Surel: anwenqq2690502116@gmail.com

Deteksi dan pembunuhan Tinder

Menargetkan Internet of Things, varian baru dari "Gaffyt" Trojan muncul

Menargetkan Internet of Things, varian baru dari "Gaffyt" Trojan muncul. Baru-baru ini, Lab Keamanan Huorong menemukan insiden intrusi virus, yang dipastikan merupakan varian baru dari virus Trojan Gafgyt setelah diselidiki dan dianalisis.

Menargetkan Internet of Things, varian baru dari "Gaffyt" Trojan muncul

Baru-baru ini, Lab Keamanan Huorong menemukan insiden intrusi virus, yang dipastikan merupakan varian baru dari virus Trojan Gafgyt setelah diselidiki dan dianalisis.

Gafgyt adalah program botnet IoT berdasarkan protokol IRC, yang terutama menginfeksi berbasis Linux perangkat IoT untuk meluncurkan serangan penolakan layanan terdistribusi (DDoS). Ini adalah keluarga botnet IoT aktif terbesar selain keluarga Mirai.

Setelah kode sumbernya bocor dan diunggah ke GitHub di 2015, berbagai varian dan eksploitasi bermunculan silih berganti, menimbulkan ancaman keamanan yang lebih besar bagi pengguna. Saat sekarang, Produk keamanan Huorong dapat mencegat dan membunuh virus yang disebutkan di atas. Pengguna perusahaan diminta memperbarui basis data virus tepat waktu untuk pertahanan.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. Analisis sampel
Virus pertama-tama mengganti nama prosesnya sendiri menjadi "/usr/sbin/dropbear" atau "sshd" untuk menyembunyikan dirinya sendiri:

process rename
proses ganti nama

Diantara mereka, string terenkripsi ditemukan, dan algoritma dekripsinya adalah byte XOR dari 0xDEDEFFBA. Saat digunakan, hanya yang bekas yang didekripsi satu per satu, tapi hanya 4 sebenarnya direferensikan:

Encrypted string and decryption algorithm
String terenkripsi dan algoritma dekripsi

 

Referensi pertama hanya menampilkan string yang sesuai ke layar, dan dua referensi tengah adalah operasi pada proses pengawas untuk menghindari kehilangan kendali karena perangkat dihidupkan ulang:

decrypt and quote

mendekripsi dan mengutip

 

Operasi lainnya dilakukan dalam satu lingkaran, termasuk menginisialisasi koneksi C2 (94.156.161.21:671), mengirimkan jenis perangkat platform, menerima perintah return dan menjalankan operasi modul yang sesuai. Dan dibandingkan dengan source code yang dibocorkan oleh Gafgy, format dan pemrosesan perintah tidak banyak berubah, dan format perintahnya masih "!*Memerintah [Parameter]"

loop operation code

kode operasi loop

 

Dalam fungsi processCmd, total dari 14 perintah ditanggapi dan serangan DDOS terkait diluncurkan, termasuk: "HTTP", "ekstensi CUDP", "UDP", "PMS", "JSC", "TCP", "SIN" , "ACK", "CXMAS", "Natal", "CVSE", "SEMUANYA", "CNC", "NIGGA"

command screenshot - IoT security
tangkapan layar perintah - Keamanan IoT

 

Diantara mereka, CUDP, UDP, JSC, dan modul TCP semuanya dapat mengirim string acak ke IP dan port yang ditentukan, dan dapat merekonstruksi paket TCP dan UDP dengan header IP yang dibuat sendiri untuk menyembunyikan alamat IP sumber.

 

message structure
struktur pesan

 

Awalan C diduga merupakan singkatan dari custom. Mengambil CUDP dan UDP sebagai contoh, dalam versi asli Gafgyt, parameter dalam perintah yang dikeluarkan termasuk: aku p, pelabuhan, waktu, dipalsukan, ukuran paket, pollinterval dan nilai bidang lainnya serta bit bendera Untuk pembuatan paket UDP. Dalam sampel ini, Namun, hasil yang diamati menunjukkan bahwa penerapan parameter-parameter ini pada tingkat pembatasan yang berbeda-beda, yang dapat meningkatkan fleksibilitas jenis serangan DDOS tertentu.

Perbandingan CUDP dan UDP

Fungsi modul lainnya termasuk menambahkan string Agen-Pengguna dalam jumlah besar, yang digunakan untuk meluncurkan perintah HTTP untuk serangan CC:

serangan CC

Termasuk untuk serangan terhadap server Source Engine Valve: ("Mesin Sumber" pertanyaan adalah bagian dari komunikasi sehari-hari antara klien dan server permainan menggunakan protokol perangkat lunak Valve)

Serangan terhadap industri game

Termasuk perintah CNC yang dapat mengalihkan IP koneksi:

beralih IP koneksi

Termasuk serangan SYN dan ACK:

Serangan SYN dan ACK

Termasuk serangan banjir UDP STD:

serangan PMS

Termasuk serangan XMAS: (itu adalah, Serangan pohon Natal, dengan mengatur semua bit flag TCP ke 1, sehingga menghabiskan lebih banyak sumber daya pemrosesan respons dari sistem target)

serangan Natal

Modul NIGGA setara dengan perintah KILLATTK di versi aslinya, yang menghentikan serangan DoSS dengan mematikan semua proses anak kecuali proses utama

Modul NIGGA

Analisis perbandingan
Fungsi processCmd yang menyimpan logika utama dalam kode sumber mencakup PING, GETLOCALIP, PEMINDAI, SUREL, SAMPAH, UDP, TCP, MEMEGANG, MEMBUNUH, dan modul LOLNOGTFO. Hanya versi sederhana dari modul UDP dan TCP yang hidup berdampingan dalam varian eksploitasi yang ditangkap kali ini. .

Dan dalam operasi mendapatkan IP lokal, versi asli memperoleh IP lokal melalui /proc/net/route dan mengembalikannya melalui modul GETLOCALIP. Operasi get yang sama juga diamati pada varian ini, tetapi tidak ada modul GETLOCALIP dan tidak ada referensi yang diamati.

Dapatkan IP lokal

Perlu dicatat bahwa tidak ada versi asli modul SCANNER yang digunakan untuk meledakkan SSH (pelabuhan 22) dalam sampel jenis ini, dan belum ada varian lain yang menyematkan banyak "aplikasi/perangkat" kerentanan untuk menyebar melalui Payload. Terlihat bahwa penyerang membagi modul propagasi menjadi program independen, dan setelah berhasil login ke host korban, dia akan mengunduh sampel komunikasi untuk tahap selanjutnya dengan mengeksekusi shellcode, itu adalah, sampel analisisnya.

Jalankan contoh kode shell

Mengambil sampel yang diperoleh dari sumber yang sama sebagai contoh, penyerang menghapus informasi debug untuk sebagian besar sampel, kecuali beberapa, seperti: x86.

Bagikan cintamu

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai *