Doel op it Internet of Things, in nije fariant fan de "Gaffyt" Trojan ferskynt

Doel op it Internet of Things, in nije fariant fan de "Gaffyt" Trojan ferskynt

Recent, Huorong Security Lab ûntduts in firus-ynbraak-ynsidint, dy't waard befêstige as in nije fariant fan it Gafgyt Trojan-firus nei ûndersyk en analyze.

Gafgyt is in IoT-botnetprogramma basearre op it IRC-protokol, dy't benammen Linux-basearre ynfektearret IoT-apparaten om ferspraat ûntkenning fan tsjinst oanfallen te lansearjen (DDoS). It is de grutste aktive IoT-botnetfamylje oars as de Mirai-famylje.

Neidat syn boarne koade waard lekt en uploaded nei GitHub yn 2015, ferskate farianten en eksploaten ûntstiene de iene nei de oare, in gruttere feiligensbedriging foar brûkers. Op it stuit, Huorong-befeiligingsprodukten kinne de boppeneamde firussen ûnderskeppe en deadzje. Enterprise-brûkers wurde frege om de firusdatabank op 'e tiid te aktualisearjen foar definsje.

1. Sample analyze
It firus feroaret earst syn eigen proses nei "/usr/sbin/dropbear" of "sshd" himsels te ferbergjen:

proses omneame

Under harren, de fersifere tekenrige is fûn, en it ûntsiferingsalgoritme is de byte XOR fan 0xDEDEFFBA. Wannear't brûkt, allinich de brûkte wurde yndividueel ûntsifere, mar allinnich 4 wurde eins ferwiisd:

Fersifere tekenrige en ûntsiferingsalgoritme

De earste referinsje is allinich om de oerienkommende tekenrige nei it skerm út te fieren, en de middelste twa ferwizings binne operaasjes op it watchdog proses om foar te kommen ferliezen kontrôle fanwege apparaat opnij starte:

ûntsiferje en quote

De oerbleaune operaasjes wurde útfierd yn in loop, ynklusyf inisjalisearjen fan de C2-ferbining (94.156.161.21:671), ferstjoeren fan it platfoarm apparaat type, ûntfange it weromkommando en it útfieren fan de korrespondearjende module operaasje. En fergelike mei de boarnekoade útlekt troch Gafgy, de opmaak en ferwurking fan it kommando binne net folle feroare, en it formaat fan it kommando is noch "!*Befel [Parameter]"

loop operaasje koade

Yn de processCmd funksje, in totaal fan 14 kommando's wurde reagearre en oerienkommende DDOS-oanfallen wurde lansearre, ynklusyf: "HTTP", "CUDP útwreiding", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "ALLES", "CNC", "NIGGA"

kommando skermprint - IoT feiligens

Under harren, de CUDP, UDP, JSC, en TCP modules kinne allegearre stjoere willekeurige snaren nei de oantsjutte IP en haven, en kin TCP- en UDP-pakketten rekonstruearje troch selsboude IP-koppen om it boarne IP-adres te ferbergjen.

berjocht struktuer

It foarheaksel C wurdt tocht as de ôfkoarting fan gewoante. Nim CUDP en UDP as foarbylden, yn 'e orizjinele ferzje fan Gafgyt, de parameters yn it útjûn kommando befetsje: ip, haven, tiid, spoofed, pakketgrutte, pollinterval en oare fjildwearden en flaggebits Foar de bou fan UDP-pakketten. Yn dit foarbyld, lykwols, de waarnommen resultaten litte sjen dat it is de tapassing fan dizze parameters oan ferskillende graden fan beheining, wat de fleksibiliteit fan spesifike soarten DDOS-oanfallen kin ferbetterje.

Fergeliking fan CUDP en UDP

De funksjes fan oare modules omfetsje it tafoegjen fan in grut oantal User-Agent-strings, dy't wurde brûkt om HTTP-kommando's te starten foar CC-oanfallen:

CC oanfal

Opnaam foar oanfallen tsjin Valve's Source Engine-tsjinners: ("Boarne Engine" queries binne ûnderdiel fan 'e deistige kommunikaasje tusken kliïnten en game tsjinners mei help fan it Valve-softwareprotokol)

Oanfallen tsjin de gaming yndustry

Ynklusyf CNC kommando's dy't kinne wikselje ferbining IP:

switch ferbining IP

Omfettet SYN- en ACK-oanfallen:

SYN en ACK oanfallen

Ynklusyf UDP STD-oerstreamingsoanfallen:

STD oanfal

Ynklusyf XMAS oanfal: (dat is, Krystbeam oanfal, troch alle flaggebits fan TCP op te setten 1, sa konsumearje mear antwurd ferwurkjen boarnen fan it doel systeem)

XMAS oanfal

De NIGGA-module is lykweardich oan it kommando KILLATTK yn 'e orizjinele ferzje, dy't DoSS-oanfallen stopet troch alle bernprosessen te fermoardzjen, útsein it haadproses

NIGGA module

Fergelykjende analyze
De funksje processCmd dy't de haadlogika yn 'e boarnekoade bewarret, befettet PING, GETLOCALIP, SCANNER, EMAIL, JONK, UDP, TCP, HÂLDE, KILLATTK, en LOLNOGTFO modules. Allinich ferienfâldige ferzjes fan UDP- en TCP-modules besteane tegearre yn 'e fariant-eksploitaasje dy't dizze kear fêstlein is. .

En yn 'e operaasje fan it krijen fan de lokale IP, de orizjinele ferzje krijt de lokale IP fia /proc/net/route en jout it werom fia de GETLOCALIP-module. Itselde get operaasje wurdt waarnommen yn dizze fariant, mar der is gjin GETLOCALIP module en gjin ferwizings wurde waarnommen.

Krij lokale IP

It is de muoite wurdich op te merken dat d'r gjin orizjinele ferzje is fan 'e SCANNER-module dy't brûkt wurdt om SSH te blazen (haven 22) yn dit soarte fan stekproef, en der binne gjin oare farianten dy't ynbêde meardere "applikaasjes / apparaat" kwetsberens te fersprieden fia Payload. It kin sjoen wurde dat de oanfaller de propagaasjemodule splitst yn ûnôfhinklike programma's, en nei súksesfol oanmelde by it slachtoffer host, hy sil it kommunikaasjemonster downloade foar de folgjende poadium troch de shellcode út te fieren, dat is, de analyze sample.

Foarbyld fan Shellcode útfiere

Nim de samples krigen fan deselde boarne as foarbyld, de oanfaller hat de debuggen-ynformaasje foar de measte fan 'e samples ûntslein, útsein in pear, lykas: x86.