Ciljanje na Internet stvari, nova varijanta "Gafgyt" Pojavljuje se Trojan

Ciljanje na Internet stvari, nova varijanta "Gaffyt" Pojavljuje se Trojan

Ciljanje na Internet stvari, nova varijanta "Gaffyt" Pojavljuje se Trojan. Nedavno, Huorong Security Lab otkrio je incident upada virusa, za koji je nakon istrage i analize potvrđeno da je nova varijanta trojanskog virusa Gafgyt.

Ciljanje na Internet stvari, nova varijanta "Gaffyt" Pojavljuje se Trojan

Nedavno, Huorong Security Lab otkrio je incident upada virusa, za koji je nakon istrage i analize potvrđeno da je nova varijanta trojanskog virusa Gafgyt.

Gafgyt je IoT botnet program temeljen na IRC protokolu, koji uglavnom inficira temeljen na Linuxu IoT uređaji za pokretanje distribuiranih napada uskraćivanjem usluge (DDoS). To je najveća aktivna obitelj IoT botneta osim obitelji Mirai.

Nakon što je njegov izvorni kod procurio i prenesen na GitHub u 2015, razne varijante i podvigi pojavljivali su se jedan za drugim, predstavlja veću sigurnosnu prijetnju korisnicima. Trenutno, Huorong sigurnosni proizvodi mogu presresti i uništiti gore navedene viruse. Od poslovnih korisnika se traži da ažuriraju bazu podataka o virusima na vrijeme za obranu.

1. Analiza uzorka
Virus prvo preimenuje vlastiti proces u "/usr/sbin/dropbear" ili "sshd" da se sakrije:

preimenovati proces

Među njima, šifrirani niz je pronađen, a algoritam za dešifriranje je bajt XOR od 0xDEDEFFBA. Kada se koristi, samo se korišteni pojedinačno dešifriraju, ali samo 4 zapravo se navode:

Šifrirani niz i algoritam za dešifriranje

Prva referenca služi samo za ispisivanje odgovarajućeg niza na ekran, a srednje dvije reference su operacije nadzornog procesa kako bi se izbjegao gubitak kontrole zbog ponovnog pokretanja uređaja:

dešifrirati i citirati

Preostale operacije se izvode u petlji, uključujući inicijalizaciju C2 veze (94.156.161.21:671), slanje vrste uređaja platforme, primanje povratne naredbe i izvršavanje odgovarajuće operacije modula. I u usporedbi s izvornim kodom koji je procurio Gafgy, format i obrada naredbe nisu se mnogo promijenili, a format naredbe je i dalje "!*Naredba [Parametar]"

kod operacije petlje

U funkciji processCmd, ukupno 14 na naredbe se reagira i pokreću se odgovarajući DDOS napadi, uključujući: "HTTP", "CUDP proširenje", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "BOŽIĆ", "BOŽIĆ", "CVSE", "SVE", "CNC", "CRNJU"

snimka zaslona naredbe - IoT sigurnost

Među njima, CUDP, UDP, JSC, i TCP moduli mogu poslati nasumične nizove na specificirani IP i port, i može rekonstruirati TCP i UDP pakete samoizgrađenim IP zaglavljima kako bi sakrili izvornu IP adresu.

struktura poruke

Pretpostavlja se da je prefiks C skraćenica od custom. Uzimajući CUDP i UDP kao primjere, u izvornoj verziji Gafgyta, parametri u izdanoj naredbi uključuju: ip, luka, vrijeme, lažiran, veličina paketa, pollinterval i druge vrijednosti polja i bitovi zastavice Za konstrukciju UDP paketa. U ovom uzorku, međutim, promatrani rezultati pokazuju da je primjena ovih parametara na različite stupnjeve ograničenja, što može poboljšati fleksibilnost specifičnih vrsta DDOS napada.

Usporedba CUDP i UDP

Funkcije drugih modula uključuju dodavanje velikog broja nizova korisničkih agenata, koji se koriste za pokretanje HTTP naredbi za CC napade:

CC napad

Uključeno za napade na poslužitelje Valve Source Engine: ("Izvorni motor" upiti su dio svakodnevne komunikacije između klijenata i poslužitelji igara koristeći Valve softverski protokol)

Napadi na industriju igara

Uključujući CNC naredbe koje mogu promijeniti IP veze:

IP veze prekidača

Uključuje SYN i ACK napade:

SYN i ACK napadi

Uključujući UDP STD flood napade:

STD napad

Uključujući XMAS napad: (to je, Napad na božićno drvce, postavljanjem svih bitova zastavice TCP-a na 1, čime se troši više resursa obrade odgovora ciljnog sustava)

Božićni napad

Modul NIGGA ekvivalentan je naredbi KILLATTK u izvornoj verziji, koji zaustavlja DoSS napade ubijanjem svih podređenih procesa osim glavnog procesa

NIGGA modul

Komparativna analiza
Funkcija processCmd koja pohranjuje glavnu logiku u izvornom kodu uključuje PING, GETLOCALIP, SKENER, EMAIL, STARUDIJA, UDP, TCP, DRŽI, KILLATTK, i LOLNOGTFO modula. Samo pojednostavljene verzije UDP i TCP modula koegzistiraju u varijanti iskorištavanja koja je ovaj put snimljena. .

I u operaciji dobivanja lokalnog IP-a, izvorna verzija dobiva lokalni IP putem /proc/net/route i vraća ga kroz modul GETLOCALIP. U ovoj varijanti promatrana je ista operacija dobivanja, ali ne postoji GETLOCALIP modul i nema referenci.

Nabavite lokalni IP

Vrijedno je napomenuti da ne postoji originalna verzija modula SCANNER koji se koristi za uništavanje SSH-a (luka 22) u ovoj vrsti uzorka, i nema drugih varijanti koje ugrađuju više "aplikacije/uređaj" ranjivosti za širenje kroz Payload. Može se vidjeti da napadač dijeli modul propagacije u neovisne programe, a nakon uspješne prijave na host-žrtvu, on će preuzeti uzorak komunikacije za sljedeću fazu izvršavanjem shellcodea, to je, uzorak za analizu.

Izvršite primjer shellcodea

Za primjer uzeti uzorke dobivene iz istog izvora, napadač je skinuo informacije o otklanjanju pogrešaka za većinu uzoraka, osim nekolicine, kao npr: x86.