អ៊ីមែល: anwenqq2690502116@gmail.com

ការរកឃើញ Tinder និងការសម្លាប់

ផ្តោតលើអ៊ីនធឺណិតនៃវត្ថុ, វ៉ារ្យ៉ង់ថ្មីនៃ "ហ្គាហ្វីត" Trojan លេចឡើង

ផ្តោតលើអ៊ីនធឺណិតនៃវត្ថុ, វ៉ារ្យ៉ង់ថ្មីនៃ "ហ្គាហ្វីត" Trojan លេចឡើង. ថ្មីៗនេះ, Huorong Security Lab បានរកឃើញឧបទ្ទវហេតុឆ្លងមេរោគ, ដែលត្រូវបានបញ្ជាក់ថាជាវ៉ារ្យ៉ង់ថ្មីនៃមេរោគ Gafgyt Trojan បន្ទាប់ពីការស៊ើបអង្កេត និងការវិភាគ.

ផ្តោតលើអ៊ីនធឺណិតនៃវត្ថុ, វ៉ារ្យ៉ង់ថ្មីនៃ "ហ្គាហ្វីត" Trojan លេចឡើង

ថ្មីៗនេះ, Huorong Security Lab បានរកឃើញឧបទ្ទវហេតុឆ្លងមេរោគ, ដែលត្រូវបានបញ្ជាក់ថាជាវ៉ារ្យ៉ង់ថ្មីនៃមេរោគ Gafgyt Trojan បន្ទាប់ពីការស៊ើបអង្កេត និងការវិភាគ.

Gafgyt គឺជាកម្មវិធី IoT botnet ផ្អែកលើពិធីការ IRC, ដែលភាគច្រើនឆ្លងមេរោគដែលមានមូលដ្ឋានលើលីនុច ឧបករណ៍ IoT ដើម្បីចាប់ផ្តើមការវាយប្រហារការបដិសេធសេវាកម្មចែកចាយ (DDoS). វាគឺជាគ្រួសារ IoT botnet សកម្មធំបំផុតក្រៅពីគ្រួសារ Mirai.

បន្ទាប់​ពី​កូដ​ប្រភព​របស់​វា​ត្រូវ​បាន​លេច​ធ្លាយ និង​បង្ហោះ​ទៅ GitHub ក្នុង 2015, វ៉ារ្យ៉ង់ និងការកេងប្រវ័ញ្ចផ្សេងៗបានលេចចេញម្តងមួយៗ, បង្កការគំរាមកំហែងសន្តិសុខកាន់តែខ្លាំងដល់អ្នកប្រើប្រាស់. នៅ​ពេល​បច្ចុប្បន្ន, ផលិតផលសុវត្ថិភាព Huorong អាចស្ទាក់ចាប់ និងសម្លាប់មេរោគដែលបានរៀបរាប់ខាងលើ. អ្នក​ប្រើ​សហគ្រាស​ត្រូវ​បាន​ស្នើ​ឱ្យ​ធ្វើ​បច្ចុប្បន្នភាព​មូលដ្ឋាន​ទិន្នន័យ​មេរោគ​ទាន់​ពេល​សម្រាប់​ការ​ការពារ.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. ការវិភាគគំរូ
មេរោគដំបូងប្តូរឈ្មោះដំណើរការរបស់វាទៅជា "/usr/sbin/dropbear" ឬ "sshd" ដើម្បីលាក់ខ្លួន:

process rename
ដំណើរការប្តូរឈ្មោះ

ក្នុងចំណោម​ពួកគេ, ខ្សែអក្សរដែលបានអ៊ិនគ្រីបត្រូវបានរកឃើញ, ហើយក្បួនដោះស្រាយការឌិគ្រីបគឺជាបៃ XOR នៃ 0xDEDEFFBA. នៅពេលប្រើ, មានតែរបស់ដែលបានប្រើប៉ុណ្ណោះដែលត្រូវបានឌិគ្រីបជាលក្ខណៈបុគ្គល, ប៉ុន្តែ​មាន​តែ 4 ត្រូវបានយោងយ៉ាងពិតប្រាកដ:

Encrypted string and decryption algorithm
ខ្សែអក្សរដែលបានអ៊ិនគ្រីប និងក្បួនដោះស្រាយការឌិគ្រីប

 

សេចក្តីយោងដំបូងគឺគ្រាន់តែបញ្ចេញខ្សែដែលត្រូវគ្នាទៅនឹងអេក្រង់ប៉ុណ្ណោះ។, ហើយឯកសារយោងពីរកណ្តាលគឺជាប្រតិបត្តិការលើដំណើរការឃ្លាំមើល ដើម្បីជៀសវាងការបាត់បង់ការគ្រប់គ្រងដោយសារការចាប់ផ្ដើមឧបករណ៍ឡើងវិញ:

decrypt and quote

ឌិគ្រីប និងដកស្រង់

 

