E-mail: anwenqq2690502116@gmail.com
Ciljanje na Internet stvari, nova varijanta "Gaffyt" Pojavljuje se Trojan
Nedavno, Huorong Security Lab otkrio je incident upada virusa, za koji je nakon istrage i analize potvrđeno da je nova varijanta trojanskog virusa Gafgyt.
Gafgyt je IoT botnet program temeljen na IRC protokolu, koji uglavnom inficira temeljen na Linuxu IoT uređaji za pokretanje distribuiranih napada uskraćivanjem usluge (DDoS). To je najveća aktivna obitelj IoT botneta osim obitelji Mirai.
Nakon što je njegov izvorni kod procurio i prenesen na GitHub u 2015, razne varijante i podvigi pojavljivali su se jedan za drugim, predstavlja veću sigurnosnu prijetnju korisnicima. Trenutno, Huorong sigurnosni proizvodi mogu presresti i uništiti gore navedene viruse. Od poslovnih korisnika se traži da ažuriraju bazu podataka o virusima na vrijeme za obranu.
1. Analiza uzorka
Virus prvo preimenuje vlastiti proces u "/usr/sbin/dropbear" ili "sshd" da se sakrije:
preimenovati proces
Među njima, šifrirani niz je pronađen, a algoritam za dešifriranje je bajt XOR od 0xDEDEFFBA. Kada se koristi, samo se korišteni pojedinačno dešifriraju, ali samo 4 zapravo se navode:
Šifrirani niz i algoritam za dešifriranje
Prva referenca služi samo za ispisivanje odgovarajućeg niza na ekran, a srednje dvije reference su operacije nadzornog procesa kako bi se izbjegao gubitak kontrole zbog ponovnog pokretanja uređaja:
dešifrirati i citirati
Preostale operacije se izvode u petlji, uključujući inicijalizaciju C2 veze (94.156.161.21:671), slanje vrste uređaja platforme, primanje povratne naredbe i izvršavanje odgovarajuće operacije modula. I u usporedbi s izvornim kodom koji je procurio Gafgy, format i obrada naredbe nisu se mnogo promijenili, a format naredbe je i dalje "!*Naredba [Parametar]"
kod operacije petlje
U funkciji processCmd, ukupno 14 na naredbe se reagira i pokreću se odgovarajući DDOS napadi, uključujući: "HTTP", "CUDP proširenje", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "BOŽIĆ", "BOŽIĆ", "CVSE", "SVE", "CNC", "CRNJU"
snimka zaslona naredbe - IoT sigurnost
Među njima, CUDP, UDP, JSC, i TCP moduli mogu poslati nasumične nizove na specificirani IP i port, i može rekonstruirati TCP i UDP pakete samoizgrađenim IP zaglavljima kako bi sakrili izvornu IP adresu.
struktura poruke
Pretpostavlja se da je prefiks C skraćenica od custom. Uzimajući CUDP i UDP kao primjere, u izvornoj verziji Gafgyta, parametri u izdanoj naredbi uključuju: ip, luka, vrijeme, lažiran, veličina paketa, pollinterval i druge vrijednosti polja i bitovi zastavice Za konstrukciju UDP paketa. U ovom uzorku, međutim, promatrani rezultati pokazuju da je primjena ovih parametara na različite stupnjeve ograničenja, što može poboljšati fleksibilnost specifičnih vrsta DDOS napada.
Usporedba CUDP i UDP
Funkcije drugih modula uključuju dodavanje velikog broja nizova korisničkih agenata, koji se koriste za pokretanje HTTP naredbi za CC napade:
CC napad
Uključeno za napade na poslužitelje Valve Source Engine: ("Izvorni motor" upiti su dio svakodnevne komunikacije između klijenata i poslužitelji igara koristeći Valve softverski protokol)
Napadi na industriju igara
Uključujući CNC naredbe koje mogu promijeniti IP veze:
IP veze prekidača
Uključuje SYN i ACK napade:
SYN i ACK napadi
Uključujući UDP STD flood napade:
STD napad
Uključujući XMAS napad: (to je, Napad na božićno drvce, postavljanjem svih bitova zastavice TCP-a na 1, čime se troši više resursa obrade odgovora ciljnog sustava)
Božićni napad
Modul NIGGA ekvivalentan je naredbi KILLATTK u izvornoj verziji, koji zaustavlja DoSS napade ubijanjem svih podređenih procesa osim glavnog procesa
NIGGA modul
Komparativna analiza
Funkcija processCmd koja pohranjuje glavnu logiku u izvornom kodu uključuje PING, GETLOCALIP, SKENER, EMAIL, STARUDIJA, UDP, TCP, DRŽI, KILLATTK, i LOLNOGTFO modula. Samo pojednostavljene verzije UDP i TCP modula koegzistiraju u varijanti iskorištavanja koja je ovaj put snimljena. .
I u operaciji dobivanja lokalnog IP-a, izvorna verzija dobiva lokalni IP putem /proc/net/route i vraća ga kroz modul GETLOCALIP. U ovoj varijanti promatrana je ista operacija dobivanja, ali ne postoji GETLOCALIP modul i nema referenci.
Nabavite lokalni IP
Vrijedno je napomenuti da ne postoji originalna verzija modula SCANNER koji se koristi za uništavanje SSH-a (luka 22) u ovoj vrsti uzorka, i nema drugih varijanti koje ugrađuju više "aplikacije/uređaj" ranjivosti za širenje kroz Payload. Može se vidjeti da napadač dijeli modul propagacije u neovisne programe, a nakon uspješne prijave na host-žrtvu, on će preuzeti uzorak komunikacije za sljedeću fazu izvršavanjem shellcodea, to je, uzorak za analizu.
Izvršite primjer shellcodea
Za primjer uzeti uzorke dobivene iz istog izvora, napadač je skinuo informacije o otklanjanju pogrešaka za većinu uzoraka, osim nekolicine, kao npr: x86.