Sähköposti: anwenqq2690502116@gmail.com

Tinderin tunnistaminen ja tappaminen

Tavoitteena esineiden internetiä, uusi muunnelma "Gaffyt" Troijalainen ilmestyy

Tavoitteena esineiden internetiä, uusi muunnelma "Gaffyt" Troijalainen ilmestyy. Äskettäin, Huorong Security Lab havaitsi viruksen tunkeutumisen tapauksen, joka vahvistettiin tutkinnan ja analyysin jälkeen uudeksi variantiksi Gafgyt Trojan -viruksesta.

Tavoitteena esineiden internetiä, uusi muunnelma "Gaffyt" Troijalainen ilmestyy

Äskettäin, Huorong Security Lab havaitsi viruksen tunkeutumisen tapauksen, joka vahvistettiin tutkinnan ja analyysin jälkeen uudeksi variantiksi Gafgyt Trojan -viruksesta.

Gafgyt on IoT-botnet-ohjelma, joka perustuu IRC-protokollaan, joka saastuttaa pääasiassa Linux-pohjaisia IoT-laitteet käynnistää hajautettuja palvelunestohyökkäyksiä (DDoS). Se on Mirai-perheen lisäksi suurin aktiivinen IoT-botnet-perhe.

Sen jälkeen, kun sen lähdekoodi oli vuotanut ja ladattu GitHubiin 2015, erilaisia ​​muunnelmia ja hyväksikäyttöjä syntyi yksi toisensa jälkeen, aiheuttavat käyttäjille suuremman turvallisuusuhan. Nykyisessä, Huorongin tietoturvatuotteet voivat siepata ja tappaa edellä mainitut virukset. Yrityskäyttäjiä pyydetään päivittämään virustietokanta ajoissa puolustusta varten.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. Näyteanalyysi
Virus nimeää ensin oman prosessinsa uudelleen "/usr/sbin/dropbear" tai "sshd" piilottaakseen itsensä:

process rename
prosessin uudelleennimeäminen

Heidän joukossa, salattu merkkijono löytyy, ja salauksenpurkualgoritmi on 0xDEDEFFBA:n tavu XOR. Käytettynä, vain käytettyjen salaus puretaan yksitellen, mutta vain 4 niihin todella viitataan:

Encrypted string and decryption algorithm
Salattu merkkijono ja salauksen purkualgoritmi

 

Ensimmäinen viittaus on vain lähettää vastaava merkkijono näytölle, ja kaksi keskimmäistä viittausta ovat vahtikoiraprosessin toimintoja, jotta vältetään hallinnan menettäminen laitteen uudelleenkäynnistyksen vuoksi:

decrypt and quote

purkaa ja lainata

 

Loput toiminnot suoritetaan silmukassa, mukaan lukien C2-yhteyden alustaminen (94.156.161.21:671), alustan laitetyypin lähettäminen, vastaanotetaan paluukäsky ja suoritetaan vastaava moduulitoiminto. Ja verrattuna Gafgyn vuotamaan lähdekoodiin, komennon muoto ja käsittely eivät ole juurikaan muuttuneet, ja komennon muoto on edelleen "!*Komento [Parametri]"

loop operation code

silmukan toimintakoodi

 

ProcessCmd-funktiossa, yhteensä 14 komentoihin vastataan ja vastaavat DDOS-hyökkäykset käynnistetään, mukaan lukien: "HTTP", "CUDP laajennus", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "JOULU", "CVSE", "KAIKKI", "CNC", "NIGGA"

command screenshot - IoT security
komento-kuvakaappaus - IoT-tietoturva

 

Heidän joukossa, CUDP, UDP, JSC, ja TCP-moduulit voivat kaikki lähettää satunnaisia ​​merkkijonoja määritettyyn IP-osoitteeseen ja porttiin, ja voi rekonstruoida TCP- ja UDP-paketteja itse rakennetuilla IP-otsikoilla piilottaakseen lähde-IP-osoitteen.