ប្រតិបត្តិការដែលនៅសល់ត្រូវបានអនុវត្តនៅក្នុងរង្វិលជុំ, រួមទាំងការចាប់ផ្តើមការតភ្ជាប់ C2 (94.156.161.21:671), បញ្ជូនប្រភេទឧបករណ៍វេទិកា, ទទួលពាក្យបញ្ជាត្រឡប់ និងដំណើរការប្រតិបត្តិការម៉ូឌុលដែលត្រូវគ្នា។. ហើយ​បើ​ធៀប​នឹង​ប្រភព​កូដ​ដែល​លេច​ធ្លាយ​ដោយ Gafgy, ទ្រង់ទ្រាយ និងដំណើរការនៃពាក្យបញ្ជាមិនមានការផ្លាស់ប្តូរច្រើនទេ។, ហើយទម្រង់ពាក្យបញ្ជានៅតែដដែល "!*បញ្ជា [ប៉ារ៉ាម៉ែត្រ]"

loop operation code

កូដប្រតិបត្តិការរង្វិលជុំ

 

នៅក្នុងមុខងារ Cmd, សរុប 14 ពាក្យបញ្ជាត្រូវបានឆ្លើយតប និងការវាយប្រហារ DDOS ដែលត្រូវគ្នាត្រូវបានចាប់ផ្តើម, រួមទាំង: "HTTP", "ផ្នែកបន្ថែម CUDP", "UDP", "ជំងឺកាមរោគ", "JSC", "TCP", "SYN" , "អេក", "CXMAS", "XMAS", "CVSE", "អ្វីគ្រប់យ៉ាង", "CNC", "NIGGA"

command screenshot - IoT security
រូបថតអេក្រង់ពាក្យបញ្ជា - សុវត្ថិភាព IoT

 

ក្នុងចំណោម​ពួកគេ, CUDP, UDP, JSC, ហើយម៉ូឌុល TCP ទាំងអស់អាចផ្ញើខ្សែចៃដន្យទៅកាន់ IP និងច្រកដែលបានបញ្ជាក់, ហើយអាចបង្កើតកញ្ចប់ TCP និង UDP ឡើងវិញដោយបឋមកថា IP ដែលបង្កើតដោយខ្លួនឯងដើម្បីលាក់អាសយដ្ឋាន IP ប្រភព.

 

message structure
រចនាសម្ព័ន្ធសារ

 

បុព្វបទ C ត្រូវបានទាយថាជាអក្សរកាត់នៃទំនៀមទម្លាប់. យក CUDP និង UDP ជាឧទាហរណ៍, នៅក្នុងកំណែដើមរបស់ Gafgyt, ប៉ារ៉ាម៉ែត្រនៅក្នុងពាក្យបញ្ជាដែលបានចេញរួមមាន: អាយភី, ច្រក, ពេលវេលា, ក្លែងបន្លំ, ទំហំកញ្ចប់, pollinterval និងតម្លៃវាលផ្សេងទៀត និងទង់ទង់ជាតិសម្រាប់ការសាងសង់កញ្ចប់ UDP. នៅក្នុងគំរូនេះ។, ទោះយ៉ាងណាក៏ដោយ, លទ្ធផលដែលបានសង្កេតបង្ហាញថាវាគឺជាការអនុវត្តប៉ារ៉ាម៉ែត្រទាំងនេះទៅនឹងកម្រិតនៃការរឹតបន្តឹងផ្សេងៗគ្នា, ដែលអាចបង្កើនភាពបត់បែននៃប្រភេទជាក់លាក់នៃការវាយប្រហារ DDOS.

ការប្រៀបធៀប CUDP និង UDP

មុខងារនៃម៉ូឌុលផ្សេងទៀតរួមមានការបន្ថែមខ្សែអក្សរ User-Agent មួយចំនួនធំ, ដែលត្រូវបានប្រើដើម្បីបើកដំណើរការពាក្យបញ្ជា HTTP សម្រាប់ការវាយប្រហារ CC:

ការវាយប្រហារ CC

រួមបញ្ចូលសម្រាប់ការវាយប្រហារប្រឆាំងនឹងម៉ាស៊ីនមេប្រភពរបស់ Valve: ("ម៉ាស៊ីនប្រភព" សំណួរគឺជាផ្នែកមួយនៃទំនាក់ទំនងប្រចាំថ្ងៃរវាងអតិថិជន និង ម៉ាស៊ីនមេហ្គេម ដោយប្រើពិធីការកម្មវិធី Valve)

ការវាយប្រហារប្រឆាំងនឹងឧស្សាហកម្មហ្គេម

រួមទាំងពាក្យបញ្ជា CNC ដែលអាចប្តូរ IP នៃការតភ្ជាប់:

