Vize sou Entènèt bagay sa yo, yon nouvo variant de la "Gaffyt" Trojan parèt
Dènyèman, Laboratwa Sekirite Huorong dekouvri yon ensidan entrizyon viris, ki te konfime yo dwe yon nouvo Variant nan viris la Trojan Gafgyt apre ankèt ak analiz.
Gafgyt se yon pwogram botne IoT ki baze sou pwotokòl IRC, ki sitou enfekte ki baze sou Linux Aparèy IoT pou lanse atak refi distribiye sèvis yo (DDoS). Li se pi gwo fanmi botne IoT aktif ki pa fanmi Mirai.
Apre kòd sous li yo te koule ak Uploaded GitHub nan 2015, divès kalite ak eksplwatasyon parèt youn apre lòt, poze yon pi gwo menas sekirite pou itilizatè yo. Kounye a, Pwodwi sekirite Huorong ka entèsepte ak touye viris yo mansyone pi wo a. Yo mande itilizatè antrepriz yo mete ajou baz done viris la alè pou defans.
1. Analiz echantiyon
Viris la premye chanje non pwòp pwosesis li yo "/usr/sbin/dropbear" oswa "sshd" pou kache tèt li:
pwosesis chanje non
Pami yo, yo jwenn fisèl la chiffres, ak algorithm dechifre la se byte XOR nan 0xDEDEFFBA. Lè yo itilize, se sèlman sa yo itilize yo dechifre endividyèlman, men sèlman 4 yo aktyèlman referans:
Chide kòd ak algorithm dechifre
Premye referans a se sèlman nan pwodiksyon fisèl ki koresponn lan sou ekran an, ak mitan de referans yo se operasyon sou pwosesis veye pou evite pèdi kontwòl akòz rekòmanse aparèy:
dechifre ak site
Operasyon ki rete yo fèt nan yon bouk, ki gen ladan inisyalize koneksyon C2 la (94.156.161.21:671), voye kalite aparèy platfòm la, resevwa kòmandman an retounen ak egzekite operasyon modil korespondan an. Ak konpare ak kòd sous la fwit pa Gafgy, fòma ak pwosesis kòmandman an pa chanje anpil, ak fòma kòmandman an toujou "!*Kòmandman [Paramèt]"
kòd operasyon bouk
Nan fonksyon processCmd, yon total de 14 yo reponn kòmandman yo epi yo lanse atak DDOS korespondan yo, ki gen ladan: "HTTP", "ekstansyon CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "ksma", "CVSE", "TOUT BAGAY", "CNC", "NIGGA"
Ekran kòmand - IoT sekirite
Pami yo, CUDP la, UDP, JSC, ak modil TCP ka tout voye fisèl o aza nan IP espesifye ak pò, epi yo ka rekonstwi pake TCP ak UDP pa tèt-konstwi tèt IP yo kache adrès IP sous la..
estrikti mesaj la
Prefiks C a devine yo dwe abrevyasyon nan koutim. Pran CUDP ak UDP kòm egzanp, nan vèsyon orijinal la nan Gafgyt, paramèt yo nan lòd la bay yo enkli: ip, pò, tan, twonpe, gwosè pake, pollinterval ak lòt valè jaden ak drapo Bits Pou konstriksyon an nan pake UDP. Nan echantiyon sa a, sepandan, rezilta yo obsève montre ke li se aplikasyon an nan paramèt sa yo nan diferan degre nan restriksyon, ki ka amelyore fleksibilite nan kalite espesifik nan atak DDOS.
Konparezon CUDP ak UDP
Fonksyon lòt modil yo enkli ajoute yon gwo kantite kòd itilizatè-ajan, ki itilize pou lanse kòmandman HTTP pou atak CC:
CC atak
Enkli pou atak kont serveurs Sous Engine Valve a: ("Sous motè" demann yo fè pati kominikasyon an chak jou ant kliyan ak sèvè jwèt lè l sèvi avèk pwotokòl lojisyèl Valv la)
Atak kont endistri a Gaming
Ki gen ladan kòmandman CNC ki ka chanje IP koneksyon:
switch koneksyon IP
Gen ladann atak SYN ak ACK:
SYN ak ACK atak
Ki gen ladan UDP STD atak inondasyon:
Atak STD
Ki gen ladan atak XMAS: (sa vle di, Atak pye bwa Nwèl la, pa mete tout drapo TCP yo 1, konsa konsome plis resous pwosesis repons nan sistèm sib la)
atak ksma
Modil NIGGA a ekivalan a lòd KILLATTK nan vèsyon orijinal la, ki sispann atak DoSS nan touye tout pwosesis timoun eksepte pwosesis prensipal la
NIGGA modil
Analiz konparatif
Fonksyon processCmd ki estoke lojik prensipal la nan kòd sous la gen ladan PING, GETLOCALIP, ESKANÈ, EMAIL, tenten, UDP, TCP, KENBE, KILLATTK, ak modil LOLNOGTFO. Se sèlman vèsyon senplifye nan UDP ak TCP modil coexist nan esplwate a Variant kaptire fwa sa a. .
Ak nan operasyon an pou jwenn IP lokal la, vèsyon orijinal la jwenn IP lokal la atravè /proc/net/route epi retounen li atravè modil GETLOCALIP la.. Se menm operasyon an obsève nan Variant sa a, men pa gen okenn modil GETLOCALIP e pa gen okenn referans yo obsève.
Jwenn IP lokal yo
Li se vo anyen ke pa gen okenn vèsyon orijinal nan modil la SCANNER itilize eksplozyon SSH (pò 22) nan kalite echantiyon sa a, epi pa gen okenn lòt varyant ki entegre miltip "aplikasyon/aparèy" frajilite yo gaye atravè Payload. Li ka wè ke atakè a divize modil pwopagasyon an nan pwogram endepandan, epi apre ou fin konekte avèk siksè nan lame viktim nan, li pral telechaje echantiyon kominikasyon an pou pwochen etap la pa egzekite shellcode la, sa vle di, echantiyon analiz la.
Egzekite egzanp shellcode
Pran echantiyon yo jwenn nan menm sous la kòm yon egzanp, atakè a retire enfòmasyon debogaj la pou pifò echantiyon yo, eksepte pou kèk, tankou: x86.