Ke kuhi nei i ka pūnaewele o nā mea, he ʻano hou o ka "Gafgyt" Hōʻike ʻia ʻo Trojan

Ke kuhi nei i ka pūnaewele o nā mea, he ano hou o ka "ʻO Gaffyt" Hōʻike ʻia ʻo Trojan

Ke kuhi nei i ka pūnaewele o nā mea, he ano hou o ka "ʻO Gaffyt" Hōʻike ʻia ʻo Trojan. I kēia mau lā, Ua ʻike ʻo Huorong Security Lab i kahi hanana hoʻopiʻi maʻi, i hōʻoia ʻia he ʻano hou o ka Gafgyt Trojan virus ma hope o ka hoʻokolokolo ʻana a me ka nānā ʻana.

Ke kuhi nei i ka pūnaewele o nā mea, he ano hou o ka "ʻO Gaffyt" Hōʻike ʻia ʻo Trojan

I kēia mau lā, Ua ʻike ʻo Huorong Security Lab i kahi hanana hoʻopiʻi maʻi, i hōʻoia ʻia he ʻano hou o ka Gafgyt Trojan virus ma hope o ka hoʻokolokolo ʻana a me ka nānā ʻana.

ʻO Gafgyt kahi polokalamu botnet IoT e pili ana i ka protocol IRC, ka mea nui e hoʻopilikia i Linux Nā lako IoT e hoʻomaka i nā hoʻouka hōʻole lawelawe (DDoS). ʻO ia ka ʻohana botnet IoT ikaika loa ma mua o ka ʻohana Mirai.

Ma hope o ka lele ʻana o kāna code kumu a hoʻouka ʻia i GitHub i loko 2015, ua puka mai nā ʻano ʻokoʻa like ʻole a me nā hana hoʻohana i kēlā me kēia, ke kau nei i kahi hoʻoweliweli palekana i nā mea hoʻohana. I kēia manawa, Hiki i nā huahana palekana Huorong ke keakea a pepehi i nā maʻi maʻi i ʻōlelo ʻia ma luna. Noi ʻia nā mea hoʻohana ʻoihana e hōʻano hou i ka ʻikepili virus i ka manawa no ka pale.

1. Hoʻolāʻau hōʻailona
Hoʻololi mua ka virus i kāna kaʻina hana ponoʻī "/usr/sbin/dropbear" a i ʻole "sshd" e huna iaia iho:

hana hou inoa

Iwaena o lakou, ʻike ʻia ke kaula i hoʻopili ʻia, a ʻo ka algorithm decryption ka byte XOR o 0xDEDEFFBA. Ke hoʻohana ʻia, ʻo nā mea i hoʻohana wale ʻia i hoʻokaʻawale ʻia i kēlā me kēia, aka wale no 4 ua kuhikuhi maoli ʻia:

Hoʻopili ʻia ke kaula a me ka algorithm decryption

ʻO ka kuhikuhi mua wale nō e hoʻopuka i ke kaula pili i ka pale, a ʻo nā kuhikuhi waena ʻelua he mau hana ia ma ke kaʻina kiaʻi e pale ai i ka nalowale ʻana o ka mana ma muli o ka hoʻomaka hou ʻana o ka hāmeʻa:

decrypt a haʻi

Hana ʻia nā hana i koe ma kahi loop, me ka hoʻomaka ʻana i ka pilina C2 (94.156.161.21:671), ka hoʻouna ʻana i ke ʻano mea hana anuu, ka loaʻa ʻana o ke kauoha hoʻihoʻi a hoʻokō i ka hana module pili. A hoʻohālikelike ʻia me ke kumu kumu i hoʻokuʻu ʻia e Gafgy, ʻaʻole i loli nui ka ʻano a me ka hana ʻana o ke kauoha, a ua mau ke ano o ke kauoha "!*Kauoha [ʻĀpana]"

code hana loop

Ma ka hana processCmd, ka huina o 14 pane ʻia nā kauoha a hoʻomaka ʻia nā hoʻouka kaua DDOS, komo: "HTTP", "Hoʻonui CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "NA MEA A PAU", "CNC", "NIGGA"

kauoha screenshot - palekana IoT

Iwaena o lakou, ka CUDP, UDP, JSC, a hiki i nā modula TCP ke hoʻouna aku i nā kaula kuʻuna i ka IP a me ke awa i kuhikuhi ʻia, a hiki ke hana hou i nā ʻeke TCP a me UDP e nā poʻomanaʻo IP i kūkulu pono ʻia e hūnā i ka helu IP kumu..

