Էլ: anwenqq2690502116@gmail.com

Թինդերի հայտնաբերում և սպանություն

Նպատակ ունենալով իրերի ինտերնետին, -ի նոր տարբերակ "Գաֆֆիթ" Հայտնվում է Trojan

Նպատակ ունենալով իրերի ինտերնետին, -ի նոր տարբերակ "Գաֆֆիթ" Հայտնվում է Trojan. Վերջերս, Huorong Security Lab-ը հայտնաբերել է վիրուսի ներխուժման միջադեպ, որը հետաքննությունից և վերլուծությունից հետո հաստատվեց որպես Gafgyt Trojan վիրուսի նոր տարբերակ.

Նպատակ ունենալով իրերի ինտերնետին, -ի նոր տարբերակ "Գաֆֆիթ" Հայտնվում է Trojan

Վերջերս, Huorong Security Lab-ը հայտնաբերել է վիրուսի ներխուժման միջադեպ, որը հետաքննությունից և վերլուծությունից հետո հաստատվեց որպես Gafgyt Trojan վիրուսի նոր տարբերակ.

Gafgyt-ը IoT botnet ծրագիր է, որը հիմնված է IRC արձանագրության վրա, որը հիմնականում վարակում է Linux-ի վրա հիմնված IoT սարքեր գործարկել ծառայության հերքման բաշխված հարձակումները (DDoS). Սա IoT բոտնետների ամենամեծ ակտիվ ընտանիքն է, բացի Mirai ընտանիքից.

Այն բանից հետո, երբ դրա սկզբնական կոդը արտահոսեց և վերբեռնվեց GitHub-ում 2015, մեկը մյուսի հետևից ի հայտ եկան զանազան տարբերակներ և սխրագործություններ, օգտատերերի համար անվտանգության ավելի մեծ վտանգ ներկայացնելը. Ներկայումս, Huorong անվտանգության արտադրանքները կարող են կալանել և սպանել վերը նշված վիրուսները. Ձեռնարկությունների օգտատերերին խնդրում ենք ժամանակին թարմացնել վիրուսների տվյալների բազան պաշտպանվելու համար.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. Նմուշի վերլուծություն
Վիրուսը սկզբում վերանվանում է իր սեփական գործընթացը "/usr/sbin/dropbear" կամ "sshd" իրեն թաքցնել:

process rename
գործընթացի վերանվանումը

Նրանց մեջ, գաղտնագրված տողը գտնվել է, իսկ վերծանման ալգորիթմը 0xDEDEFFBA-ի XOR բայթն է. Երբ օգտագործվում է, միայն օգտագործվածներն են առանձին վերծանվում, բայց միայն 4 իրականում հիշատակվում են:

Encrypted string and decryption algorithm
Կոդավորված տողերի և վերծանման ալգորիթմ

 

Առաջին հղումը միայն համապատասխան տողը էկրանին դուրս բերելն է, իսկ միջին երկու հղումները հսկողության գործընթացի գործողություններ են՝ սարքի վերագործարկման պատճառով վերահսկողությունը կորցնելու համար:

decrypt and quote

վերծանել և մեջբերում անել

 

Մնացած գործողությունները կատարվում են հանգույցով, ներառյալ C2 կապի սկզբնավորումը (94.156.161.21:671), ուղարկելով հարթակի սարքի տեսակը, ստանալով վերադարձի հրամանը և կատարել համապատասխան մոդուլի գործողությունը. Եվ համեմատած Gafgy-ի կողմից արտահոսած սկզբնաղբյուրի հետ, հրամանի ձևաչափն ու մշակումը շատ չեն փոխվել, իսկ հրամանի ձևաչափը դեռ մնում է "!*Հրաման [Պարամետր]"

loop operation code

հանգույցի շահագործման կոդը

 

ProcessCmd ֆունկցիայի մեջ, ընդհանուրը 14 հրամաններին արձագանքում են և գործարկվում են համապատասխան DDOS հարձակումներ, այդ թվում: "HTTP", "CUDP երկարացում", "UDP", "ՍՃՓՀ", "ԲԲԸ", "TCP", "SYN" , "ACK", "Սուրբ Ծնունդ", "ԾՆՈՒՆԴ", "CVSE", "ԱՄԵՆ ԻՆՉ", "CNC", "ՆԻԳԳԱ"

command screenshot - IoT security
հրամանի սքրինշոթ - IoT անվտանգություն

 

Նրանց մեջ, CUDP, UDP, ԲԲԸ, և TCP մոդուլները կարող են բոլորը պատահական տողեր ուղարկել նշված IP-ին և պորտին, և կարող է վերականգնել TCP և UDP փաթեթները ինքնուրույն կառուցված IP վերնագրերի միջոցով՝ աղբյուրի IP հասցեն թաքցնելու համար.

