អ៊ីមែល: anwenqq2690502116@gmail.com
ផ្តោតលើអ៊ីនធឺណិតនៃវត្ថុ, វ៉ារ្យ៉ង់ថ្មីនៃ "ហ្គាហ្វីត" Trojan លេចឡើង
ថ្មីៗនេះ, Huorong Security Lab បានរកឃើញឧបទ្ទវហេតុឆ្លងមេរោគ, ដែលត្រូវបានបញ្ជាក់ថាជាវ៉ារ្យ៉ង់ថ្មីនៃមេរោគ Gafgyt Trojan បន្ទាប់ពីការស៊ើបអង្កេត និងការវិភាគ.
Gafgyt គឺជាកម្មវិធី IoT botnet ផ្អែកលើពិធីការ IRC, ដែលភាគច្រើនឆ្លងមេរោគដែលមានមូលដ្ឋានលើលីនុច ឧបករណ៍ IoT ដើម្បីចាប់ផ្តើមការវាយប្រហារការបដិសេធសេវាកម្មចែកចាយ (DDoS). វាគឺជាគ្រួសារ IoT botnet សកម្មធំបំផុតក្រៅពីគ្រួសារ Mirai.
បន្ទាប់ពីកូដប្រភពរបស់វាត្រូវបានលេចធ្លាយ និងបង្ហោះទៅ GitHub ក្នុង 2015, វ៉ារ្យ៉ង់ និងការកេងប្រវ័ញ្ចផ្សេងៗបានលេចចេញម្តងមួយៗ, បង្កការគំរាមកំហែងសន្តិសុខកាន់តែខ្លាំងដល់អ្នកប្រើប្រាស់. នៅពេលបច្ចុប្បន្ន, ផលិតផលសុវត្ថិភាព Huorong អាចស្ទាក់ចាប់ និងសម្លាប់មេរោគដែលបានរៀបរាប់ខាងលើ. អ្នកប្រើសហគ្រាសត្រូវបានស្នើឱ្យធ្វើបច្ចុប្បន្នភាពមូលដ្ឋានទិន្នន័យមេរោគទាន់ពេលសម្រាប់ការការពារ.
1. ការវិភាគគំរូ
មេរោគដំបូងប្តូរឈ្មោះដំណើរការរបស់វាទៅជា "/usr/sbin/dropbear" ឬ "sshd" ដើម្បីលាក់ខ្លួន:
ដំណើរការប្តូរឈ្មោះ
ក្នុងចំណោមពួកគេ, ខ្សែអក្សរដែលបានអ៊ិនគ្រីបត្រូវបានរកឃើញ, ហើយក្បួនដោះស្រាយការឌិគ្រីបគឺជាបៃ XOR នៃ 0xDEDEFFBA. នៅពេលប្រើ, មានតែរបស់ដែលបានប្រើប៉ុណ្ណោះដែលត្រូវបានឌិគ្រីបជាលក្ខណៈបុគ្គល, ប៉ុន្តែមានតែ 4 ត្រូវបានយោងយ៉ាងពិតប្រាកដ:
ខ្សែអក្សរដែលបានអ៊ិនគ្រីប និងក្បួនដោះស្រាយការឌិគ្រីប
សេចក្តីយោងដំបូងគឺគ្រាន់តែបញ្ចេញខ្សែដែលត្រូវគ្នាទៅនឹងអេក្រង់ប៉ុណ្ណោះ។, ហើយឯកសារយោងពីរកណ្តាលគឺជាប្រតិបត្តិការលើដំណើរការឃ្លាំមើល ដើម្បីជៀសវាងការបាត់បង់ការគ្រប់គ្រងដោយសារការចាប់ផ្ដើមឧបករណ៍ឡើងវិញ:
