E-mail: anwenqq2690502116@gmail.com
Cél a tárgyak internete, új változata a "Gaffyt" Megjelenik a trójai
Mostanában, A Huorong Security Lab vírusbehatolási incidenst fedezett fel, amelyről vizsgálat és elemzés után bebizonyosodott, hogy a Gafgyt trójai vírus új változata.
A Gafgyt egy IoT botnet program, amely az IRC protokollon alapul, amely főként Linux alapúakat fertőz meg IoT eszközök elosztott szolgáltatásmegtagadási támadások indítására (DDoS). Ez a legnagyobb aktív IoT botnet család a Mirai családon kívül.
Miután a forráskódot kiszivárogtatták és feltöltötték a GitHubba 2015, a különféle változatok és kihasználások egymás után jelentek meg, nagyobb biztonsági fenyegetést jelent a felhasználók számára. Jelenleg, A Huorong biztonsági termékei képesek elkapni és megölni a fent említett vírusokat. A vállalati felhasználókat arra kérik, hogy a védekezés érdekében időben frissítsék a vírusadatbázist.
1. Mintaelemzés
A vírus először átnevezi saját folyamatát erre "/usr/sbin/dropbear" vagy "sshd" hogy elrejtse magát:
folyamat átnevezése
Közöttük, a titkosított karakterlánc megtalálható, a visszafejtési algoritmus pedig a 0xDEDEFFBA XOR bájtja. Amikor használják, csak a használtakat dekódolják egyenként, de csak 4 ténylegesen hivatkoznak rájuk:
Titkosított karakterlánc és visszafejtő algoritmus
Az első hivatkozás csak a megfelelő karakterlánc megjelenítésére szolgál a képernyőn, a középső két hivatkozás pedig a watchdog folyamat műveletei, amelyek elkerülik az irányítás elvesztését az eszköz újraindítása miatt:
visszafejteni és idézni
A többi műveletet hurokban hajtják végre, beleértve a C2 kapcsolat inicializálását (94.156.161.21:671), a platform eszköztípusának elküldése, a return parancs fogadása és a megfelelő modulművelet végrehajtása. És összehasonlítva a Gafgy által kiszivárogtatott forráskóddal, a parancs formátuma és feldolgozása nem sokat változott, és a parancs formátuma továbbra is "!*Parancs [Paraméter]"
hurokműveleti kód
A processCmd függvényben, összesen 14 parancsokra reagál, és megfelelő DDOS támadások indulnak, beleértve: "HTTP", "CUDP kiterjesztés", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "KARÁCSONY", "CVSE", "MINDEN", "CNC", "NIGGA"
parancs képernyőképe - IoT biztonság
Közöttük, a CUDP, UDP, JSC, és a TCP modulok mind véletlenszerű karakterláncokat tudnak küldeni a megadott IP-címre és portra, és képes rekonstruálni a TCP- és UDP-csomagokat saját készítésű IP-fejlécekkel, hogy elrejtse a forrás IP-címét.
üzenetszerkezet
A C előtag a szokás rövidítése. Példaként CUDP és UDP, a Gafgyt eredeti verziójában, a kiadott parancs paraméterei közé tartozik: ip, kikötő, idő, hamisított, csomagméret, pollinterval és egyéb mezőértékek és jelzőbitek UDP-csomagok felépítéséhez. Ebben a mintában, azonban, a megfigyelt eredmények azt mutatják, hogy ezeknek a paramétereknek a különböző fokú korlátozások alkalmazása, amelyek növelhetik a DDOS támadások bizonyos típusainak rugalmasságát.
A CUDP és az UDP összehasonlítása
Más modulok funkciói közé tartozik nagyszámú User-Agent karakterlánc hozzáadása, amelyek HTTP-parancsok indítására szolgálnak CC-támadásokhoz:
CC támadás
A Valve Source Engine szerverei elleni támadásokhoz tartozik: ("Forrásmotor" lekérdezések az ügyfelek közötti napi kommunikáció részét képezik és játékszerverek a Valve szoftverprotokoll használatával)
Támadások a játékipar ellen
Beleértve a CNC-parancsokat, amelyek átkapcsolhatják a kapcsolat IP-címét:
kapcsoló csatlakozási IP
Tartalmazza a SYN és ACK támadásokat:
SYN és ACK támadások
Beleértve az UDP STD árvízi támadásokat:
STD támadás
Beleértve az XMAS támadást: (vagyis, Karácsonyfa támadás, a TCP összes jelzőbitjének beállításával 1, így a célrendszer több válaszfeldolgozási erőforrását emészti fel)
XMAS támadás
A NIGGA modul egyenértékű az eredeti verzió KILLATTK parancsával, amely leállítja a DoSS támadásokat azáltal, hogy megöli az összes gyermekfolyamatot, kivéve a fő folyamatot
NIGGA modul
Összehasonlító elemzés
A processCmd függvény, amely a fő logikát tárolja a forráskódban, tartalmazza a PING-et, GETLOCALIP, SCANNER, EMAIL, JUNK, UDP, TCP, TART, KILLATTK, és LOLNOGTFO modulok. Csak az UDP és a TCP modulok egyszerűsített változatai léteznek együtt az ezúttal rögzített változat-exploitban. .
És a helyi IP megszerzésének műveletében, az eredeti verzió a /proc/net/route keresztül szerzi meg a helyi IP-címet, és a GETLOCALIP modulon keresztül adja vissza. Ugyanez a get művelet figyelhető meg ebben a változatban, de nincs GETLOCALIP modul és nem figyelhető meg hivatkozás.
Szerezze be a helyi IP-t
Érdemes megjegyezni, hogy az SSH felrobbantására használt SCANNER modulnak nincs eredeti verziója (kikötő 22) ebben a mintatípusban, és nincsenek más változatok, amelyek többszöröseket is beágyaznak "alkalmazások/eszköz" a sebezhetőségek a Payloadon keresztül terjedhetnek. Látható, hogy a támadó a terjedési modult független programokra bontja, és miután sikeresen bejelentkezett az áldozat házigazdába, letölti a kommunikációs mintát a következő szakaszhoz a shellkód végrehajtásával, vagyis, az elemzési minta.
Shellcode példa végrehajtása
Példaként vesszük az ugyanabból a forrásból nyert mintákat, a támadó a legtöbb mintánál megfosztotta a hibakeresési információkat, néhány kivételével, mint például: x86.