אימייל: anwenqq2690502116@gmail.com
מכוונים לאינטרנט של הדברים, גרסה חדשה של "גאפיט" טרויאני מופיע
לאחרונה, Huorong Security Lab גילתה אירוע חדירת וירוס, אשר אושרה כגרסה חדשה של וירוס הטרויאני Gafgyt לאחר חקירה וניתוח.
Gafgyt היא תוכנת IoT botnet המבוססת על פרוטוקול IRC, שמדביק בעיקר מבוסס לינוקס מכשירי IoT להפעיל התקפות מניעת שירות מבוזרות (DDoS). זוהי משפחת הבוטנט הפעילה של IoT הגדולה ביותר מלבד משפחת Mirai.
לאחר שקוד המקור שלו דלף והועלה ל-GitHub ב 2015, גרסאות ומעללים שונים צצו בזה אחר זה, מהווים איום אבטחה גדול יותר למשתמשים. בהווה, מוצרי האבטחה של Huorong יכולים ליירט ולהרוג את הווירוסים שהוזכרו לעיל. משתמשים ארגוניים מתבקשים לעדכן את מסד הנתונים של וירוסים בזמן להגנה.
1. ניתוח מדגם
הנגיף משנה תחילה את שם התהליך שלו ל "/usr/sbin/dropbear" אוֹ "sshd" להסתיר את עצמו:
שינוי שם תהליך
ביניהם, נמצאה המחרוזת המוצפנת, ואלגוריתם הפענוח הוא בייט XOR של 0xDEDEFFBA. בעת שימוש, רק המשמשים מפוענחים בנפרד, אבל רק 4 למעשה מתייחסים אליהם:
מחרוזת מוצפנת ואלגוריתם פענוח
ההתייחסות הראשונה היא רק כדי להוציא את המחרוזת המתאימה למסך, ושתי ההפניות האמצעיות הן פעולות על תהליך כלב השמירה כדי למנוע איבוד שליטה עקב הפעלה מחדש של המכשיר:
לפענח ולהציע ציטוט
שאר הפעולות מתבצעות בלולאה, כולל אתחול חיבור C2 (94.156.161.21:671), שליחת סוג התקן הפלטפורמה, קבלת פקודת החזרה וביצוע פעולת המודול המתאימה. ובהשוואה לקוד המקור שהודלף על ידי Gafgy, הפורמט והעיבוד של הפקודה לא השתנו הרבה, והפורמט של הפקודה עדיין "!*פקודה [פָּרָמֶטֶר]"
קוד פעולת לולאה
בפונקציה processCmd, בסך הכל 14 מגיבים לפקודות ומופעלות התקפות DDOS מתאימות, לְרַבּוֹת: "HTTP", "סיומת CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "חַג הַמוֹלָד", "CVSE", "הכל", "CNC", "NIGGA"
צילום מסך פקודה - אבטחת IoT
ביניהם, ה-CUDP, UDP, JSC, ומודולי TCP יכולים כולם לשלוח מחרוזות אקראיות ל-IP וליציאה שצוינו, והוא יכול לשחזר מנות TCP ו-UDP על ידי כותרות IP שנבנו בעצמם כדי להסתיר את כתובת ה-IP המקור.
מבנה ההודעה
הקידומת C מנחשת כקיצור של מנהג. לוקח CUDP ו-UDP כדוגמאות, בגרסה המקורית של Gafgyt, הפרמטרים בפקודה שהונפקה כוללים: ip, נמל, זְמַן, מזויף, גודל מנות, pollinterval וערכי שדות אחרים וסיביות דגל לבניית מנות UDP. במדגם הזה, למרות זאת, התוצאות שנצפו מראות כי מדובר ביישום של פרמטרים אלה בדרגות שונות של הגבלה, מה שיכול לשפר את הגמישות של סוגים ספציפיים של התקפות DDOS.
השוואה בין CUDP ו-UDP
הפונקציות של מודולים אחרים כוללים הוספת מספר רב של מחרוזות User-Agent, המשמשות להפעלת פקודות HTTP עבור התקפות CC:
מתקפת CC
כלול עבור התקפות נגד שרתי Source Engine של Valve: ("מנוע מקור" שאילתות הן חלק מהתקשורת היומיומית בין לקוחות ו שרתי משחק באמצעות פרוטוקול תוכנת Valve)
התקפות נגד תעשיית המשחקים
כולל פקודות CNC שיכולות להחליף חיבור IP:
להחליף חיבור IP
כולל התקפות SYN ו-ACK:
התקפי SYN ו-ACK
כולל התקפות שיטפון UDP STD:
התקף STD
כולל מתקפת חג המולד: (זה, התקפת עץ חג המולד, על ידי הגדרת כל סיביות הדגל של TCP ל 1, ובכך צורך יותר משאבי עיבוד תגובה של מערכת היעד)
מתקפת חג המולד
מודול NIGGA שווה ערך לפקודת KILLATTK בגרסה המקורית, מה שעוצר התקפות DoSS על ידי הרג כל תהליכי הילד מלבד התהליך הראשי
מודול NIGGA
ניתוח השוואתי
הפונקציה processCmd המאחסנת את ההיגיון הראשי בקוד המקור כוללת PING, GETLOCALIP, סוֹרֵק, אימייל, פְּסוֹלֶת, UDP, TCP, לְהַחזִיק, KILLATTK, ומודולי LOLNOGTFO. רק גרסאות מפושטות של מודולי UDP ו-TCP קיימות במקביל בניצול הגרסה שנלכד הפעם. .
ובפעולת השגת ה-IP המקומי, הגרסה המקורית משיגה את ה-IP המקומי דרך /proc/net/route ומחזירה אותו דרך מודול GETLOCALIP. אותה פעולת Get נצפית בגרסה זו, אבל אין מודול GETLOCALIP ולא נצפו הפניות.
קבל IP מקומי
ראוי לציין שאין גרסה מקורית של מודול ה-SCANNER המשמש לפיצוץ SSH (נמל 22) בסוג זה של מדגם, ואין גרסאות אחרות שמטמיעות ריבוי "יישומים/מכשיר" נקודות תורפה להתפשטות באמצעות Payload. ניתן לראות שהתוקף מפצל את מודול ההפצה לתוכניות עצמאיות, ולאחר כניסה מוצלחת למארח הקורבן, הוא יוריד את דוגמת התקשורת לשלב הבא על ידי ביצוע ה- shellcode, זה, מדגם הניתוח.
ביצוע דוגמה של קוד shell
לוקחים את הדוגמאות שהתקבלו מאותו מקור כדוגמה, התוקף הסיר את מידע ניפוי הבאגים עבור רוב הדגימות, למעט כמה, כמו: x86.
