Post-d: anwenqq2690502116@gmail.com
Ag amas air an eadar-lìon de rudan, tionndadh ùr dhen "Gaffyt" Tha Trojan a 'nochdadh
O chionn ghoirid, Lorg Huorong Security Lab tachartas sàrachadh bhìoras, a chaidh a dhearbhadh mar dhreach ùr den bhìoras Gafgyt Trojan às deidh sgrùdadh agus sgrùdadh.
Tha Gafgyt na phrògram botnet IoT stèidhichte air protocol IRC, a tha gu ìre mhòr a’ toirt buaidh air Linux Innealan IoT gus ionnsaighean diùltadh seirbheis sgaoilte a chuir air bhog (DDoS). Is e an teaghlach botnet IoT gnìomhach as motha a bharrachd air an teaghlach Mirai.
Às deidh don chòd stòr aige a bhith air a leigeil a-mach agus a luchdachadh suas gu GitHub a-steach 2015, nochd diofar atharrachaidhean agus buannachdan aon às deidh a chèile, a 'toirt barrachd cunnart tèarainteachd do luchd-cleachdaidh. An-dràsta, Faodaidh toraidhean tèarainteachd Huorong na bhìorasan gu h-àrd a ghlacadh agus a mharbhadh. Thathas ag iarraidh air luchd-cleachdaidh iomairt an stòr-dàta bhìoras ùrachadh ann an àm airson dìon.
1. Mion-sgrùdadh sampall
Bidh am bhìoras ag ath-ainmeachadh a phròiseas fhèin gu "/usr/sbin/dropbear" neo "sshd" a chur am falach:
ath-ainmich pròiseas
Nam measg, lorgar an t-sreath chrioptaichte, agus is e an algairim dì-chrioptachaidh am byte XOR de 0xDEDEFFBA. Nuair a thèid a chleachdadh, chan eil ach an fheadhainn a tha air an cleachdadh air an dì-chrioptachadh leotha fhèin, ach a-mhàin 4 dha-rìribh air an ainmeachadh:
Sreang crioptaichte agus algairim dì-chrioptachaidh
Chan eil a’ chiad iomradh ach airson an sreang fhreagarrach a chuir a-mach chun sgrion, agus is e an dà iomradh meadhanach gnìomhachd air a’ phròiseas faire gus nach caillear smachd air sgàth ath-thòiseachadh inneal:
dì-chrioptachadh agus aithris
Tha na h-obraichean a tha air fhàgail air an dèanamh ann an lùb, a’ toirt a-steach tòiseachadh air a’ cheangal C2 (94.156.161.21:671), a 'cur an seòrsa inneal àrd-chabhsair, a’ faighinn an àithne tilleadh agus a’ cur an gnìomh an obrachadh modal co-fhreagarrach. Agus an coimeas ris a’ chòd stòr a chaidh a leigeil ma sgaoil le Gafgy, chan eil cruth agus giullachd an àithne air atharrachadh mòran, agus tha cruth na h-àithne fhathast "!*àithne [Paramadair]"
Còd-obrachaidh lùb
Anns a 'ghnìomh processCmd, iomlan de 14 Thathas a’ freagairt òrdughan agus thèid ionnsaighean DDOS co-fhreagarrach a chuir air bhog, nam measg: "HTTP", "leudachadh CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACH", "CXMAS", "XMAS", "CVSE", "A H-UILE", "CNC", "NIGGA"
glacadh-sgrìn àithne - Tèarainteachd IoT
Nam measg, an CUDP, UDP, JSC, agus faodaidh modalan TCP uile teudan air thuaiream a chuir chun IP agus port ainmichte, agus is urrainn dhaibh pacaidean TCP agus UDP ath-chruthachadh le cinn-cinn IP fèin-thogte gus an seòladh IP tùsail fhalach.
structar teachdaireachd
Thathas den bheachd gur e an ro-leasachan C an giorrachadh de chleachdadh. A’ gabhail CUDP agus UDP mar eisimpleirean, anns an dreach tùsail de Gafgyt, tha na paramadairean san àithne a chaidh a thoirt a-mach a’ toirt a-steach: ip, port, uair, spùtach, meud pacaid, pollinterval agus luachan làraich eile agus pìosan bratach Airson pacaidean UDP a thogail. Anns an sampall seo, ge-tà, tha na toraidhean a chaidh an sgrùdadh a’ sealltainn gur e cleachdadh nam paramadairean sin gu diofar ìrean bacaidh, a dh'fhaodas sùbailteachd seòrsaichean sònraichte de dh'ionnsaighean DDOS àrdachadh.
