Puntare all’Internet delle cose, una nuova variante del "Gafgyt" Appare il trojan

Puntare all’Internet delle cose, una nuova variante del "Gaffyt" Appare il trojan

Puntare all’Internet delle cose, una nuova variante del "Gaffyt" Appare il trojan. Recentemente, Huorong Security Lab ha scoperto un incidente di intrusione di virus, che dopo indagini e analisi è stato confermato essere una nuova variante del virus Gafgyt Trojan.

Puntare all’Internet delle cose, una nuova variante del "Gaffyt" Appare il trojan

Recentemente, Huorong Security Lab ha scoperto un incidente di intrusione di virus, che dopo indagini e analisi è stato confermato essere una nuova variante del virus Gafgyt Trojan.

Gafgyt è un programma botnet IoT basato sul protocollo IRC, che infetta principalmente quelli basati su Linux Dispositivi IoT per lanciare attacchi di negazione del servizio distribuiti (DDoS). È la più grande famiglia di botnet IoT attiva oltre alla famiglia Mirai.

Dopo che il suo codice sorgente è trapelato e caricato su GitHub in 2015, varie varianti ed exploit sono emersi uno dopo l'altro, rappresentando una minaccia maggiore per la sicurezza degli utenti. Attualmente, I prodotti di sicurezza Huorong possono intercettare e uccidere i virus sopra menzionati. Agli utenti aziendali viene richiesto di aggiornare il database dei virus in tempo per la difesa.

1. Analisi del campione
Il virus innanzitutto rinomina il proprio processo in "/usr/sbin/dropbear" O "sshd" per nascondersi:

rinominare il processo

Tra loro, viene trovata la stringa crittografata, e l'algoritmo di decrittazione è il byte XOR di 0xDEDEFFBA. Quando usato, solo quelli utilizzati vengono decrittografati individualmente, ma solo 4 sono effettivamente referenziati:

Stringa crittografata e algoritmo di decrittografia

Il primo riferimento è solo quello di visualizzare sullo schermo la stringa corrispondente, mentre i due riferimenti centrali sono operazioni sul processo di watchdog per evitare di perdere il controllo a causa del riavvio del dispositivo:

decifrare e citare

Le restanti operazioni vengono eseguite in loop, inclusa l'inizializzazione della connessione C2 (94.156.161.21:671), invio del tipo di dispositivo della piattaforma, ricevendo il comando di ritorno ed eseguendo l'operazione del modulo corrispondente. E rispetto al codice sorgente trapelato da Gafgy, il formato e l'elaborazione del comando non sono cambiati molto, e il formato del comando è ancora "!*Comando [Parametro]"

codice operazione loop

Nella funzione processCmd, un totale di 14 si risponde ai comandi e vengono lanciati i corrispondenti attacchi DDOS, Compreso: "HTTP", "CUDP", "UDP", "ST", "JSC", "TCP", "SIN" , "RICONOSCI", "NATALE", "NATALE", "CVSE", "QUALUNQUE COSA", "CNC", "negro"

schermata del comando - Sicurezza dell'IoT

Tra loro, il CUDP, UDP, JSC, e i moduli TCP possono tutti inviare stringhe casuali all'IP e alla porta specificati, e può ricostruire i pacchetti TCP e UDP mediante intestazioni IP autocostruite per nascondere l'indirizzo IP di origine.

struttura del messaggio

Si suppone che il prefisso C sia l'abbreviazione di custom. Prendendo come esempi CUDP e UDP, nella versione originale di Gafgyt, i parametri nel comando emesso includono: ip, porta, tempo, falsificato, dimensione del pacchetto, pollinterval e altri valori di campo e bit di flag Per la costruzione di pacchetti UDP. In questo campione, Tuttavia, i risultati osservati mostrano che si tratta dell'applicazione di questi parametri a diversi gradi di restrizione, che può migliorare la flessibilità di tipi specifici di attacchi DDOS.

Confronto tra CUDP e UDP

Le funzioni di altri moduli includono l'aggiunta di un gran numero di stringhe User-Agent, che vengono utilizzati per lanciare comandi HTTP per attacchi CC:

Attacco CC

Incluso per attacchi contro i server Source Engine di Valve: ("Motore di origine" le query fanno parte della comunicazione quotidiana tra clienti e server di gioco utilizzando il protocollo software Valve)

Attacchi contro l'industria dei giochi

Compresi i comandi CNC che possono cambiare l'IP di connessione:

cambiare IP di connessione

Include attacchi SYN e ACK:

Attacchi SYN e ACK

Compresi gli attacchi alluvionali UDP STD:

Attacco di malattie sessualmente trasmissibili

Compreso l'attacco NATALIZIO: (questo è, Attacco all'albero di Natale, impostando tutti i bit flag di TCP su 1, consumando così più risorse di elaborazione della risposta del sistema di destinazione)

Attacco di NATALE

Il modulo NIGGA è equivalente al comando KILLATTK nella versione originale, che ferma gli attacchi DoSS uccidendo tutti i processi figli tranne il processo principale

Modulo NIGGA

Analisi comparativa
La funzione processCmd che memorizza la logica principale nel codice sorgente include PING, OTTIENILOCALIP, SCANNER, E-MAIL, ROBACCIA, UDP, TCP, PRESA, KILLATTK, e moduli LOLNOGTFO. Nella variante catturata questa volta coesistono solo versioni semplificate dei moduli UDP e TCP. .

E nell'operazione per ottenere l'IP locale, la versione originale ottiene l'IP locale tramite /proc/net/route e lo restituisce tramite il modulo GETLOCALIP. La stessa operazione get si osserva in questa variante, ma non esiste un modulo GETLOCALIP e non vengono osservati riferimenti.

Ottieni IP locale

Vale la pena notare che non esiste una versione originale del modulo SCANNER utilizzato per eliminare SSH (porta 22) in questo tipo di campione, e non ci sono altre varianti che ne incorporano più "applicazioni/dispositivo" vulnerabilità da diffondere attraverso Payload. Si può vedere che l'aggressore suddivide il modulo di propagazione in programmi indipendenti, e dopo aver effettuato con successo l'accesso all'host della vittima, scaricherà l'esempio di comunicazione per la fase successiva eseguendo lo shellcode, questo è, il campione di analisi.

Esegui l'esempio di shellcode

Prendendo come esempio i campioni ottenuti dalla stessa fonte, l'aggressore ha rimosso le informazioni di debug per la maggior parte degli esempi, tranne alcuni, ad esempio: x86.