ელფოსტა: anwenqq2690502116@gmail.com

Tinder აღმოჩენა და მკვლელობა

მიზნად ისახავს ნივთების ინტერნეტს, -ის ახალი ვარიანტი "გაფიტი" ჩნდება ტროიანი

მიზნად ისახავს ნივთების ინტერნეტს, -ის ახალი ვარიანტი "გაფიტი" ჩნდება ტროიანი. ცოტა ხნის წინ, Huorong Security Lab-მა აღმოაჩინა ვირუსის შეჭრის ინციდენტი, რომელიც გამოკვლევისა და ანალიზის შემდეგ დადასტურდა Gafgyt Trojan ვირუსის ახალ ვარიანტად.

მიზნად ისახავს ნივთების ინტერნეტს, -ის ახალი ვარიანტი "გაფიტი" ჩნდება ტროიანი

ცოტა ხნის წინ, Huorong Security Lab-მა აღმოაჩინა ვირუსის შეჭრის ინციდენტი, რომელიც გამოკვლევისა და ანალიზის შემდეგ დადასტურდა Gafgyt Trojan ვირუსის ახალ ვარიანტად.

Gafgyt არის IoT ბოტნეტის პროგრამა, რომელიც დაფუძნებულია IRC პროტოკოლზე, რომელიც ძირითადად აინფიცირებს Linux-ზე დაფუძნებულს IoT მოწყობილობები სერვისზე უარის თქმის განაწილებული შეტევების დასაწყებად (DDoS). ეს არის IoT ბოტნეტის ყველაზე დიდი აქტიური ოჯახი, გარდა Mirai ოჯახისა.

მას შემდეგ, რაც მისი საწყისი კოდი გაჟონა და აიტვირთა GitHub-ში 2015, ერთმანეთის მიყოლებით გაჩნდა სხვადასხვა ვარიანტები და ექსპლოიტები, უფრო დიდ საფრთხეს უქმნის მომხმარებლებს უსაფრთხოებისთვის. Ამჟამად, Huorong-ის უსაფრთხოების პროდუქტებს შეუძლიათ ზემოხსენებული ვირუსების დაჭერა და მოკვლა. საწარმო მომხმარებლებს სთხოვენ განაახლონ ვირუსების მონაცემთა ბაზა დროულად თავდაცვისთვის.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. ნიმუშის ანალიზი
ვირუსმა ჯერ საკუთარ პროცესს დაარქვა სახელი "/usr/sbin/dropbear" ან "sshd" თავის დასამალად:

process rename
პროცესის გადარქმევა

Მათ შორის, ნაპოვნია დაშიფრული სტრიქონი, და გაშიფვრის ალგორითმი არის 0xDEDEFFBA-ის XOR ბაიტი. როდესაც გამოიყენება, მხოლოდ გამოყენებული პირობა გაშიფრულია ინდივიდუალურად, მაგრამ მხოლოდ 4 რეალურად არის მითითებული:

Encrypted string and decryption algorithm
დაშიფრული სიმებიანი და გაშიფვრის ალგორითმი

 

პირველი მითითება არის მხოლოდ შესაბამისი სტრიქონის ეკრანზე გამოტანა, და შუა ორი მითითება არის ოპერაციები დამკვირვებლის პროცესზე, რათა თავიდან აიცილოთ კონტროლი მოწყობილობის გადატვირთვის გამო:

decrypt and quote

გაშიფვრა და ციტირება

 

დარჩენილი ოპერაციები ხორციელდება მარყუჟში, C2 კავშირის ინიციალიზაციის ჩათვლით (94.156.161.21:671), პლატფორმის მოწყობილობის ტიპის გაგზავნა, დაბრუნების ბრძანების მიღება და შესაბამისი მოდულის ოპერაციის შესრულება. და Gafgy-ის მიერ გაჟონილ წყაროს კოდთან შედარებით, ბრძანების ფორმატი და დამუშავება დიდად არ შეცვლილა, და ბრძანების ფორმატი ისევ რჩება "!*ბრძანება [Პარამეტრი]"

loop operation code

მარყუჟის ოპერაციის კოდი

 

processCmd ფუნქციაში, სულ 14 ბრძანებებს ეხმაურება და შესაბამისი DDOS შეტევები იწყება, მათ შორის: "HTTP", "CUDP გაფართოება", "UDP", "სგგდ", "სს", "TCP", "SYN" , "ACK", "CXMAS", "შობა", "CVSE", "ყველაფერი", "CNC", "NIGGA"

command screenshot - IoT security
ბრძანების სკრინშოტი - IoT უსაფრთხოება

 

Მათ შორის, CUDP, UDP, სს, და TCP მოდულს შეუძლია შემთხვევითი სტრიქონების გაგზავნა მითითებულ IP-ზე და პორტში, და შეუძლია TCP და UDP პაკეტების რეკონსტრუქცია თვითნაშენი IP სათაურებით, წყაროს IP მისამართის დასამალად.

