モノのインターネットを目指して, の新しい亜種 "ガフィット" トロイの木馬が出現
最近, Huorong Security Lab がウイルス侵入事件を発見, 調査と分析の結果、Gafgyt トロイの木馬ウイルスの新しい亜種であることが確認されました.
Gafgyt は、IRC プロトコルに基づく IoT ボットネット プログラムです。, 主に Linux ベースに感染します IoTデバイス 分散型サービス拒否攻撃を開始する (DDoS). Miraiファミリーを除く最大のアクティブIoTボットネットファミリーです.
ソースコードが漏洩し、GitHub にアップロードされた後、 2015, さまざまな亜種やエクスプロイトが次々に出現, ユーザーにとってより大きなセキュリティ上の脅威となる. 現在のところ, Huorong セキュリティ製品は上記のウイルスを傍受して殺すことができます. 企業ユーザーは、防御に間に合うようにウイルス データベースを更新することが求められます.
1. サンプル分析
ウイルスはまず、自身のプロセスの名前を次のように変更します。 "/ユーザー/sbin/ドロップベア" または "sshd" 身を隠すために:
プロセスの名前変更
その中で, 暗号化された文字列が見つかりました, 復号化アルゴリズムは 0xDEDEFFBA のバイト XOR です。. 使用時, 使用されたもののみが個別に復号化されます, だけ 4 実際に参照されている:
暗号化された文字列と復号化アルゴリズム
最初の参照は、対応する文字列を画面に出力することだけです。, 真ん中の 2 つの参照は、デバイスの再起動によって制御が失われないようにするためのウォッチドッグ プロセス上の操作です。:
解読して引用する
残りの操作はループ内で実行されます, C2接続の初期化を含む (94.156.161.21:671), プラットフォームデバイスタイプの送信, returnコマンドを受信し、対応するモジュール操作を実行する. Gafgyが漏洩したソースコードと比較, コマンドの形式と処理はあまり変わっていません, コマンドの形式はそのままです "!*指示 [パラメータ]"
ループオペレーションコード
processCmd関数内, の合計 14 コマンドが応答され、対応する DDOS 攻撃が開始されます。, 含む: "HTTP", "CUDP 拡張子", "UDP", "性病", "JSC", "TCP", "シン" , "確認応答", "CXMAS", "クリスマス", "CVSE", "すべて", "CNC", "ダチ"
コマンドのスクリーンショット - IoTセキュリティ
その中で, CUDP, UDP, JSC, TCP モジュールはすべて、指定された IP とポートにランダムな文字列を送信できます。, 自己構築された IP ヘッダーによって TCP および UDP パケットを再構築して送信元 IP アドレスを隠すことができます。.
メッセージ構造
接頭辞 C は、custom の略語であると推測されます。. CUDP と UDP を例に挙げます, Gafgytのオリジナルバージョンでは, 発行されたコマンドのパラメータには以下が含まれます: ip, ポート, 時間, なりすまし, パケットサイズ, ポーリング間隔およびその他のフィールド値とフラグビット UDP パケットの構築用. このサンプルでは, しかし, 観察された結果は、これらのパラメータをさまざまな程度の制限に適用することを示しています。, 特定のタイプの DDOS 攻撃の柔軟性を強化できます。.
CUDPとUDPの比較
他のモジュールの機能には、多数のユーザー エージェント文字列の追加が含まれます。, CC 攻撃用の HTTP コマンドを起動するために使用されます。:
CC攻撃
Valve の Source Engine サーバーに対する攻撃に含まれます: ("ソースエンジン" クエリはクライアントとクライアント間の日常的なコミュニケーションの一部です。 ゲームサーバー Valve ソフトウェア プロトコルを使用する)
ゲーム業界に対する攻撃
接続IPを切り替えることができるCNCコマンドを含む:
スイッチ接続IP
SYN および ACK 攻撃を含む:
SYN および ACK 攻撃
UDP STD フラッド攻撃を含む:
性感染症の攻撃
XMAS攻撃を含む: (あれは, クリスマスツリー攻撃, TCP のすべてのフラグ ビットを次のように設定することにより、 1, したがって、ターゲット システムの応答処理リソースがより多く消費されます。)
クリスマス攻撃
NIGGA モジュールは、オリジナル バージョンの KILLATTK コマンドに相当します。, メインプロセスを除くすべての子プロセスを強制終了することで DoSS 攻撃を阻止します。
NIGGAモジュール
比較解析
メインロジックをソースコードに格納する関数 processCmd には PING が含まれます, ゲットローカルカリプ, スキャナー, Eメール, ジャンク, UDP, TCP, 所有, キラット, および LOLNOGTFO モジュール. 今回捕捉された亜種エクスプロイトでは、UDP モジュールと TCP モジュールの簡易版のみが共存しています. .
そしてローカルIPを取得する操作では, オリジナルのバージョンは、/proc/net/route を通じてローカル IP を取得し、GETLOCALIP モジュールを通じてそれを返します。. このバリアントでも同じ get 操作が観察されます。, しかし、GETLOCALIP モジュールはなく、参照も観察されません.
ローカルIPを取得する
SSH のブラストに使用される SCANNER モジュールのオリジナル バージョンが存在しないことは注目に値します。 (ポート 22) このタイプのサンプルでは, 複数の要素を埋め込む他のバリアントはありません。 "アプリケーション/デバイス" ペイロードを通じて広がる脆弱性. 攻撃者が伝播モジュールを独立したプログラムに分割していることがわかります。, 被害ホストに正常にログインした後, シェルコードを実行して、次の段階の通信サンプルをダウンロードします。, あれは, 分析サンプル.
シェルコードの実行例
同じソースから得られたサンプルを例に挙げると、, 攻撃者はほとんどのサンプルのデバッグ情報を削除しました, 一部を除いて, そのような: x86.
