پست الکترونیک: anwenqq2690502116@gmail.com

شناسایی و کشتن تیدر

هدف گذاری اینترنت اشیا, یک نوع جدید از "گافیت" تروجان ظاهر می شود

هدف گذاری اینترنت اشیا, یک نوع جدید از "گافیت" تروجان ظاهر می شود. به تازگی, آزمایشگاه امنیتی Huorong یک حادثه نفوذ ویروس را کشف کرد, که پس از بررسی و تجزیه و تحلیل تایید شد که نوع جدیدی از ویروس Gafgyt Trojan است.

هدف گذاری اینترنت اشیا, یک نوع جدید از "گافیت" تروجان ظاهر می شود

به تازگی, آزمایشگاه امنیتی Huorong یک حادثه نفوذ ویروس را کشف کرد, که پس از بررسی و تجزیه و تحلیل تایید شد که نوع جدیدی از ویروس Gafgyt Trojan است.

Gafgyt یک برنامه بات نت اینترنت اشیا بر اساس پروتکل IRC است, که عمدتا مبتنی بر لینوکس را آلوده می کند دستگاه های اینترنت اشیا برای راه اندازی حملات انکار سرویس توزیع شده (DDoS). این بزرگترین خانواده بات نت فعال اینترنت اشیا به غیر از خانواده Mirai است.

پس از اینکه کد منبع آن لو رفت و در GitHub آپلود شد 2015, انواع مختلف و اکسپلویت ها یکی پس از دیگری پدیدار شدند, تهدید امنیتی بیشتری برای کاربران ایجاد می کند. در حال حاضر, محصولات امنیتی Huorong می توانند ویروس های فوق را رهگیری و از بین ببرند. از کاربران سازمانی درخواست می شود پایگاه داده ویروس را به موقع برای دفاع به روز کنند.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. تجزیه و تحلیل نمونه
ویروس ابتدا نام فرآیند خود را به "/usr/sbin/dropbear" یا "sshd" خود را پنهان کند:

process rename
تغییر نام فرآیند

در میان آنها, رشته رمزگذاری شده پیدا می شود, و الگوریتم رمزگشایی بایت XOR 0xDEDEFFBA است. هنگام استفاده, فقط موارد استفاده شده به صورت جداگانه رمزگشایی می شوند, اما تنها 4 در واقع ارجاع داده می شوند:

Encrypted string and decryption algorithm
رشته رمزگذاری شده و الگوریتم رمزگشایی

 

اولین مرجع فقط خروجی رشته مربوطه به صفحه است, و دو مرجع میانی، عملیاتی هستند بر روی فرآیند نگهبان برای جلوگیری از از دست دادن کنترل به دلیل راه اندازی مجدد دستگاه:

decrypt and quote

رمزگشایی و نقل قول

 

عملیات باقی مانده در یک حلقه انجام می شود, از جمله راه اندازی اولیه اتصال C2 (94.156.161.21:671), ارسال نوع دستگاه پلت فرم, دریافت فرمان بازگشت و اجرای عملیات ماژول مربوطه. و در مقایسه با کد منبع فاش شده توسط Gafgy, فرمت و پردازش فرمان تغییر چندانی نکرده است, و فرمت دستور همچنان باقی است "!*فرمان [پارامتر]"

loop operation code

کد عملیات حلقه

 

در تابع processCmd, در مجموع از 14 به دستورات پاسخ داده می شود و حملات DDOS مربوطه راه اندازی می شوند, شامل: "HTTP", "پسوند CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "کریسمس", "CVSE", "همه چيز", "CNC", "NIGGA"

command screenshot - IoT security
اسکرین شات فرمان - امنیت اینترنت اشیا

 

در میان آنها, CUDP, UDP, JSC, و ماژول های TCP همگی می توانند رشته های تصادفی را به IP و پورت مشخص شده ارسال کنند, و می تواند بسته های TCP و UDP را توسط هدرهای IP خود ساخته برای مخفی کردن آدرس IP منبع بازسازی کند..

 

message structure
ساختار پیام

 

حدس زده می شود که پیشوند C مخفف custom باشد. CUDP و UDP را به عنوان مثال در نظر بگیرید, در نسخه اصلی گافگیت, پارامترهای دستور صادر شده شامل: آی پی, بندر, زمان, جعل شده, اندازه بسته ها, فاصله گرده افشانی و سایر مقادیر میدان و بیت های پرچم برای ساخت بسته های UDP. در این نمونه, با این حال, نتایج مشاهده شده نشان می دهد که اعمال این پارامترها در درجات مختلف محدودیت است, که می تواند انعطاف پذیری انواع خاصی از حملات DDOS را افزایش دهد.

مقایسه CUDP و UDP

عملکرد ماژول های دیگر شامل اضافه کردن تعداد زیادی رشته User-Agent است, که برای راه اندازی دستورات HTTP برای حملات CC استفاده می شود:

حمله سی سی

برای حملات علیه سرورهای موتور منبع Valve گنجانده شده است: ("موتور منبع" پرس و جوها بخشی از ارتباطات روزانه بین مشتریان و سرورهای بازی با استفاده از پروتکل نرم افزار Valve)

حملات علیه صنعت بازی

از جمله دستورات CNC که می توانند IP اتصال را تغییر دهند:

IP اتصال سوئیچ

شامل حملات SYN و ACK می شود:

حملات SYN و ACK

از جمله حملات سیل UDP STD:

حمله STD

از جمله حمله XMAS: (به این معنا که, حمله به درخت کریسمس, با تنظیم تمام بیت های پرچم TCP روی 1, بنابراین منابع پردازش پاسخ بیشتر سیستم هدف مصرف می شود)

حمله XMAS

ماژول NIGGA معادل دستور KILLATTK در نسخه اصلی است, که با از بین بردن تمام فرآیندهای فرزند به جز فرآیند اصلی، حملات DoSS را متوقف می کند

ماژول NIGGA

تحلیل تطبیقی
تابع processCmd که منطق اصلی را در کد منبع ذخیره می کند شامل PING است, GETLOCALIP, اسکنر, پست الکترونیک, جنس اوراق و شکسته, UDP, TCP, نگه دارید, KILLATTK, و ماژول های LOLNOGTFO. فقط نسخه‌های ساده شده ماژول‌های UDP و TCP در اکسپلویت متفاوتی که این بار گرفته شده است، وجود دارند.. .

و در عملیات اخذ IP محلی, نسخه اصلی IP محلی را از طریق /proc/net/route دریافت می کند و آن را از طریق ماژول GETLOCALIP برمی گرداند.. همان عملیات دریافت در این نوع مشاهده می شود, اما ماژول GETLOCALIP وجود ندارد و هیچ مرجعی مشاهده نمی شود.

دریافت IP محلی

شایان ذکر است که هیچ نسخه اصلی از ماژول SCANNER برای انفجار SSH وجود ندارد (بندر 22) در این نوع نمونه, و هیچ گونه دیگری وجود ندارد که چندگانه را تعبیه کند "برنامه ها/دستگاه" آسیب پذیری هایی که از طریق Payload منتشر می شوند. مشاهده می شود که مهاجم ماژول انتشار را به برنامه های مستقل تقسیم می کند, و پس از ورود موفقیت آمیز به هاست قربانی, با اجرای shellcode نمونه ارتباط را برای مرحله بعد دانلود می کند, به این معنا که, نمونه تجزیه و تحلیل.

نمونه پوسته کد را اجرا کنید

نمونه برداری از همان منبع به عنوان نمونه, مهاجم اطلاعات اشکال زدایی را برای اکثر نمونه ها حذف کرد, به جز چند مورد, مانند: x86.

عشق خود را به اشتراک بگذارید

پست های مرتبط

پاسخ دهید

آدرس ایمیل شما منتشر نخواهد شد. فیلدهای الزامی مشخص شده اند *