hoʻonohonoho ʻōlelo

Kuhi ʻia ka prefix C ʻo ia ka pōkole o ka maʻamau. Ke lawe nei i ka CUDP a me ka UDP i mau laʻana, i ka mana kumu o Gafgyt, ʻo nā ʻāpana i ke kauoha i hoʻopuka ʻia: ip, awa, manawa, hoʻopunipuni, packetsize, pollinterval a me nā waiwai kahua ʻē aʻe a me nā ʻāpana hae No ke kūkulu ʻana i nā ʻeke UDP. Ma keia laana, akā naʻe, hōʻike nā hopena i ʻike ʻia ʻo ia ka hoʻohana ʻana i kēia mau ʻāpana i nā pae ʻokoʻa o ka palena, hiki ke hoʻonui i ka maʻalahi o nā ʻano kikoʻī o nā hoʻouka DDOS.

Hoʻohālikelike o CUDP a me UDP

ʻO nā hana o nā modula ʻē aʻe e hoʻohui i kahi helu nui o nā kaula User-Agent, i hoʻohana ʻia e hoʻomaka i nā kauoha HTTP no ka hoʻouka ʻana iā CC:

Hoʻouka CC

Hoʻokomo ʻia no ka hoʻouka ʻana i nā kikowaena Source Engine o Valve: ("ʻEnekini Puna" ʻO nā nīnau he ʻāpana o ka kamaʻilio ʻana i kēlā me kēia lā ma waena o nā mea kūʻai aku a nā kikowaena pāʻani me ka hoʻohana ʻana i ka protocol software Valve)

Hoʻouka kaua i ka ʻoihana pāʻani

Me nā kauoha CNC hiki ke hoʻololi i ka IP pili:

hoʻololi i ka pilina IP

Loaʻa i nā hoʻouka kaua SYN a me ACK:

Hoʻouka kaua ʻo SYN a me ACK

Me ka UDP STD hoʻouka wai:

Hoʻouka STD

Me ka hoouka XMAS: (ʻo ia, Hoʻouka lāʻau Kalikimaka, ma ke kau ʻana i nā ʻāpana hae a pau o TCP i 1, no laila e hoʻopau ana i nā kumuwaiwai hoʻoponopono pane ʻoi aku o ka ʻōnaehana pahuhopu)

Hoʻouka XMAS

Ua like ka module NIGGA me ke kauoha KILLATTK i ka mana kumu, ka mea e hooki ai i ka hoouka kaua DoSS ma ka pepehi ana i na hana keiki a pau koe wale no ka hana nui

NIGGA module

Hoʻohālikelike hoʻohālikelike
ʻO ke kaʻina hanaCmd e mālama ana i ka loiloi nui i ka code kumu e komo pū me PING, GETLOCALIP, PANUI, EMAIL, JUNK, UDP, TCP, PAA, KILLATTK, a me nā modula LOLNOGTFO. ʻO nā mana maʻalahi wale nō o nā modula UDP a me TCP e noho pū me ka hoʻohana ʻokoʻa i hopu ʻia i kēia manawa. .

A i ka hana o ka loaʻa ʻana o ka IP kūloko, loaʻa ka mana kumu i ka IP kūloko ma o /proc/net/alanui a hoʻihoʻi iā ia ma o ka module GETLOCALIP. ʻIke ʻia ka hana loaʻa like ma kēia ʻano, akā, ʻaʻohe module GETLOCALIP a ʻaʻohe mea i ʻike ʻia.

E kiʻi i ka IP kūloko

He mea pono e hoʻomaopopo ʻaʻohe mana kumu o ka module SCANNER i hoʻohana ʻia e puhi iā SSH (awa 22) i kēia ʻano hāpana, a ʻaʻohe ʻano ʻokoʻa ʻē aʻe e hoʻokomo i nā mea he nui "noi/mea hana" nā nāwaliwali e laha ma o Payload. Hiki ke ʻike ʻia e hoʻokaʻawale ka mea hoʻouka i ka module propagation i nā papahana kūʻokoʻa, a ma hope o ka hoʻopaʻa inoa ʻana i ka mea hoʻokipa, e hoʻoiho ʻo ia i ka laʻana kamaʻilio no ka pae aʻe ma ka hoʻokō ʻana i ka shellcode, ʻo ia, ka laʻana kālailai.

E hoʻokō i ka laʻana shellcode

ʻO ka lawe ʻana i nā laʻana i loaʻa mai ke kumu like me he laʻana, Ua wehe ka mea hoʻouka i ka ʻike debugging no ka hapa nui o nā laʻana, koe wale no kakaikahi, e like me: x86.