ಇಮೇಲ್: anwenqq2690502116@gmail.com
ಇಂಟರ್ನೆಟ್ ಆಫ್ ಥಿಂಗ್ಸ್ ಅನ್ನು ಗುರಿಯಾಗಿಸಿಕೊಂಡಿದೆ, ನ ಹೊಸ ರೂಪಾಂತರ "ಗ್ಯಾಫಿಟ್" ಟ್ರೋಜನ್ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ
ಇತ್ತೀಚೆಗೆ, ಹುರೊಂಗ್ ಸೆಕ್ಯುರಿಟಿ ಲ್ಯಾಬ್ ವೈರಸ್ ಒಳನುಗ್ಗುವ ಘಟನೆಯನ್ನು ಕಂಡುಹಿಡಿದಿದೆ, ತನಿಖೆ ಮತ್ತು ವಿಶ್ಲೇಷಣೆಯ ನಂತರ ಇದು ಗಫ್ಗಿಟ್ ಟ್ರೋಜನ್ ವೈರಸ್ನ ಹೊಸ ರೂಪಾಂತರವಾಗಿದೆ ಎಂದು ದೃಢಪಡಿಸಲಾಯಿತು.
Gafgyt IRC ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಆಧರಿಸಿದ IoT ಬಾಟ್ನೆಟ್ ಪ್ರೋಗ್ರಾಂ ಆಗಿದೆ, ಇದು ಮುಖ್ಯವಾಗಿ Linux-ಆಧಾರಿತವಾಗಿ ಸೋಂಕು ತರುತ್ತದೆ IoT ಸಾಧನಗಳು ಸೇವೆಯ ವಿತರಣೆಯ ನಿರಾಕರಣೆ ದಾಳಿಯನ್ನು ಪ್ರಾರಂಭಿಸಲು (DDoS). ಇದು ಮಿರಾಯ್ ಕುಟುಂಬಕ್ಕಿಂತ ದೊಡ್ಡ ಸಕ್ರಿಯ IoT ಬಾಟ್ನೆಟ್ ಕುಟುಂಬವಾಗಿದೆ.
ಅದರ ಮೂಲ ಕೋಡ್ ಸೋರಿಕೆಯಾದ ನಂತರ ಮತ್ತು GitHub ಗೆ ಅಪ್ಲೋಡ್ ಮಾಡಿದ ನಂತರ 2015, ವಿವಿಧ ರೂಪಾಂತರಗಳು ಮತ್ತು ಶೋಷಣೆಗಳು ಒಂದರ ನಂತರ ಒಂದರಂತೆ ಹೊರಹೊಮ್ಮಿದವು, ಬಳಕೆದಾರರಿಗೆ ಹೆಚ್ಚಿನ ಭದ್ರತಾ ಬೆದರಿಕೆಯನ್ನು ಒಡ್ಡುತ್ತದೆ. ಪ್ರಸ್ತುತ, Huorong ಭದ್ರತಾ ಉತ್ಪನ್ನಗಳು ಮೇಲೆ ತಿಳಿಸಿದ ವೈರಸ್ಗಳನ್ನು ಪ್ರತಿಬಂಧಿಸಬಹುದು ಮತ್ತು ಕೊಲ್ಲಬಹುದು. ಎಂಟರ್ಪ್ರೈಸ್ ಬಳಕೆದಾರರಿಗೆ ರಕ್ಷಣೆಗಾಗಿ ಸಮಯಕ್ಕೆ ವೈರಸ್ ಡೇಟಾಬೇಸ್ ಅನ್ನು ನವೀಕರಿಸಲು ವಿನಂತಿಸಲಾಗಿದೆ.
1. ಮಾದರಿ ವಿಶ್ಲೇಷಣೆ
ವೈರಸ್ ಮೊದಲು ತನ್ನದೇ ಆದ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಮರುಹೆಸರಿಸುತ್ತದೆ "/usr/sbin/dropbear" ಅಥವಾ "sshd" ತನ್ನನ್ನು ಮರೆಮಾಡಲು:
ಪ್ರಕ್ರಿಯೆ ಮರುಹೆಸರು
ಅವುಗಳಲ್ಲಿ, ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸ್ಟ್ರಿಂಗ್ ಕಂಡುಬರುತ್ತದೆ, ಮತ್ತು ಡೀಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್ 0xDEDEFFBA ನ ಬೈಟ್ XOR ಆಗಿದೆ. ಬಳಸಿದಾಗ, ಬಳಸಿದವುಗಳನ್ನು ಮಾತ್ರ ಪ್ರತ್ಯೇಕವಾಗಿ ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗುತ್ತದೆ, ಆದರೆ ಮಾತ್ರ 4 ವಾಸ್ತವವಾಗಿ ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ:
ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸ್ಟ್ರಿಂಗ್ ಮತ್ತು ಡೀಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್
