Ngarahake ing Internet of Things, varian anyar saka "Gafgyt" Trojan katon

Ngarahake ing Internet of Things, varian anyar saka "Gaffyt" Trojan katon

Ngarahake ing Internet of Things, varian anyar saka "Gaffyt" Trojan katon. bubar, Lab Keamanan Huorong nemokake kedadeyan intrusi virus, sing dikonfirmasi minangka varian anyar saka virus Gafgyt Trojan sawise diselidiki lan dianalisis.

Ngarahake ing Internet of Things, varian anyar saka "Gaffyt" Trojan katon

bubar, Lab Keamanan Huorong nemokake kedadeyan intrusi virus, sing dikonfirmasi minangka varian anyar saka virus Gafgyt Trojan sawise diselidiki lan dianalisis.

Gafgyt minangka program botnet IoT adhedhasar protokol IRC, kang utamané nginfèksi basis Linux piranti IoT kanggo miwiti serangan penolakan layanan sing disebarake (DDoS). Iku kulawarga botnet IoT aktif paling gedhe liyane saka kulawarga Mirai.

Sawise kode sumber kasebut bocor lan diunggah menyang GitHub ing 2015, macem-macem varian lan eksploitasi muncul siji-sijine, nyebabake ancaman keamanan sing luwih gedhe kanggo pangguna. Ing saiki, Produk keamanan Huorong bisa nyegat lan mateni virus sing kasebut ing ndhuwur. Pangguna perusahaan dijaluk nganyari database virus ing wektu kanggo pertahanan.

1. analisis sampel
Virus pisanan ngganti jeneng proses dhewe dadi "/usr/sbin/dropbear" utawa "sshd" kanggo ndhelikake dhewe:

proses ngganti jeneng

Antarane wong-wong mau, senar ndhelik ditemokake, lan algoritma dekripsi yaiku XOR bait saka 0xDEDEFFBA. Nalika digunakake, mung sing digunakake sing decrypted individu, nanging mung 4 bener-bener dirujuk:

Algoritma string lan dekripsi sing dienkripsi

Referensi pisanan mung kanggo output string sing cocog kanggo layar, lan loro referensi tengah yaiku operasi ing proses watchdog supaya ora kelangan kontrol amarga piranti diwiwiti maneh:

decrypt lan kutipan

Operasi sing isih ana ditindakake ing daur ulang, kalebu initializing sambungan C2 (94.156.161.21:671), ngirim jinis piranti platform, nampa printah bali lan nglakokaké operasi modul cocog. Lan dibandhingake karo kode sumber sing bocor dening Gafgy, format lan pangolahan printah ora diganti akeh, lan format printah isih "!*dhawuh [Paramèter]"

kode operasi loop

Ing fungsi processCmd, total saka 14 printah ditanggapi lan serangan DDOS cocog dibukak, kalebu: "HTTP", "ekstensi CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "KABEH", "CNC", "NIGGA"

screenshot printah - keamanan IoT

Antarane wong-wong mau, ing CUDP, UDP, JSC, lan modul TCP kabeh bisa ngirim strings acak menyang IP tartamtu lan port, lan bisa mbangun maneh paket TCP lan UDP kanthi header IP sing dibangun dhewe kanggo ndhelikake alamat IP sumber.

struktur pesen

Ater-ater C dianggep minangka singkatan saka adat. Njupuk CUDP lan UDP minangka conto, ing versi asli Gafgyt, paramèter ing printah ditanggepi kalebu: ip, pelabuhan, wektu, ngapusi, ukuran paket, pollinterval lan nilai lapangan liyane lan bit flag Kanggo construction saka paket UDP. Ing sampel iki, nanging, asil diamati nuduhake yen iku aplikasi saka paramèter iki kanggo derajat beda saka watesan, sing bisa nambah keluwesan saka jinis tartamtu saka serangan DDOS.

Perbandingan CUDP lan UDP

Fungsi modul liyane kalebu nambah nomer akeh strings User-Agent, sing digunakake kanggo miwiti printah HTTP kanggo serangan CC:

serangan CC

Klebu kanggo serangan marang server Source Engine Valve: ("Sumber Engine" pitakon minangka bagéan saka komunikasi saben dina antarane klien lan server game nggunakake protokol piranti lunak Valve)

Serangan marang industri game

Kalebu printah CNC sing bisa ngalih IP sambungan:

ngalih IP sambungan

Kalebu serangan SYN lan ACK:

SYN lan serangan ACK

Kalebu serangan banjir UDP STD:

serangan STD

Kalebu serangan XMAS: (iku, Serangan wit Natal, kanthi nyetel kabeh bit flag saka TCP kanggo 1, saéngga nggunakake sumber daya pangolahan respon luwih saka sistem target)

serangan XMAS

Modul NIGGA padha karo printah KILLATTK ing versi asli, sing mungkasi serangan DoSS kanthi mateni kabeh proses anak kajaba proses utama

modul NIGGA

Analisis komparatif
Fungsi processCmd sing nyimpen logika utama ing kode sumber kalebu PING, GETLOCALIP, SCANNER, EMAIL, ajur, UDP, TCP, TAHAN, KILLATTK, lan modul LOLNOGTFO. Mung versi modul UDP lan TCP sing disederhanakake sing urip bebarengan ing eksploitasi varian sing dijupuk wektu iki. .

Lan ing operasi entuk IP lokal, versi asli entuk IP lokal liwat / proc / net / rute lan bali liwat modul GETLOCALIP. Operasi get padha diamati ing varian iki, nanging ora ana modul GETLOCALIP lan ora ana referensi sing diamati.

Entuk IP lokal

Wigati dicathet yen ora ana versi asli modul SCANNER sing digunakake kanggo jeblugan SSH (pelabuhan 22) ing jinis sampel iki, lan ora ana varian liyane sing ngemot pirang-pirang "aplikasi / piranti" kerentanan nyebar liwat Payload. Bisa dideleng manawa panyerang mbagi modul panyebaran dadi program mandiri, lan sawise kasil mlebu menyang host korban, dheweke bakal ngundhuh sampel komunikasi kanggo tahap sabanjure kanthi nglakokake shellcode, iku, sampel analisis.

Nglakokake conto shellcode

Njupuk conto sing dipikolehi saka sumber sing padha minangka conto, panyerang diudani informasi debugging kanggo paling saka conto, kajaba sawetara, kayata: x86.