 

message structure
შეტყობინების სტრუქტურა

 

პრეფიქსი C, სავარაუდოდ, არის საბაჟო შემოკლება. მაგალითად, CUDP და UDP, Gafgyt-ის ორიგინალურ ვერსიაში, გაცემული ბრძანების პარამეტრები მოიცავს: ip, პორტი, დრო, გაყალბებული, პაკეტების ზომა, pollinterval და სხვა ველის მნიშვნელობები და დროშის ბიტები UDP პაკეტების შესაქმნელად. ამ ნიმუშში, თუმცა, დაკვირვებული შედეგები აჩვენებს, რომ ეს არის ამ პარამეტრების გამოყენება შეზღუდვის სხვადასხვა ხარისხით, რომელსაც შეუძლია გააძლიეროს DDOS შეტევების კონკრეტული ტიპების მოქნილობა.

CUDP-ისა და UDP-ის შედარება

სხვა მოდულების ფუნქციები მოიცავს მომხმარებლის აგენტის სტრიქონების დიდი რაოდენობით დამატებას, რომლებიც გამოიყენება HTTP ბრძანებების გასაშვებად CC შეტევებისთვის:

CC შეტევა

შედის Valve's Source Engine სერვერებზე თავდასხმებისთვის: ("წყაროს ძრავა" მოთხოვნები კლიენტებს შორის ყოველდღიური კომუნიკაციის ნაწილია და თამაშის სერვერები Valve პროგრამული პროტოკოლის გამოყენებით)

თავდასხმები სათამაშო ინდუსტრიის წინააღმდეგ

CNC ბრძანებების ჩათვლით, რომლებსაც შეუძლიათ კავშირის IP გადართვა:

გადართვის კავშირის IP

მოიცავს SYN და ACK შეტევებს:

SYN და ACK შეტევები

UDP სგგდ წყალდიდობის შეტევების ჩათვლით:

სგგდ შეტევა

XMAS შეტევის ჩათვლით: (ანუ, ნაძვის ხეზე თავდასხმა, TCP-ის ყველა დროშის ბიტის დაყენებით 1, რითაც მოიხმარს სამიზნე სისტემის მეტი პასუხის დამუშავების რესურსს)

შობის შეტევა

NIGGA მოდული ორიგინალურ ვერსიაში KILLATTK ბრძანების ექვივალენტურია, რომელიც აჩერებს DoSS შეტევებს ყველა ბავშვის პროცესის მოკვლით, გარდა ძირითადი პროცესისა

NIGGA მოდული

შედარებითი ანალიზი
ფუნქცია processCmd, რომელიც ინახავს ძირითად ლოგიკას საწყის კოდში, მოიცავს PING-ს, GETLOCALIP, სკანერი, EMAIL, უსარგებლო, UDP, TCP, გამართავს, KILLATTK, და LOLNOGTFO მოდულები. UDP და TCP მოდულების მხოლოდ გამარტივებული ვერსიები თანაარსებობენ ამჯერად გადაღებულ ვარიანტში. .

და ადგილობრივი IP-ის მოპოვების ოპერაციაში, ორიგინალური ვერსია იღებს ადგილობრივ IP-ს /proc/net/route-ის საშუალებით და აბრუნებს მას GETLOCALIP მოდულის მეშვეობით. იგივე მიღების ოპერაცია შეინიშნება ამ ვარიანტში, მაგრამ არ არსებობს GETLOCALIP მოდული და არ შეინიშნება მითითებები.

მიიღეთ ადგილობრივი IP

აღსანიშნავია, რომ არ არსებობს SCANNER მოდულის ორიგინალური ვერსია, რომელიც გამოიყენება SSH-ის აფეთქებისთვის (პორტი 22) ამ ტიპის ნიმუშში, და არ არსებობს სხვა ვარიანტები, რომლებიც მრავლდება "აპლიკაციები/მოწყობილობა" დაუცველობა, რომელიც ვრცელდება Payload-ის მეშვეობით. ჩანს, რომ თავდამსხმელი ყოფს გამრავლების მოდულს დამოუკიდებელ პროგრამებად, და მსხვერპლის მასპინძელში წარმატებით შესვლის შემდეგ, ის ჩამოტვირთავს კომუნიკაციის ნიმუშს შემდეგი ეტაპისთვის shellcode-ის შესრულებით, ანუ, ანალიზის ნიმუში.

შეასრულეთ shellcode მაგალითი

ერთი და იმავე წყაროდან მიღებული ნიმუშების მაგალითზე აღება, თავდამსხმელმა ამოიღო გამართვის ინფორმაცია ნიმუშების უმეტესობისთვის, რამდენიმეს გარდა, როგორიცაა: x86.

გააზიარე შენი სიყვარული

დაკავშირებული პოსტები

დატოვეთ პასუხი

თქვენი ელფოსტის მისამართი არ გამოქვეყნდება. მონიშნულია აუცილებელი ველები *