ელფოსტა: anwenqq2690502116@gmail.com
მიზნად ისახავს ნივთების ინტერნეტს, -ის ახალი ვარიანტი "გაფიტი" ჩნდება ტროიანი
ცოტა ხნის წინ, Huorong Security Lab-მა აღმოაჩინა ვირუსის შეჭრის ინციდენტი, რომელიც გამოკვლევისა და ანალიზის შემდეგ დადასტურდა Gafgyt Trojan ვირუსის ახალ ვარიანტად.
Gafgyt არის IoT ბოტნეტის პროგრამა, რომელიც დაფუძნებულია IRC პროტოკოლზე, რომელიც ძირითადად აინფიცირებს Linux-ზე დაფუძნებულს IoT მოწყობილობები სერვისზე უარის თქმის განაწილებული შეტევების დასაწყებად (DDoS). ეს არის IoT ბოტნეტის ყველაზე დიდი აქტიური ოჯახი, გარდა Mirai ოჯახისა.
მას შემდეგ, რაც მისი საწყისი კოდი გაჟონა და აიტვირთა GitHub-ში 2015, ერთმანეთის მიყოლებით გაჩნდა სხვადასხვა ვარიანტები და ექსპლოიტები, უფრო დიდ საფრთხეს უქმნის მომხმარებლებს უსაფრთხოებისთვის. Ამჟამად, Huorong-ის უსაფრთხოების პროდუქტებს შეუძლიათ ზემოხსენებული ვირუსების დაჭერა და მოკვლა. საწარმო მომხმარებლებს სთხოვენ განაახლონ ვირუსების მონაცემთა ბაზა დროულად თავდაცვისთვის.
1. ნიმუშის ანალიზი
ვირუსმა ჯერ საკუთარ პროცესს დაარქვა სახელი "/usr/sbin/dropbear" ან "sshd" თავის დასამალად:
პროცესის გადარქმევა
Მათ შორის, ნაპოვნია დაშიფრული სტრიქონი, და გაშიფვრის ალგორითმი არის 0xDEDEFFBA-ის XOR ბაიტი. როდესაც გამოიყენება, მხოლოდ გამოყენებული პირობა გაშიფრულია ინდივიდუალურად, მაგრამ მხოლოდ 4 რეალურად არის მითითებული:
დაშიფრული სიმებიანი და გაშიფვრის ალგორითმი
პირველი მითითება არის მხოლოდ შესაბამისი სტრიქონის ეკრანზე გამოტანა, და შუა ორი მითითება არის ოპერაციები დამკვირვებლის პროცესზე, რათა თავიდან აიცილოთ კონტროლი მოწყობილობის გადატვირთვის გამო:
გაშიფვრა და ციტირება
დარჩენილი ოპერაციები ხორციელდება მარყუჟში, C2 კავშირის ინიციალიზაციის ჩათვლით (94.156.161.21:671), პლატფორმის მოწყობილობის ტიპის გაგზავნა, დაბრუნების ბრძანების მიღება და შესაბამისი მოდულის ოპერაციის შესრულება. და Gafgy-ის მიერ გაჟონილ წყაროს კოდთან შედარებით, ბრძანების ფორმატი და დამუშავება დიდად არ შეცვლილა, და ბრძანების ფორმატი ისევ რჩება "!*ბრძანება [Პარამეტრი]"
მარყუჟის ოპერაციის კოდი
processCmd ფუნქციაში, სულ 14 ბრძანებებს ეხმაურება და შესაბამისი DDOS შეტევები იწყება, მათ შორის: "HTTP", "CUDP გაფართოება", "UDP", "სგგდ", "სს", "TCP", "SYN" , "ACK", "CXMAS", "შობა", "CVSE", "ყველაფერი", "CNC", "NIGGA"
ბრძანების სკრინშოტი - IoT უსაფრთხოება
Მათ შორის, CUDP, UDP, სს, და TCP მოდულს შეუძლია შემთხვევითი სტრიქონების გაგზავნა მითითებულ IP-ზე და პორტში, და შეუძლია TCP და UDP პაკეტების რეკონსტრუქცია თვითნაშენი IP სათაურებით, წყაროს IP მისამართის დასამალად.