Dèan coimeas eadar CUDP agus UDP
Tha gnìomhan mhodalan eile a’ toirt a-steach cuir ris àireamh mhòr de shreathan Cleachdaiche-Agent, a tha air an cleachdadh gus òrdughan HTTP a chuir air bhog airson ionnsaighean CC:
CC ionnsaigh a thoirt air
Air a ghabhail a-steach airson ionnsaighean an aghaidh frithealaichean Source Engine aig Valve: ("Einnsean stòr" tha ceistean mar phàirt den chonaltradh làitheil eadar teachdaichean agus frithealaichean geama a’ cleachdadh protocol bathar-bog Valve)
A 'toirt ionnsaigh air gnìomhachas nan geamannan
A’ toirt a-steach òrdughan CNC as urrainn IP ceangail atharrachadh:
tionndadh IP ceangal
A’ toirt a-steach ionnsaighean SYN agus ACK:
SYN agus ACK a’ toirt ionnsaigh
A’ toirt a-steach ionnsaighean tuiltean UDP STD:
STD ionnsaigh
A’ toirt a-steach ionnsaigh XMAS: (‘s e sin, ionnsaigh craobh na Nollaige, le bhith a’ suidheachadh a h-uile pìos bratach de TCP gu 1, mar sin a’ caitheamh barrachd ghoireasan giullachd freagairt bhon t-siostam targaid)
XMAS ionnsaigh
Tha am modal NIGGA co-ionann ris an àithne KILLATTK anns an dreach tùsail, a tha a 'cur stad air ionnsaighean DoSS le bhith a' marbhadh a h-uile pròiseas pàiste ach a-mhàin am prìomh phròiseas
modal NIGGA
Mion-sgrùdadh coimeasach
Tha am pròiseas gnìomhCmd a bhios a’ stòradh a’ phrìomh loidsig sa chòd stòr a’ toirt a-steach PING, GETLOCALIP, SGRÌOBHAICHE, EMAIL, JUK, UDP, TCP, LAOIDH, KILLATTK, agus modalan LOLNOGTFO. Is e dìreach dreachan nas sìmplidhe de mhodalan UDP agus TCP a tha co-chosmhail ris a’ chleachdadh caochlaideach a chaidh a ghlacadh an turas seo.. .
Agus ann an obrachadh a 'faighinn an IP ionadail, bidh an dreach tùsail a’ faighinn an IP ionadail tro / proc/net/ route agus ga thilleadh tron mhodal GETLOCALIP. Thathas a’ cumail sùil air an aon obrachadh faighinn anns a’ chaochladh seo, ach chan eil modal GETLOCALIP ann agus chan eilear a’ cumail ri iomraidhean.
Faigh IP ionadail
Is fhiach a bhith mothachail nach eil dreach tùsail sam bith den mhodal SCANNER air a chleachdadh gus SSH a spreadhadh (port 22) anns an t-seòrsa sampall seo, agus chan eil caochlaidhean eile ann a tha a’ filleadh a-steach iomadach "iarrtasan/inneal" so-leòntachd a bhith air a sgaoileadh tro Payload. Chìthear gu bheil an neach-ionnsaigh a 'sgaradh a' mhodal iomadachaidh gu prògraman neo-eisimeileach, agus às deidh logadh a-steach gu soirbheachail don neach-aoigheachd, luchdaichidh e sìos an sampall conaltraidh airson an ath ìre le bhith a’ cur an gnìomh an còd slige, ‘s e sin, an sampall anailis.
Dèan eisimpleir de shellcode
Gabh na sampaill a gheibhear bhon aon stòr mar eisimpleir, thug an neach-ionnsaigh air falbh am fiosrachadh deasbaid airson a’ mhòr-chuid de na sampallan, ach beagan, Leithid: x86.