ប្តូរការតភ្ជាប់ IP

រួមបញ្ចូលការវាយប្រហារ SYN និង ACK:

ការវាយប្រហារ SYN និង ACK

រួមទាំងការវាយប្រហារដោយទឹកជំនន់ UDP STD:

ការវាយប្រហារដោយជំងឺកាមរោគ

រួមទាំងការវាយប្រហារ XMAS: (នោះគឺ, ការវាយប្រហារដើមឈើណូអែល, ដោយកំណត់ទង់ទង់ជាតិទាំងអស់នៃ TCP ទៅ 1, ដូច្នេះការប្រើប្រាស់ធនធានដំណើរការឆ្លើយតបកាន់តែច្រើននៃប្រព័ន្ធគោលដៅ)

ការវាយប្រហារ XMAS

ម៉ូឌុល NIGGA គឺស្មើនឹងពាក្យបញ្ជា KILLATTK នៅក្នុងកំណែដើម, ដែលបញ្ឈប់ការវាយប្រហារ DoSS ដោយសម្លាប់ដំណើរការកុមារទាំងអស់ លើកលែងតែដំណើរការចម្បង

ម៉ូឌុល NIGGA

ការវិភាគប្រៀបធៀប
ដំណើរការអនុគមន៍ Cmd ដែលរក្សាទុកតក្កវិជ្ជាចម្បងនៅក្នុងកូដប្រភពរួមមាន PING, ហ្គេតឡូកាលីប, ម៉ាស៊ីនស្កេន, អ៊ីមែល, ជុន, UDP, TCP, កាន់, KILLATTK, និងម៉ូឌុល LOLNOGTFO. មានតែកំណែសាមញ្ញនៃម៉ូឌុល UDP និង TCP ប៉ុណ្ណោះដែលនៅជាមួយគ្នានៅក្នុងការកេងប្រវ័ញ្ចវ៉ារ្យ៉ង់ដែលបានចាប់យកនៅពេលនេះ. .

ហើយនៅក្នុងប្រតិបត្តិការនៃការទទួលបាន IP មូលដ្ឋាន, កំណែដើមទទួលបាន IP មូលដ្ឋានតាមរយៈ /proc/net/route ហើយបញ្ជូនវាមកវិញតាមរយៈម៉ូឌុល GETLOCALIP. ប្រតិបត្តិការទទួលបានដូចគ្នាត្រូវបានអង្កេតនៅក្នុងវ៉ារ្យ៉ង់នេះ។, ប៉ុន្តែមិនមានម៉ូឌុល GETLOCALIP ហើយគ្មានឯកសារយោងណាមួយត្រូវបានអង្កេតឃើញ.

ទទួលបាន IP ក្នុងស្រុក

វាគួរឱ្យកត់សម្គាល់ថាមិនមានកំណែដើមនៃម៉ូឌុល SCANNER ដែលត្រូវបានប្រើដើម្បីបំផ្ទុះ SSH ទេ។ (ច្រក 22) នៅក្នុងគំរូប្រភេទនេះ។, ហើយមិនមានវ៉ារ្យ៉ង់ផ្សេងទៀតដែលបង្កប់ច្រើន។ "កម្មវិធី/ឧបករណ៍" ភាពងាយរងគ្រោះក្នុងការរីករាលដាលតាមរយៈ Payload. វាអាចត្រូវបានគេមើលឃើញថាអ្នកវាយប្រហារបំបែកម៉ូឌុលផ្សព្វផ្សាយទៅជាកម្មវិធីឯករាជ្យ, ហើយ​បន្ទាប់​ពី​បាន​ជោគជ័យ​ចូល​ទៅ​ម្ចាស់​ផ្ទះ​ជន​រង​គ្រោះ, គាត់នឹងទាញយកគំរូទំនាក់ទំនងសម្រាប់ដំណាក់កាលបន្ទាប់ដោយប្រតិបត្តិសែលកូដ, នោះគឺ, គំរូវិភាគ.

ប្រតិបត្តិឧទាហរណ៍កូដសែល

យកគំរូដែលទទួលបានពីប្រភពដូចគ្នាជាឧទាហរណ៍, អ្នកវាយប្រហារបានដកយកព័ត៌មានបំបាត់កំហុសសម្រាប់គំរូភាគច្រើន, លើកលែងតែពីរបី, ដូចជា: x86.

ចែករំលែកក្តីស្រលាញ់របស់អ្នក។

ប្រកាសដែលពាក់ព័ន្ធ

ទុកការឆ្លើយតប

អាសយដ្ឋានអ៊ីមែលរបស់អ្នកនឹងមិនត្រូវបានផ្សព្វផ្សាយទេ។. វាលដែលត្រូវការត្រូវបានសម្គាល់ *