 

message structure
viestin rakenne

 

Etuliitteen C oletetaan olevan customin lyhenne. Esimerkkinä CUDP ja UDP, Gafgytin alkuperäisessä versiossa, annetun komennon parametrit sisältävät: ip, portti, aika, huijattu, paketin kokoa, pollininterval ja muut kenttäarvot ja lippubitit UDP-pakettien rakentamiseen. Tässä näytteessä, kuitenkin, havaitut tulokset osoittavat, että kyse on näiden parametrien soveltamisesta eri rajoitusasteisiin, joka voi parantaa tietyntyyppisten DDOS-hyökkäysten joustavuutta.

CUDP:n ja UDP:n vertailu

Muiden moduulien toimintoihin kuuluu suuren määrän User-Agent-merkkijonojen lisääminen, joita käytetään HTTP-komentojen käynnistämiseen CC-hyökkäyksiä varten:

CC-hyökkäys

Mukana hyökkäyksissä Valven Source Engine -palvelimia vastaan: ("Lähdemoottori" kyselyt ovat osa päivittäistä viestintää asiakkaiden ja pelipalvelimet käyttämällä Valve-ohjelmistoprotokollaa)

Hyökkäykset pelialaa vastaan

Sisältää CNC-komennot, jotka voivat vaihtaa yhteyden IP-osoitetta:

kytkin yhteyden IP

Sisältää SYN- ja ACK-hyökkäykset:

SYN- ja ACK-hyökkäykset

Mukaan lukien UDP STD -tulvahyökkäykset:

STD-hyökkäys

Mukaan lukien XMAS-hyökkäys: (tuo on, Joulukuusen hyökkäys, asettamalla kaikki TCP:n lippubitit 1, kuluttaa siten enemmän kohdejärjestelmän vastauskäsittelyresursseja)

Joulun hyökkäys

NIGGA-moduuli vastaa alkuperäisen version KILLATTK-komentoa, joka pysäyttää DoSS-hyökkäykset tappamalla kaikki lapsiprosessit paitsi pääprosessin

NIGGA moduuli

Vertaileva analyysi
Funktio processCmd, joka tallentaa päälogiikan lähdekoodiin, sisältää PING:n, GETLOCALIP, SKANNERI, EMAIL, Junk, UDP, TCP, PIDÄ, KILLATTK, ja LOLNOGTFO-moduulit. Vain yksinkertaistetut versiot UDP- ja TCP-moduuleista ovat rinnakkain tällä kertaa kaapatussa muunnelmassa. .

Ja paikallisen IP:n hankinnassa, alkuperäinen versio hankkii paikallisen IP-osoitteen /proc/net/route kautta ja palauttaa sen GETLOCALIP-moduulin kautta. Sama get-operaatio havaitaan tässä versiossa, mutta GETLOCALIP-moduulia ei ole eikä viittauksia havaita.

Hanki paikallinen IP

On syytä huomata, että SSH:n purkamiseen käytetystä SCANNER-moduulista ei ole alkuperäistä versiota (portti 22) tämän tyyppisessä näytteessä, eikä ole olemassa muita vaihtoehtoja, jotka upottavat useita "sovellukset/laite" haavoittuvuudet leviävät Payloadin kautta. Voidaan nähdä, että hyökkääjä jakaa etenemismoduulin itsenäisiksi ohjelmiksi, ja onnistuneen sisäänkirjautumisen jälkeen uhriisäntään, hän lataa viestintänäytteen seuraavaa vaihetta varten suorittamalla shell-koodin, tuo on, analyysinäyte.

Suorita shellcode-esimerkki

Otetaan esimerkkinä samasta lähteestä saadut näytteet, hyökkääjä poisti virheenkorjaustiedot useimmista näytteistä, muutamaa lukuun ottamatta, kuten: x86.

Jaa rakkautesi

Aiheeseen liittyvät julkaisut

Jätä vastaus

Sähköpostiosoitettasi ei julkaista. pakolliset kentät on merkitty *