შეტყობინების სტრუქტურა
პრეფიქსი C, სავარაუდოდ, არის საბაჟო შემოკლება. მაგალითად, CUDP და UDP, Gafgyt-ის ორიგინალურ ვერსიაში, გაცემული ბრძანების პარამეტრები მოიცავს: ip, პორტი, დრო, გაყალბებული, პაკეტების ზომა, pollinterval და სხვა ველის მნიშვნელობები და დროშის ბიტები UDP პაკეტების შესაქმნელად. ამ ნიმუშში, თუმცა, დაკვირვებული შედეგები აჩვენებს, რომ ეს არის ამ პარამეტრების გამოყენება შეზღუდვის სხვადასხვა ხარისხით, რომელსაც შეუძლია გააძლიეროს DDOS შეტევების კონკრეტული ტიპების მოქნილობა.
CUDP-ისა და UDP-ის შედარება
სხვა მოდულების ფუნქციები მოიცავს მომხმარებლის აგენტის სტრიქონების დიდი რაოდენობით დამატებას, რომლებიც გამოიყენება HTTP ბრძანებების გასაშვებად CC შეტევებისთვის:
CC შეტევა
შედის Valve's Source Engine სერვერებზე თავდასხმებისთვის: ("წყაროს ძრავა" მოთხოვნები კლიენტებს შორის ყოველდღიური კომუნიკაციის ნაწილია და თამაშის სერვერები Valve პროგრამული პროტოკოლის გამოყენებით)
თავდასხმები სათამაშო ინდუსტრიის წინააღმდეგ
CNC ბრძანებების ჩათვლით, რომლებსაც შეუძლიათ კავშირის IP გადართვა:
გადართვის კავშირის IP
მოიცავს SYN და ACK შეტევებს:
SYN და ACK შეტევები
UDP სგგდ წყალდიდობის შეტევების ჩათვლით:
სგგდ შეტევა
XMAS შეტევის ჩათვლით: (ანუ, ნაძვის ხეზე თავდასხმა, TCP-ის ყველა დროშის ბიტის დაყენებით 1, რითაც მოიხმარს სამიზნე სისტემის მეტი პასუხის დამუშავების რესურსს)
შობის შეტევა
NIGGA მოდული ორიგინალურ ვერსიაში KILLATTK ბრძანების ექვივალენტურია, რომელიც აჩერებს DoSS შეტევებს ყველა ბავშვის პროცესის მოკვლით, გარდა ძირითადი პროცესისა
NIGGA მოდული
შედარებითი ანალიზი
ფუნქცია processCmd, რომელიც ინახავს ძირითად ლოგიკას საწყის კოდში, მოიცავს PING-ს, GETLOCALIP, სკანერი, EMAIL, უსარგებლო, UDP, TCP, გამართავს, KILLATTK, და LOLNOGTFO მოდულები. UDP და TCP მოდულების მხოლოდ გამარტივებული ვერსიები თანაარსებობენ ამჯერად გადაღებულ ვარიანტში. .
და ადგილობრივი IP-ის მოპოვების ოპერაციაში, ორიგინალური ვერსია იღებს ადგილობრივ IP-ს /proc/net/route-ის საშუალებით და აბრუნებს მას GETLOCALIP მოდულის მეშვეობით. იგივე მიღების ოპერაცია შეინიშნება ამ ვარიანტში, მაგრამ არ არსებობს GETLOCALIP მოდული და არ შეინიშნება მითითებები.
მიიღეთ ადგილობრივი IP
აღსანიშნავია, რომ არ არსებობს SCANNER მოდულის ორიგინალური ვერსია, რომელიც გამოიყენება SSH-ის აფეთქებისთვის (პორტი 22) ამ ტიპის ნიმუშში, და არ არსებობს სხვა ვარიანტები, რომლებიც მრავლდება "აპლიკაციები/მოწყობილობა" დაუცველობა, რომელიც ვრცელდება Payload-ის მეშვეობით. ჩანს, რომ თავდამსხმელი ყოფს გამრავლების მოდულს დამოუკიდებელ პროგრამებად, და მსხვერპლის მასპინძელში წარმატებით შესვლის შემდეგ, ის ჩამოტვირთავს კომუნიკაციის ნიმუშს შემდეგი ეტაპისთვის shellcode-ის შესრულებით, ანუ, ანალიზის ნიმუში.
შეასრულეთ shellcode მაგალითი
ერთი და იმავე წყაროდან მიღებული ნიმუშების მაგალითზე აღება, თავდამსხმელმა ამოიღო გამართვის ინფორმაცია ნიმუშების უმეტესობისთვის, რამდენიმეს გარდა, როგორიცაა: x86.