 

message structure
հաղորդագրությունների կառուցվածքը

 

Ենթադրվում է, որ C նախածանցը սովորույթի հապավումն է. Որպես օրինակ վերցնելով CUDP և UDP, Gafgyt-ի օրիգինալ տարբերակում, թողարկված հրամանի պարամետրերը ներառում են: ip, նավահանգիստ, ժամանակ, կեղծված, փաթեթների չափը, pollinterval և դաշտի այլ արժեքներ և դրոշի բիթեր UDP փաթեթների կառուցման համար. Այս նմուշում, սակայն, Դիտարկված արդյունքները ցույց են տալիս, որ դա այս պարամետրերի կիրառումն է տարբեր աստիճանի սահմանափակման, որը կարող է բարձրացնել DDOS-ի հատուկ տեսակի գրոհների ճկունությունը.

CUDP-ի և UDP-ի համեմատությունը

Այլ մոդուլների գործառույթները ներառում են մեծ թվով User-Agent տողերի ավելացում, որոնք օգտագործվում են CC հարձակումների համար HTTP հրամաններ գործարկելու համար:

ՍԴ հարձակում

Ներառված է Valve-ի Source Engine սերվերների դեմ հարձակումների համար: ("Աղբյուրի շարժիչ" հարցումները հաճախորդների և հաճախորդների միջև ամենօրյա հաղորդակցության մի մասն են խաղային սերվերներ օգտագործելով Valve ծրագրային արձանագրությունը)

Հարձակումներ խաղային արդյունաբերության դեմ

Ներառյալ CNC հրամանները, որոնք կարող են փոխարկել կապի IP-ն:

անջատիչ միացման IP

Ներառում է SYN և ACK հարձակումները:

SYN և ACK հարձակումներ

Ներառյալ UDP STD ջրհեղեղների հարձակումները:

STD հարձակում

Ներառյալ XMAS հարձակումը: (այն է, Տոնածառի հարձակումը, TCP-ի բոլոր դրոշի բիթերը դնելով 1, այդպիսով սպառելով թիրախային համակարգի ավելի շատ պատասխանների մշակման ռեսուրսներ)

Սուրբ Ծնունդի հարձակում

NIGGA մոդուլը համարժեք է սկզբնական տարբերակում KILLATTK հրամանին, որը դադարեցնում է DoSS հարձակումները՝ սպանելով բոլոր մանկական գործընթացները, բացառությամբ հիմնական գործընթացի

NIGGA մոդուլ

Համեմատական ​​վերլուծություն
Գործառույթը processCmd, որը պահպանում է հիմնական տրամաբանությունը սկզբնական կոդում, ներառում է PING, ԳԵՏԼՈԿԱԼԻՊ, ՍԿԱՆԵՐ, ՓՈՍՏ, ԹՈՒՆՔ, UDP, TCP, ՊԱՀԵԼ, ԿԻԼԼԱՏՏԿ, և LOLNOGTFO մոդուլները. Միայն UDP և TCP մոդուլների պարզեցված տարբերակները գոյակցում են այս անգամ գրավված տարբերակի շահագործման մեջ. .

Իսկ տեղական IP-ի ստացման օպերացիայի մեջ, բնօրինակ տարբերակը ստանում է տեղական IP-ն /proc/net/route-ի միջոցով և վերադարձնում այն ​​GETLOCALIP մոդուլի միջոցով. Նույն ստացման օպերացիան նկատվում է այս տարբերակում, բայց չկա GETLOCALIP մոդուլ և ոչ մի հղում չի նկատվում.

Ստացեք տեղական IP

Հարկ է նշել, որ չկա SCANNER մոդուլի բնօրինակ տարբերակ, որն օգտագործվում է SSH-ի պայթեցման համար (նավահանգիստ 22) այս տեսակի նմուշում, և չկան այլ տարբերակներ, որոնք ներկառուցում են բազմաթիվ "հավելվածներ/սարք" Payload-ի միջոցով տարածվող խոցելիությունները. Կարելի է տեսնել, որ հարձակվողը բաժանում է տարածման մոդուլը անկախ ծրագրերի, և տուժող հյուրընկալողին հաջողությամբ մուտք գործելուց հետո, նա կներբեռնի կապի նմուշը հաջորդ փուլի համար՝ գործարկելով shellcode-ը, այն է, վերլուծության նմուշը.

Կատարել shellcode օրինակ

Որպես օրինակ վերցնելով նույն աղբյուրից ստացված նմուշները, հարձակվողը հանել է վրիպազերծման տեղեկատվությունը նմուշների մեծ մասի համար, բացառությամբ մի քանիսի, ինչպիսիք են: x86.

Կիսեք ձեր սերը

Առնչվող գրառումներ

Թողնել պատասխան

Ձեր էլփոստի հասցեն չի հրապարակվի. Պարտադիր դաշտերը նշված են *