Surel: anwenqq2690502116@gmail.com
Menargetkan Internet of Things, varian baru dari "Gaffyt" Trojan muncul
Baru-baru ini, Lab Keamanan Huorong menemukan insiden intrusi virus, yang dipastikan merupakan varian baru dari virus Trojan Gafgyt setelah diselidiki dan dianalisis.
Gafgyt adalah program botnet IoT berdasarkan protokol IRC, yang terutama menginfeksi berbasis Linux perangkat IoT untuk meluncurkan serangan penolakan layanan terdistribusi (DDoS). Ini adalah keluarga botnet IoT aktif terbesar selain keluarga Mirai.
Setelah kode sumbernya bocor dan diunggah ke GitHub di 2015, berbagai varian dan eksploitasi bermunculan silih berganti, menimbulkan ancaman keamanan yang lebih besar bagi pengguna. Saat sekarang, Produk keamanan Huorong dapat mencegat dan membunuh virus yang disebutkan di atas. Pengguna perusahaan diminta memperbarui basis data virus tepat waktu untuk pertahanan.
1. Analisis sampel
Virus pertama-tama mengganti nama prosesnya sendiri menjadi "/usr/sbin/dropbear" atau "sshd" untuk menyembunyikan dirinya sendiri:
proses ganti nama
Diantara mereka, string terenkripsi ditemukan, dan algoritma dekripsinya adalah byte XOR dari 0xDEDEFFBA. Saat digunakan, hanya yang bekas yang didekripsi satu per satu, tapi hanya 4 sebenarnya direferensikan:
String terenkripsi dan algoritma dekripsi
Referensi pertama hanya menampilkan string yang sesuai ke layar, dan dua referensi tengah adalah operasi pada proses pengawas untuk menghindari kehilangan kendali karena perangkat dihidupkan ulang:
mendekripsi dan mengutip
Operasi lainnya dilakukan dalam satu lingkaran, termasuk menginisialisasi koneksi C2 (94.156.161.21:671), mengirimkan jenis perangkat platform, menerima perintah return dan menjalankan operasi modul yang sesuai. Dan dibandingkan dengan source code yang dibocorkan oleh Gafgy, format dan pemrosesan perintah tidak banyak berubah, dan format perintahnya masih "!*Memerintah [Parameter]"
kode operasi loop
Dalam fungsi processCmd, total dari 14 perintah ditanggapi dan serangan DDOS terkait diluncurkan, termasuk: "HTTP", "ekstensi CUDP", "UDP", "PMS", "JSC", "TCP", "SIN" , "ACK", "CXMAS", "Natal", "CVSE", "SEMUANYA", "CNC", "NIGGA"
tangkapan layar perintah - Keamanan IoT
Diantara mereka, CUDP, UDP, JSC, dan modul TCP semuanya dapat mengirim string acak ke IP dan port yang ditentukan, dan dapat merekonstruksi paket TCP dan UDP dengan header IP yang dibuat sendiri untuk menyembunyikan alamat IP sumber.
struktur pesan
Awalan C diduga merupakan singkatan dari custom. Mengambil CUDP dan UDP sebagai contoh, dalam versi asli Gafgyt, parameter dalam perintah yang dikeluarkan termasuk: aku p, pelabuhan, waktu, dipalsukan, ukuran paket, pollinterval dan nilai bidang lainnya serta bit bendera Untuk pembuatan paket UDP. Dalam sampel ini, Namun, hasil yang diamati menunjukkan bahwa penerapan parameter-parameter ini pada tingkat pembatasan yang berbeda-beda, yang dapat meningkatkan fleksibilitas jenis serangan DDOS tertentu.
Perbandingan CUDP dan UDP
Fungsi modul lainnya termasuk menambahkan string Agen-Pengguna dalam jumlah besar, yang digunakan untuk meluncurkan perintah HTTP untuk serangan CC:
serangan CC
Termasuk untuk serangan terhadap server Source Engine Valve: ("Mesin Sumber" pertanyaan adalah bagian dari komunikasi sehari-hari antara klien dan server permainan menggunakan protokol perangkat lunak Valve)
Serangan terhadap industri game
Termasuk perintah CNC yang dapat mengalihkan IP koneksi:
beralih IP koneksi
Termasuk serangan SYN dan ACK:
Serangan SYN dan ACK
Termasuk serangan banjir UDP STD:
serangan PMS
Termasuk serangan XMAS: (itu adalah, Serangan pohon Natal, dengan mengatur semua bit flag TCP ke 1, sehingga menghabiskan lebih banyak sumber daya pemrosesan respons dari sistem target)
serangan Natal
Modul NIGGA setara dengan perintah KILLATTK di versi aslinya, yang menghentikan serangan DoSS dengan mematikan semua proses anak kecuali proses utama
Modul NIGGA
Analisis perbandingan
Fungsi processCmd yang menyimpan logika utama dalam kode sumber mencakup PING, GETLOCALIP, PEMINDAI, SUREL, SAMPAH, UDP, TCP, MEMEGANG, MEMBUNUH, dan modul LOLNOGTFO. Hanya versi sederhana dari modul UDP dan TCP yang hidup berdampingan dalam varian eksploitasi yang ditangkap kali ini. .
Dan dalam operasi mendapatkan IP lokal, versi asli memperoleh IP lokal melalui /proc/net/route dan mengembalikannya melalui modul GETLOCALIP. Operasi get yang sama juga diamati pada varian ini, tetapi tidak ada modul GETLOCALIP dan tidak ada referensi yang diamati.
Dapatkan IP lokal
Perlu dicatat bahwa tidak ada versi asli modul SCANNER yang digunakan untuk meledakkan SSH (pelabuhan 22) dalam sampel jenis ini, dan belum ada varian lain yang menyematkan banyak "aplikasi/perangkat" kerentanan untuk menyebar melalui Payload. Terlihat bahwa penyerang membagi modul propagasi menjadi program independen, dan setelah berhasil login ke host korban, dia akan mengunduh sampel komunikasi untuk tahap selanjutnya dengan mengeksekusi shellcode, itu adalah, sampel analisisnya.
Jalankan contoh kode shell
Mengambil sampel yang diperoleh dari sumber yang sama sebagai contoh, penyerang menghapus informasi debug untuk sebagian besar sampel, kecuali beberapa, seperti: x86.