakete zehaztutako IP eta atakara, eta TCP eta UDP paketeak berreraiki ditzake norberak eraikitako IP goiburuen bidez iturburuko IP helbidea ezkutatzeko.
mezuaren egitura
C aurrizkia ohituraren laburdura dela uste da. CUDP eta UDP adibidetzat hartuta, Gafgyt-en jatorrizko bertsioan, jaulkitako komandoan parametroek barne hartzen dute: ip, portua, denbora, faltsutu, pakete-tamaina, pollinterval eta beste eremu-balioak eta bandera-bitak UDP paketeak eraikitzeko. Lagin honetan, hala ere, ikusitako emaitzek erakusten dute parametro horiek murrizketa-maila ezberdinetan aplikatzea dela, horrek DDOS eraso mota zehatzen malgutasuna areagotu dezake.
CUDP eta UDP konparaketa
Beste modulu batzuen funtzioen artean Erabiltzaile-Agente kate ugari gehitzea dago, CC erasoetarako HTTP komandoak abiarazteko erabiltzen direnak:
CC erasoa
Valve-ren Source Engine zerbitzarien aurkako erasoetarako barne: ("Iturburu-motorra" kontsultak bezeroen arteko eguneroko komunikazioaren parte dira eta joko zerbitzariak Valve software protokoloa erabiliz)
Jokoaren industriaren aurkako erasoak
Konexio IP alda dezaketen CNC komandoak barne:
aldatu konexio IP
SYN eta ACK erasoak barne hartzen ditu:
SYN eta ACK erasoak
UDP STD uholde erasoak barne:
STD erasoa
Eguberrietako erasoa barne: (hori da, Gabonetako zuhaitzaren erasoa, TCP-ren bandera-bit guztiak ezarriz 1, horrela, xede-sistemaren erantzunak prozesatzeko baliabide gehiago kontsumitzen dira)
Gabonetako erasoa
NIGGA modulua jatorrizko bertsioan KILLATTK komandoaren baliokidea da, DoSS erasoak geldiarazten dituena, prozesu ume guztiak akabatuz prozesu nagusia izan ezik
NIGGA modulua
Analisi konparatiboa
Iturburu-kodean logika nagusia gordetzen duen processCmd funtzioak PING barne hartzen du, GETLOCALIP, ESKANERRA, EMAIL, ZABORRA, UDP, TCP, EUTSI, KILLATTK, eta LOLNOGTFO moduluak. Oraingoan harrapatutako aldaeran UDP eta TCP moduluen bertsio sinplifikatuak baino ez dira batera existitzen. .
Eta tokiko IPa lortzeko eragiketan, jatorrizko bertsioak IP lokala lortzen du /proc/net/route bidez eta GETLOCALIP moduluaren bidez itzultzen du. Aldaera honetan lortu eragiketa bera ikusten da, baina ez dago GETLOCALIP modulurik eta ez da erreferentziarik ikusten.
Lortu IP lokala
Aipatzekoa da SSH lehertzeko erabiltzen den SCANNER moduluaren jatorrizko bertsiorik ez dagoela (portua 22) lagin mota honetan, eta ez dago anitz txertatzen duen beste aldaerarik "aplikazio/gailu" ahultasunak Payload bidez zabaltzeko. Ikus daiteke erasotzaileak hedapen modulua programa independenteetan banatzen duela, eta biktimaren ostalariarekin saioa arrakastaz hasi ondoren, hurrengo faserako komunikazio lagina deskargatuko du shellcode exekutatuta, hori da, analisi-lagina.
Exekutatu shellcode adibidea
Iturri beretik lortutako laginak adibidetzat hartuta, erasotzaileak lagin gehienen arazketa-informazioa kendu zuen, gutxi batzuk izan ezik, esaterako: x86.