Электрондық пошта: anwenqq2690502116@gmail.com

Tinder анықтау және өлтіру

Заттар интернетіне бағытталған, жаңа нұсқасы "Гаффит" Троян пайда болады

Заттар интернетіне бағытталған, жаңа нұсқасы "Гаффит" Троян пайда болады. Жақында, Huorong қауіпсіздік зертханасы вирустың ену оқиғасын анықтады, зерттеу және талдау нәтижесінде Gafgyt трояндық вирусының жаңа нұсқасы екені расталды.

Заттар интернетіне бағытталған, жаңа нұсқасы "Гаффит" Троян пайда болады

Жақында, Huorong қауіпсіздік зертханасы вирустың ену оқиғасын анықтады, зерттеу және талдау нәтижесінде Gafgyt трояндық вирусының жаңа нұсқасы екені расталды.

Gafgyt — IRC протоколына негізделген IoT ботнет бағдарламасы, ол негізінен Linux негізіндегі құрылғыларды жұқтырады IoT құрылғылары таратылған қызмет көрсетуден бас тарту шабуылдарын іске қосу (DDoS). Бұл Mirai отбасынан басқа ең үлкен белсенді IoT ботнет тобы.

Оның бастапқы коды сыртқа шығып, GitHub-қа жүктелгеннен кейін 2015, әртүрлі нұсқалар мен ерліктер бірінен соң бірі пайда болды, пайдаланушылардың қауіпсіздігіне үлкен қауіп төндіреді. Қазір, Huorong қауіпсіздік өнімдері жоғарыда аталған вирустарды ұстай алады және жоя алады. Кәсіпорын пайдаланушыларынан қорғаныс үшін уақытында вирус дерекқорын жаңарту сұралады.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. Үлгіні талдау
Вирус алдымен өз процесінің атын өзгертеді "/usr/sbin/dropbear" немесе "sshd" өзін жасыру:

process rename
процестің атын өзгерту

Олардың арасында, шифрланған жол табылды, және шифрды шешу алгоритмі 0xDEDEFFBA байты XOR болып табылады. Қолданған кезде, тек пайдаланылғандары жеке шифрден шығарылады, бірақ тек 4 іс жүзінде сілтеме жасалады:

Encrypted string and decryption algorithm
Шифрланған жол және шифрды шешу алгоритмі

 

Бірінші сілтеме экранға сәйкес жолды шығару үшін ғана, және ортаңғы екі сілтеме құрылғының қайта іске қосылуына байланысты бақылауды жоғалтпау үшін бақылау процесіндегі әрекеттер болып табылады:

decrypt and quote

шифрын шешіп, дәйексөз келтіріңіз

 

Қалған операциялар циклде орындалады, оның ішінде C2 қосылымын инициализациялау (94.156.161.21:671), платформа құрылғы түрін жіберу, қайтару командасын қабылдау және сәйкес модуль операциясын орындау. Және Гафги таратқан бастапқы кодпен салыстырғанда, пішім мен пәрменді өңдеу көп өзгерген жоқ, және пәрмен пішімі бұрынғысынша "!*Пәрмен [Параметр]"

loop operation code

цикл операциясының коды

 

processCmd функциясында, жалпы саны 14 командаларға жауап беріледі және сәйкес DDOS шабуылдары іске қосылады, оның ішінде: "HTTP", "CUDP кеңейтімі", "UDP", "ЖЖБИ", "АҚ", "TCP", "SYN" , "ACK", "CXMAS", "Рождество", "CVSE", "БӘРІ", "CNC", "NIGGA"

command screenshot - IoT security
пәрмен скриншоты - IoT қауіпсіздігі

 

Олардың арасында, CUDP, UDP, АҚ, және TCP модульдерінің барлығы көрсетілген IP және портқа кездейсоқ жолдарды жібере алады, және бастапқы IP мекенжайын жасыру үшін өздігінен құрастырылған IP тақырыптары арқылы TCP және UDP пакеттерін қайта құрастыра алады..