ឌិគ្រីប និងដកស្រង់
ប្រតិបត្តិការដែលនៅសល់ត្រូវបានអនុវត្តនៅក្នុងរង្វិលជុំ, រួមទាំងការចាប់ផ្តើមការតភ្ជាប់ C2 (94.156.161.21:671), បញ្ជូនប្រភេទឧបករណ៍វេទិកា, ទទួលពាក្យបញ្ជាត្រឡប់ និងដំណើរការប្រតិបត្តិការម៉ូឌុលដែលត្រូវគ្នា។. ហើយបើធៀបនឹងប្រភពកូដដែលលេចធ្លាយដោយ Gafgy, ទ្រង់ទ្រាយ និងដំណើរការនៃពាក្យបញ្ជាមិនមានការផ្លាស់ប្តូរច្រើនទេ។, ហើយទម្រង់ពាក្យបញ្ជានៅតែដដែល "!*បញ្ជា [ប៉ារ៉ាម៉ែត្រ]"
កូដប្រតិបត្តិការរង្វិលជុំ
នៅក្នុងមុខងារ Cmd, សរុប 14 ពាក្យបញ្ជាត្រូវបានឆ្លើយតប និងការវាយប្រហារ DDOS ដែលត្រូវគ្នាត្រូវបានចាប់ផ្តើម, រួមទាំង: "HTTP", "ផ្នែកបន្ថែម CUDP", "UDP", "ជំងឺកាមរោគ", "JSC", "TCP", "SYN" , "អេក", "CXMAS", "XMAS", "CVSE", "អ្វីគ្រប់យ៉ាង", "CNC", "NIGGA"
រូបថតអេក្រង់ពាក្យបញ្ជា - សុវត្ថិភាព IoT
ក្នុងចំណោមពួកគេ, CUDP, UDP, JSC, ហើយម៉ូឌុល TCP ទាំងអស់អាចផ្ញើខ្សែចៃដន្យទៅកាន់ IP និងច្រកដែលបានបញ្ជាក់, ហើយអាចបង្កើតកញ្ចប់ TCP និង UDP ឡើងវិញដោយបឋមកថា IP ដែលបង្កើតដោយខ្លួនឯងដើម្បីលាក់អាសយដ្ឋាន IP ប្រភព.
រចនាសម្ព័ន្ធសារ
បុព្វបទ C ត្រូវបានទាយថាជាអក្សរកាត់នៃទំនៀមទម្លាប់. យក CUDP និង UDP ជាឧទាហរណ៍, នៅក្នុងកំណែដើមរបស់ Gafgyt, ប៉ារ៉ាម៉ែត្រនៅក្នុងពាក្យបញ្ជាដែលបានចេញរួមមាន: អាយភី, ច្រក, ពេលវេលា, ក្លែងបន្លំ, ទំហំកញ្ចប់, pollinterval និងតម្លៃវាលផ្សេងទៀត និងទង់ទង់ជាតិសម្រាប់ការសាងសង់កញ្ចប់ UDP. នៅក្នុងគំរូនេះ។, ទោះយ៉ាងណាក៏ដោយ, លទ្ធផលដែលបានសង្កេតបង្ហាញថាវាគឺជាការអនុវត្តប៉ារ៉ាម៉ែត្រទាំងនេះទៅនឹងកម្រិតនៃការរឹតបន្តឹងផ្សេងៗគ្នា, ដែលអាចបង្កើនភាពបត់បែននៃប្រភេទជាក់លាក់នៃការវាយប្រហារ DDOS.
