Sähköposti: anwenqq2690502116@gmail.com
Tavoitteena esineiden internetiä, uusi muunnelma "Gaffyt" Troijalainen ilmestyy
Äskettäin, Huorong Security Lab havaitsi viruksen tunkeutumisen tapauksen, joka vahvistettiin tutkinnan ja analyysin jälkeen uudeksi variantiksi Gafgyt Trojan -viruksesta.
Gafgyt on IoT-botnet-ohjelma, joka perustuu IRC-protokollaan, joka saastuttaa pääasiassa Linux-pohjaisia IoT-laitteet käynnistää hajautettuja palvelunestohyökkäyksiä (DDoS). Se on Mirai-perheen lisäksi suurin aktiivinen IoT-botnet-perhe.
Sen jälkeen, kun sen lähdekoodi oli vuotanut ja ladattu GitHubiin 2015, erilaisia muunnelmia ja hyväksikäyttöjä syntyi yksi toisensa jälkeen, aiheuttavat käyttäjille suuremman turvallisuusuhan. Nykyisessä, Huorongin tietoturvatuotteet voivat siepata ja tappaa edellä mainitut virukset. Yrityskäyttäjiä pyydetään päivittämään virustietokanta ajoissa puolustusta varten.
1. Näyteanalyysi
Virus nimeää ensin oman prosessinsa uudelleen "/usr/sbin/dropbear" tai "sshd" piilottaakseen itsensä:
prosessin uudelleennimeäminen
Heidän joukossa, salattu merkkijono löytyy, ja salauksenpurkualgoritmi on 0xDEDEFFBA:n tavu XOR. Käytettynä, vain käytettyjen salaus puretaan yksitellen, mutta vain 4 niihin todella viitataan:
Salattu merkkijono ja salauksen purkualgoritmi
Ensimmäinen viittaus on vain lähettää vastaava merkkijono näytölle, ja kaksi keskimmäistä viittausta ovat vahtikoiraprosessin toimintoja, jotta vältetään hallinnan menettäminen laitteen uudelleenkäynnistyksen vuoksi:
purkaa ja lainata
Loput toiminnot suoritetaan silmukassa, mukaan lukien C2-yhteyden alustaminen (94.156.161.21:671), alustan laitetyypin lähettäminen, vastaanotetaan paluukäsky ja suoritetaan vastaava moduulitoiminto. Ja verrattuna Gafgyn vuotamaan lähdekoodiin, komennon muoto ja käsittely eivät ole juurikaan muuttuneet, ja komennon muoto on edelleen "!*Komento [Parametri]"
silmukan toimintakoodi
ProcessCmd-funktiossa, yhteensä 14 komentoihin vastataan ja vastaavat DDOS-hyökkäykset käynnistetään, mukaan lukien: "HTTP", "CUDP laajennus", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "JOULU", "CVSE", "KAIKKI", "CNC", "NIGGA"
komento-kuvakaappaus - IoT-tietoturva
Heidän joukossa, CUDP, UDP, JSC, ja TCP-moduulit voivat kaikki lähettää satunnaisia merkkijonoja määritettyyn IP-osoitteeseen ja porttiin, ja voi rekonstruoida TCP- ja UDP-paketteja itse rakennetuilla IP-otsikoilla piilottaakseen lähde-IP-osoitteen.
viestin rakenne
Etuliitteen C oletetaan olevan customin lyhenne. Esimerkkinä CUDP ja UDP, Gafgytin alkuperäisessä versiossa, annetun komennon parametrit sisältävät: ip, portti, aika, huijattu, paketin kokoa, pollininterval ja muut kenttäarvot ja lippubitit UDP-pakettien rakentamiseen. Tässä näytteessä, kuitenkin, havaitut tulokset osoittavat, että kyse on näiden parametrien soveltamisesta eri rajoitusasteisiin, joka voi parantaa tietyntyyppisten DDOS-hyökkäysten joustavuutta.
CUDP:n ja UDP:n vertailu
Muiden moduulien toimintoihin kuuluu suuren määrän User-Agent-merkkijonojen lisääminen, joita käytetään HTTP-komentojen käynnistämiseen CC-hyökkäyksiä varten:
CC-hyökkäys
Mukana hyökkäyksissä Valven Source Engine -palvelimia vastaan: ("Lähdemoottori" kyselyt ovat osa päivittäistä viestintää asiakkaiden ja pelipalvelimet käyttämällä Valve-ohjelmistoprotokollaa)
Hyökkäykset pelialaa vastaan
Sisältää CNC-komennot, jotka voivat vaihtaa yhteyden IP-osoitetta:
kytkin yhteyden IP
Sisältää SYN- ja ACK-hyökkäykset:
SYN- ja ACK-hyökkäykset
Mukaan lukien UDP STD -tulvahyökkäykset:
STD-hyökkäys
Mukaan lukien XMAS-hyökkäys: (tuo on, Joulukuusen hyökkäys, asettamalla kaikki TCP:n lippubitit 1, kuluttaa siten enemmän kohdejärjestelmän vastauskäsittelyresursseja)
Joulun hyökkäys
NIGGA-moduuli vastaa alkuperäisen version KILLATTK-komentoa, joka pysäyttää DoSS-hyökkäykset tappamalla kaikki lapsiprosessit paitsi pääprosessin
NIGGA moduuli
Vertaileva analyysi
Funktio processCmd, joka tallentaa päälogiikan lähdekoodiin, sisältää PING:n, GETLOCALIP, SKANNERI, EMAIL, Junk, UDP, TCP, PIDÄ, KILLATTK, ja LOLNOGTFO-moduulit. Vain yksinkertaistetut versiot UDP- ja TCP-moduuleista ovat rinnakkain tällä kertaa kaapatussa muunnelmassa. .
Ja paikallisen IP:n hankinnassa, alkuperäinen versio hankkii paikallisen IP-osoitteen /proc/net/route kautta ja palauttaa sen GETLOCALIP-moduulin kautta. Sama get-operaatio havaitaan tässä versiossa, mutta GETLOCALIP-moduulia ei ole eikä viittauksia havaita.
Hanki paikallinen IP
On syytä huomata, että SSH:n purkamiseen käytetystä SCANNER-moduulista ei ole alkuperäistä versiota (portti 22) tämän tyyppisessä näytteessä, eikä ole olemassa muita vaihtoehtoja, jotka upottavat useita "sovellukset/laite" haavoittuvuudet leviävät Payloadin kautta. Voidaan nähdä, että hyökkääjä jakaa etenemismoduulin itsenäisiksi ohjelmiksi, ja onnistuneen sisäänkirjautumisen jälkeen uhriisäntään, hän lataa viestintänäytteen seuraavaa vaihetta varten suorittamalla shell-koodin, tuo on, analyysinäyte.
Suorita shellcode-esimerkki
Otetaan esimerkkinä samasta lähteestä saadut näytteet, hyökkääjä poisti virheenkorjaustiedot useimmista näytteistä, muutamaa lukuun ottamatta, kuten: x86.