E-mail: anwenqq2690502116@gmail.com

Tinder észlelése és megölése

Cél a tárgyak internete, új változata a "Gaffyt" Megjelenik a trójai

Cél a tárgyak internete, új változata a "Gaffyt" Megjelenik a trójai. Mostanában, A Huorong Security Lab vírusbehatolási incidenst fedezett fel, amelyről vizsgálat és elemzés után bebizonyosodott, hogy a Gafgyt trójai vírus új változata.

Cél a tárgyak internete, új változata a "Gaffyt" Megjelenik a trójai

Mostanában, A Huorong Security Lab vírusbehatolási incidenst fedezett fel, amelyről vizsgálat és elemzés után bebizonyosodott, hogy a Gafgyt trójai vírus új változata.

A Gafgyt egy IoT botnet program, amely az IRC protokollon alapul, amely főként Linux alapúakat fertőz meg IoT eszközök elosztott szolgáltatásmegtagadási támadások indítására (DDoS). Ez a legnagyobb aktív IoT botnet család a Mirai családon kívül.

Miután a forráskódot kiszivárogtatták és feltöltötték a GitHubba 2015, a különféle változatok és kihasználások egymás után jelentek meg, nagyobb biztonsági fenyegetést jelent a felhasználók számára. Jelenleg, A Huorong biztonsági termékei képesek elkapni és megölni a fent említett vírusokat. A vállalati felhasználókat arra kérik, hogy a védekezés érdekében időben frissítsék a vírusadatbázist.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. Mintaelemzés
A vírus először átnevezi saját folyamatát erre "/usr/sbin/dropbear" vagy "sshd" hogy elrejtse magát:

process rename
folyamat átnevezése

Közöttük, a titkosított karakterlánc megtalálható, a visszafejtési algoritmus pedig a 0xDEDEFFBA XOR bájtja. Amikor használják, csak a használtakat dekódolják egyenként, de csak 4 ténylegesen hivatkoznak rájuk:

Encrypted string and decryption algorithm
Titkosított karakterlánc és visszafejtő algoritmus

 

Az első hivatkozás csak a megfelelő karakterlánc megjelenítésére szolgál a képernyőn, a középső két hivatkozás pedig a watchdog folyamat műveletei, amelyek elkerülik az irányítás elvesztését az eszköz újraindítása miatt:

decrypt and quote

visszafejteni és idézni

 

A többi műveletet hurokban hajtják végre, beleértve a C2 kapcsolat inicializálását (94.156.161.21:671), a platform eszköztípusának elküldése, a return parancs fogadása és a megfelelő modulművelet végrehajtása. És összehasonlítva a Gafgy által kiszivárogtatott forráskóddal, a parancs formátuma és feldolgozása nem sokat változott, és a parancs formátuma továbbra is "!*Parancs [Paraméter]"

loop operation code

hurokműveleti kód

 

A processCmd függvényben, összesen 14 parancsokra reagál, és megfelelő DDOS támadások indulnak, beleértve: "HTTP", "CUDP kiterjesztés", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "KARÁCSONY", "CVSE", "MINDEN", "CNC", "NIGGA"

command screenshot - IoT security
parancs képernyőképe - IoT biztonság

 

Közöttük, a CUDP, UDP, JSC, és a TCP modulok mind véletlenszerű karakterláncokat tudnak küldeni a megadott IP-címre és portra, és képes rekonstruálni a TCP- és UDP-csomagokat saját készítésű IP-fejlécekkel, hogy elrejtse a forrás IP-címét.

 

message structure
üzenetszerkezet

 

A C előtag a szokás rövidítése. Példaként CUDP és UDP, a Gafgyt eredeti verziójában, a kiadott parancs paraméterei közé tartozik: ip, kikötő, idő, hamisított, csomagméret, pollinterval és egyéb mezőértékek és jelzőbitek UDP-csomagok felépítéséhez. Ebben a mintában, azonban, a megfigyelt eredmények azt mutatják, hogy ezeknek a paramétereknek a különböző fokú korlátozások alkalmazása, amelyek növelhetik a DDOS támadások bizonyos típusainak rugalmasságát.

A CUDP és az UDP összehasonlítása

Más modulok funkciói közé tartozik nagyszámú User-Agent karakterlánc hozzáadása, amelyek HTTP-parancsok indítására szolgálnak CC-támadásokhoz:

CC támadás

A Valve Source Engine szerverei elleni támadásokhoz tartozik: ("Forrásmotor" lekérdezések az ügyfelek közötti napi kommunikáció részét képezik és játékszerverek a Valve szoftverprotokoll használatával)

Támadások a játékipar ellen

Beleértve a CNC-parancsokat, amelyek átkapcsolhatják a kapcsolat IP-címét:

kapcsoló csatlakozási IP

Tartalmazza a SYN és ACK támadásokat:

SYN és ACK támadások

Beleértve az UDP STD árvízi támadásokat:

STD támadás

Beleértve az XMAS támadást: (vagyis, Karácsonyfa támadás, a TCP összes jelzőbitjének beállításával 1, így a célrendszer több válaszfeldolgozási erőforrását emészti fel)

XMAS támadás

A NIGGA modul egyenértékű az eredeti verzió KILLATTK parancsával, amely leállítja a DoSS támadásokat azáltal, hogy megöli az összes gyermekfolyamatot, kivéve a fő folyamatot

NIGGA modul

Összehasonlító elemzés
A processCmd függvény, amely a fő logikát tárolja a forráskódban, tartalmazza a PING-et, GETLOCALIP, SCANNER, EMAIL, JUNK, UDP, TCP, TART, KILLATTK, és LOLNOGTFO modulok. Csak az UDP és a TCP modulok egyszerűsített változatai léteznek együtt az ezúttal rögzített változat-exploitban. .

És a helyi IP megszerzésének műveletében, az eredeti verzió a /proc/net/route keresztül szerzi meg a helyi IP-címet, és a GETLOCALIP modulon keresztül adja vissza. Ugyanez a get művelet figyelhető meg ebben a változatban, de nincs GETLOCALIP modul és nem figyelhető meg hivatkozás.

Szerezze be a helyi IP-t

Érdemes megjegyezni, hogy az SSH felrobbantására használt SCANNER modulnak nincs eredeti verziója (kikötő 22) ebben a mintatípusban, és nincsenek más változatok, amelyek többszöröseket is beágyaznak "alkalmazások/eszköz" a sebezhetőségek a Payloadon keresztül terjedhetnek. Látható, hogy a támadó a terjedési modult független programokra bontja, és miután sikeresen bejelentkezett az áldozat házigazdába, letölti a kommunikációs mintát a következő szakaszhoz a shellkód végrehajtásával, vagyis, az elemzési minta.

Shellcode példa végrehajtása

Példaként vesszük az ugyanabból a forrásból nyert mintákat, a támadó a legtöbb mintánál megfosztotta a hibakeresési információkat, néhány kivételével, mint például: x86.

Oszd meg szeretetedet

Kapcsolódó hozzászólások

Válaszolj

Az e-mail címed nem kerül nyilvánosságra. A kötelező mezők meg vannak jelölve *