ការប្រៀបធៀប CUDP និង UDP
មុខងារនៃម៉ូឌុលផ្សេងទៀតរួមមានការបន្ថែមខ្សែអក្សរ User-Agent មួយចំនួនធំ, ដែលត្រូវបានប្រើដើម្បីបើកដំណើរការពាក្យបញ្ជា HTTP សម្រាប់ការវាយប្រហារ CC:
ការវាយប្រហារ CC
រួមបញ្ចូលសម្រាប់ការវាយប្រហារប្រឆាំងនឹងម៉ាស៊ីនមេប្រភពរបស់ Valve: ("ម៉ាស៊ីនប្រភព" សំណួរគឺជាផ្នែកមួយនៃទំនាក់ទំនងប្រចាំថ្ងៃរវាងអតិថិជន និង ម៉ាស៊ីនមេហ្គេម ដោយប្រើពិធីការកម្មវិធី Valve)
ការវាយប្រហារប្រឆាំងនឹងឧស្សាហកម្មហ្គេម
រួមទាំងពាក្យបញ្ជា CNC ដែលអាចប្តូរ IP នៃការតភ្ជាប់:
ប្តូរការតភ្ជាប់ IP
រួមបញ្ចូលការវាយប្រហារ SYN និង ACK:
ការវាយប្រហារ SYN និង ACK
រួមទាំងការវាយប្រហារដោយទឹកជំនន់ UDP STD:
ការវាយប្រហារដោយជំងឺកាមរោគ
រួមទាំងការវាយប្រហារ XMAS: (នោះគឺ, ការវាយប្រហារដើមឈើណូអែល, ដោយកំណត់ទង់ទង់ជាតិទាំងអស់នៃ TCP ទៅ 1, ដូច្នេះការប្រើប្រាស់ធនធានដំណើរការឆ្លើយតបកាន់តែច្រើននៃប្រព័ន្ធគោលដៅ)
ការវាយប្រហារ XMAS
ម៉ូឌុល NIGGA គឺស្មើនឹងពាក្យបញ្ជា KILLATTK នៅក្នុងកំណែដើម, ដែលបញ្ឈប់ការវាយប្រហារ DoSS ដោយសម្លាប់ដំណើរការកុមារទាំងអស់ លើកលែងតែដំណើរការចម្បង
ម៉ូឌុល NIGGA
ការវិភាគប្រៀបធៀប
ដំណើរការអនុគមន៍ Cmd ដែលរក្សាទុកតក្កវិជ្ជាចម្បងនៅក្នុងកូដប្រភពរួមមាន PING, ហ្គេតឡូកាលីប, ម៉ាស៊ីនស្កេន, អ៊ីមែល, ជុន, UDP, TCP, កាន់, KILLATTK, និងម៉ូឌុល LOLNOGTFO. មានតែកំណែសាមញ្ញនៃម៉ូឌុល UDP និង TCP ប៉ុណ្ណោះដែលនៅជាមួយគ្នានៅក្នុងការកេងប្រវ័ញ្ចវ៉ារ្យ៉ង់ដែលបានចាប់យកនៅពេលនេះ. .
ហើយនៅក្នុងប្រតិបត្តិការនៃការទទួលបាន IP មូលដ្ឋាន, កំណែដើមទទួលបាន IP មូលដ្ឋានតាមរយៈ /proc/net/route ហើយបញ្ជូនវាមកវិញតាមរយៈម៉ូឌុល GETLOCALIP. ប្រតិបត្តិការទទួលបានដូចគ្នាត្រូវបានអង្កេតនៅក្នុងវ៉ារ្យ៉ង់នេះ។, ប៉ុន្តែមិនមានម៉ូឌុល GETLOCALIP ហើយគ្មានឯកសារយោងណាមួយត្រូវបានអង្កេតឃើញ.
ទទួលបាន IP ក្នុងស្រុក
វាគួរឱ្យកត់សម្គាល់ថាមិនមានកំណែដើមនៃម៉ូឌុល SCANNER ដែលត្រូវបានប្រើដើម្បីបំផ្ទុះ SSH ទេ។ (ច្រក 22) នៅក្នុងគំរូប្រភេទនេះ។, ហើយមិនមានវ៉ារ្យ៉ង់ផ្សេងទៀតដែលបង្កប់ច្រើន។ "កម្មវិធី/ឧបករណ៍" ភាពងាយរងគ្រោះក្នុងការរីករាលដាលតាមរយៈ Payload. វាអាចត្រូវបានគេមើលឃើញថាអ្នកវាយប្រហារបំបែកម៉ូឌុលផ្សព្វផ្សាយទៅជាកម្មវិធីឯករាជ្យ, ហើយបន្ទាប់ពីបានជោគជ័យចូលទៅម្ចាស់ផ្ទះជនរងគ្រោះ, គាត់នឹងទាញយកគំរូទំនាក់ទំនងសម្រាប់ដំណាក់កាលបន្ទាប់ដោយប្រតិបត្តិសែលកូដ, នោះគឺ, គំរូវិភាគ.
ប្រតិបត្តិឧទាហរណ៍កូដសែល
យកគំរូដែលទទួលបានពីប្រភពដូចគ្នាជាឧទាហរណ៍, អ្នកវាយប្រហារបានដកយកព័ត៌មានបំបាត់កំហុសសម្រាប់គំរូភាគច្រើន, លើកលែងតែពីរបី, ដូចជា: x86.