 

message structure
хабарлама құрылымы

 

C префиксі әдет-ғұрыптың аббревиатурасы болып табылады. Мысал ретінде CUDP және UDP алу, Ғафғыттың бастапқы нұсқасында, шығарылған пәрмендегі параметрлерді қамтиды: ip, порт, уақыт, жалған, пакет өлшемі, Поллинтервал және басқа өріс мәндері және жалауша биттері UDP пакеттерін құру үшін. Бұл үлгіде, дегенмен, бақыланатын нәтижелер бұл параметрлерді шектеудің әртүрлі дәрежелеріне қолдану екенін көрсетеді, DDOS шабуылдарының нақты түрлерінің икемділігін арттыра алады.

CUDP және UDP салыстыру

Басқа модульдердің функцияларына пайдаланушы-агент жолдарының көп санын қосу кіреді, олар CC шабуылдары үшін HTTP пәрмендерін іске қосу үшін пайдаланылады:

CC шабуылы

Valve's Source Engine серверлеріне қарсы шабуылдар үшін енгізілген: ("Бастапқы қозғалтқыш" сұраулар клиенттер мен арасындағы күнделікті қарым-қатынастың бөлігі болып табылады ойын серверлері Valve бағдарламалық протоколын пайдалану)

Ойын индустриясына қарсы шабуылдар

IP қосылымын ауыстыра алатын CNC пәрмендерін қоса:

қосылым IP

SYN және ACK шабуылдарын қамтиды:

SYN және ACK шабуылдары

Соның ішінде UDP STD су тасқыны шабуылдары:

ЖЖБИ шабуылы

Оның ішінде XMAS шабуылы: (Бұл, Жаңа жылдық шыршаға шабуыл, TCP барлық жалауша биттерін орнату арқылы 1, осылайша мақсатты жүйенің жауап өңдеу ресурстарын көбірек тұтынады)

XMAS шабуылы

NIGGA модулі бастапқы нұсқадағы KILLATTK пәрменіне баламалы, ол негізгі процестен басқа барлық еншілес процестерді жою арқылы DoSS шабуылдарын тоқтатады

NIGGA модулі

Салыстырмалы талдау
Бастапқы кодта негізгі логиканы сақтайтын processCmd функциясына PING кіреді, ГЕТЛОКАЛИП, СКАНЕР, ЭЛЕКТРОНДЫҚ ПОШТА, ҚОСЫМША, UDP, TCP, ҰСТАЙДЫ, KILLATTK, және LOLNOGTFO модульдері. Осы жолы түсірілген нұсқа эксплойтінде UDP және TCP модульдерінің жеңілдетілген нұсқалары ғана бірге бар.. .

Және жергілікті IP алу операциясында, бастапқы нұсқа жергілікті IP-ді /proc/net/route арқылы алады және оны GETLOCALIP модулі арқылы қайтарады. Бұл нұсқада бірдей алу операциясы байқалады, бірақ GETLOCALIP модулі жоқ және сілтемелер байқалмайды.

Жергілікті IP алыңыз

Айта кету керек, SSH жарылыс үшін пайдаланылатын SCANNER модулінің түпнұсқа нұсқасы жоқ (порт 22) үлгінің осы түрінде, және бірнеше ендірілген басқа нұсқалар жоқ "қолданбалар/құрылғы" Payload арқылы таралатын осалдықтар. Шабуылдаушы таралу модулін тәуелсіз бағдарламаларға бөлетінін көруге болады, жәбірленуші хостқа сәтті кіргеннен кейін, ол қабықша кодын орындау арқылы келесі кезеңге байланыс үлгісін жүктеп алады, Бұл, талдау үлгісі.

Shellcode мысалын орындаңыз

Мысал ретінде бір көзден алынған үлгілерді алу, шабуылдаушы үлгілердің көпшілігі үшін жөндеу ақпаратын жойды, кейбіреулерін қоспағанда, сияқты: x86.

Махаббатыңызбен бөлісіңіз

Қатысты хабарламалар

пікір қалдыру

Электрондық пошта мекенжайыңыз жарияланбайды. Міндетті өрістер белгіленген *