Dírithe ar Idirlíon na Rudaí, leagan nua den "Gafgyt" Is cosúil Trojan

Dírithe ar Idirlíon na Rudaí, leagan nua den "Gaffyt" Is cosúil Trojan

Dírithe ar Idirlíon na Rudaí, leagan nua den "Gaffyt" Is cosúil Trojan. Le déanaí, D’aimsigh Huorong Security Lab eachtra cur isteach víris, a deimhníodh gur leagan nua é den víreas Gafgyt Trojan tar éis imscrúdaithe agus anailíse.

Dírithe ar Idirlíon na Rudaí, leagan nua den "Gaffyt" Is cosúil Trojan

Le déanaí, D’aimsigh Huorong Security Lab eachtra cur isteach víris, a deimhníodh gur leagan nua é den víreas Gafgyt Trojan tar éis imscrúdaithe agus anailíse.

Is clár botnet IoT é Gafgyt bunaithe ar phrótacal IRC, a infects go príomha Linux-bhunaithe Gléasanna IoT ionsaithe diúltaithe seirbhíse a sheoladh (DDoS). Is é an teaghlach botnet IoT gníomhach is mó seachas an teaghlach Mirai.

Tar éis a cód foinse a sceitheadh agus a uaslódáil chuig GitHub isteach 2015, tháinig leaganacha éagsúla agus éachtanna chun cinn ceann i ndiaidh a chéile, bagairt slándála níos mó d'úsáideoirí. Faoi láthair, Is féidir le táirgí slándála Huorong na víris thuasluaite a thascradh agus a mharú. Iarrtar ar úsáideoirí fiontair an bunachar sonraí víreas a nuashonrú in am le haghaidh cosanta.

1. Anailís shamplach
Athainmníonn an víreas a phróiseas féin ar dtús go "/usr/sbin/dropbear" nó "sshd" a cheilt féin:

próiseas a athainmniú

Ina measc, faightear an teaghrán criptithe, agus is é an beart XOR de 0xDEDEFFBA an t-algartam díchriptithe. Nuair a úsáidtear, ní dhéantar ach na cinn a úsáidtear a dhíchriptiú ina n-aonar, ach amháin 4 atá tagairt i ndáiríre:

Teaghrán criptithe agus algartam díchriptithe

Níl sa chéad tagairt ach an sreang comhfhreagrach a aschur go dtí an scáileán, agus is oibríochtaí iad an dá thagairt láir ar an bpróiseas faire chun nach gcailltear smacht mar gheall ar atosú gléas:

dhíchriptiú agus ceanglófar

Déantar na hoibríochtaí atá fágtha i lúb, lena n-áirítear an nasc C2 a thúsú (94.156.161.21:671), cineál gléas an ardáin a sheoladh, an t-ordú fillte a fháil agus an oibríocht mhodúil chomhfhreagrach a fhorghníomhú. Agus i gcomparáid leis an cód foinse leaked ag Gafgy, níor athraigh formáid agus próiseáil an ordaithe mórán, agus tá formáid an ordaithe fós "!*Ordú [Paraiméadar]"

cód oibríochta lúb

Sa fheidhm processCmd, iomlán de 14 freagraítear orduithe agus seoltar ionsaithe DDOS comhfhreagracha, san áireamh: "HTTP", "síneadh CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "GACH", "CNC", "NIGGA"

screenshot ordú - Slándála IoT

Ina measc, an CUDP, UDP, JSC, agus is féidir le modúil TCP go léir teaghráin randamach a sheoladh chuig an IP agus an calafort sonraithe, agus is féidir leo paicéid TCP agus UDP a athchruthú trí cheanntásca IP féin-thógtha chun an seoladh IP foinse a cheilt.

struchtúr teachtaireachta

Meastar gurb é an réimír C an giorrúchán saincheaptha. Ag glacadh CUDP agus UDP mar shamplaí, sa bhunleagan de Gafgyt, áirítear leis na paraiméadair san ordú eisithe: ip, port, am, spoofed, méid paicéad, pollinterval agus luachanna allamuigh agus giotán bratacha Chun paicéid UDP a thógáil. Sa sampla seo, ach, léiríonn na torthaí a breathnaíodh gurb é cur i bhfeidhm na bparaiméadar seo ar leibhéil éagsúla srianta, ar féidir leo solúbthacht cineálacha sonracha ionsaithe DDOS a fheabhsú.

Comparáid idir CUDP agus UDP

Áirítear le feidhmeanna modúil eile líon mór teaghráin Úsáideora-Ghníomhaire a chur leis, a úsáidtear chun orduithe HTTP a sheoladh le haghaidh ionsaithe CC:

CC ionsaí

Áirithe le haghaidh ionsaithe ar fhreastalaithe Inneall Foinse Valve: ("Inneall Foinse" tá fiosrúcháin mar chuid den chumarsáid laethúil idir cliaint agus freastalaithe cluiche ag baint úsáide as prótacal bogearraí comhla)

Ionsaithe ar an tionscal cearrbhachais

Lena n-áirítear orduithe CNC ar féidir leo IP nasc a athrú:

athrú IP nasc

Áirítear ionsaithe SYN agus ACK:

Ionsaithe SYN agus ACK

Ionsaithe tuilte UDP STD san áireamh:

ionsaí STD

Ionsaí XMAS san áireamh: (Is é sin, Ionsaí crann Nollag, trí na giotán bratacha de TCP a shocrú go 1, dá bhrí sin ídíonn níos mó acmhainní próiseála freagartha an spriocchórais)

XMAS ionsaí

Tá modúl NIGGA comhionann leis an ordú KILLATTK sa bhunleagan, a stopann ionsaithe DoSS trí gach próiseas linbh a mharú ach amháin an príomhphróiseas

modúl NIGGA

Anailís chomparáideach
Áirítear leis an bhfeidhm processCmd a stórálann an phríomh-loighic sa chód foinseach PING, GETLOCALIP, SCANNÁN, RÍOMHPHOST, junk, UDP, TCP, LEANBH, CILLATTK, agus modúil LOLNOGTFO. Ní bhíonn ach leaganacha simplithe de mhodúil UDP agus TCP ann sa shaothrú athraitheach a gabhadh an uair seo. .

Agus i bhfeidhmiú a fháil ar an IP áitiúil, faigheann an bunleagan an IP áitiúil trí /proc/net/ route agus seolann sé ar ais tríd an modúl GETLOCALIP é. Breathnaítear an oibríocht fháil chéanna sa leagan seo, ach níl aon mhodúl GETLOCALIP ann agus ní bhreathnaítear ar aon tagairtí.

Faigh IP áitiúil

Is fiú a thabhairt faoi deara nach bhfuil aon leagan bunaidh den mhodúl SCANNER a úsáidtear chun SSH a phléascadh (port 22) sa chineál seo sampla, agus níl aon leagan eile a neadaíonn iolraí "feidhmchláir/gléas" leochaileachtaí le scaipeadh tríd an Ualach Pála. Is féidir a fheiceáil go scoilteann an t-ionsaitheoir an modúl iomadú i gcláir neamhspleácha, agus tar éis logáil isteach go rathúil chuig an óstach íospartaigh, íoslódálfaidh sé an sampla cumarsáide don chéad chéim eile tríd an sliogchód a fhorghníomhú, Is é sin, an sampla anailíse.

Rith sampla shellcode

Ag glacadh na samplaí a fuarthas ón bhfoinse chéanna mar shampla, bhain an t-ionsaitheoir an fhaisnéis dífhabhtaithe d'fhormhór na samplaí, ach amháin cúpla, mar: x86.