ಮೊದಲ ಉಲ್ಲೇಖವು ಅನುಗುಣವಾದ ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಪರದೆಯ ಮೇಲೆ ಔಟ್ಪುಟ್ ಮಾಡುವುದು ಮಾತ್ರ, ಮತ್ತು ಮಧ್ಯದ ಎರಡು ಉಲ್ಲೇಖಗಳು ಸಾಧನದ ಮರುಪ್ರಾರಂಭದ ಕಾರಣದಿಂದಾಗಿ ನಿಯಂತ್ರಣವನ್ನು ಕಳೆದುಕೊಳ್ಳುವುದನ್ನು ತಪ್ಪಿಸಲು ವಾಚ್ಡಾಗ್ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿನ ಕಾರ್ಯಾಚರಣೆಗಳಾಗಿವೆ:
ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿ ಮತ್ತು ಉಲ್ಲೇಖಿಸಿ
ಉಳಿದ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ಲೂಪ್ನಲ್ಲಿ ನಡೆಸಲಾಗುತ್ತದೆ, C2 ಸಂಪರ್ಕವನ್ನು ಪ್ರಾರಂಭಿಸುವುದು ಸೇರಿದಂತೆ (94.156.161.21:671), ಪ್ಲಾಟ್ಫಾರ್ಮ್ ಸಾಧನದ ಪ್ರಕಾರವನ್ನು ಕಳುಹಿಸಲಾಗುತ್ತಿದೆ, ರಿಟರ್ನ್ ಆಜ್ಞೆಯನ್ನು ಸ್ವೀಕರಿಸುವುದು ಮತ್ತು ಅನುಗುಣವಾದ ಮಾಡ್ಯೂಲ್ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದು. ಮತ್ತು Gafgy ಸೋರಿಕೆಯಾದ ಮೂಲ ಕೋಡ್ಗೆ ಹೋಲಿಸಿದರೆ, ಆಜ್ಞೆಯ ಸ್ವರೂಪ ಮತ್ತು ಪ್ರಕ್ರಿಯೆಯು ಹೆಚ್ಚು ಬದಲಾಗಿಲ್ಲ, ಮತ್ತು ಆಜ್ಞೆಯ ಸ್ವರೂಪವು ಇನ್ನೂ ಇರುತ್ತದೆ "!*ಆಜ್ಞೆ [ಪ್ಯಾರಾಮೀಟರ್]"
ಲೂಪ್ ಆಪರೇಷನ್ ಕೋಡ್
ಪ್ರಕ್ರಿಯೆCmd ಕಾರ್ಯದಲ್ಲಿ, ಒಟ್ಟಾಗಿ 14 ಆಜ್ಞೆಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಅನುಗುಣವಾದ DDOS ದಾಳಿಗಳನ್ನು ಪ್ರಾರಂಭಿಸಲಾಗುತ್ತದೆ, ಸೇರಿದಂತೆ: "HTTP", "CUDP ವಿಸ್ತರಣೆ", "ಯುಡಿಪಿ", "ಎಸ್ಟಿಡಿ", "JSC", "ಟಿಸಿಪಿ", "SYN" , "ಎಸಿಕೆ", "CXMAS", "ಕ್ರಿಸ್ಮಸ್", "CVSE", "ಎಲ್ಲವೂ", "CNC", "NIGGA"
ಆಜ್ಞೆಯ ಸ್ಕ್ರೀನ್ಶಾಟ್ - IoT ಭದ್ರತೆ
ಅವುಗಳಲ್ಲಿ, CUDP, ಯುಡಿಪಿ, JSC, ಮತ್ತು TCP ಮಾಡ್ಯೂಲ್ಗಳು ಎಲ್ಲಾ ಯಾದೃಚ್ಛಿಕ ತಂತಿಗಳನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ IP ಮತ್ತು ಪೋರ್ಟ್ಗೆ ಕಳುಹಿಸಬಹುದು, ಮತ್ತು ಮೂಲ IP ವಿಳಾಸವನ್ನು ಮರೆಮಾಡಲು ಸ್ವಯಂ-ನಿರ್ಮಿತ IP ಹೆಡರ್ಗಳ ಮೂಲಕ TCP ಮತ್ತು UDP ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಮರುನಿರ್ಮಾಣ ಮಾಡಬಹುದು.
ಸಂದೇಶ ರಚನೆ
C ಪೂರ್ವಪ್ರತ್ಯಯವು ಕಸ್ಟಮ್ನ ಸಂಕ್ಷೇಪಣವಾಗಿದೆ ಎಂದು ಊಹಿಸಲಾಗಿದೆ. CUDP ಮತ್ತು UDP ಯನ್ನು ಉದಾಹರಣೆಗಳಾಗಿ ತೆಗೆದುಕೊಳ್ಳುವುದು, Gafgyt ನ ಮೂಲ ಆವೃತ್ತಿಯಲ್ಲಿ, ನೀಡಿದ ಆಜ್ಞೆಯಲ್ಲಿನ ನಿಯತಾಂಕಗಳು ಸೇರಿವೆ: ip, ಬಂದರು, ಸಮಯ, ವಂಚನೆ ಮಾಡಿದರು, ಪ್ಯಾಕೆಟ್ ಮಾಡಿ, ಯುಡಿಪಿ ಪ್ಯಾಕೆಟ್ಗಳ ನಿರ್ಮಾಣಕ್ಕಾಗಿ ಪಾಲಿಂಟರ್ವಲ್ ಮತ್ತು ಇತರ ಕ್ಷೇತ್ರ ಮೌಲ್ಯಗಳು ಮತ್ತು ಫ್ಲ್ಯಾಗ್ ಬಿಟ್ಗಳು. ಈ ಮಾದರಿಯಲ್ಲಿ, ಆದಾಗ್ಯೂ, ಗಮನಿಸಿದ ಫಲಿತಾಂಶಗಳು ಈ ನಿಯತಾಂಕಗಳನ್ನು ವಿವಿಧ ಹಂತದ ನಿರ್ಬಂಧಗಳಿಗೆ ಅನ್ವಯಿಸುತ್ತದೆ ಎಂದು ತೋರಿಸುತ್ತದೆ, ಇದು ನಿರ್ದಿಷ್ಟ ರೀತಿಯ DDOS ದಾಳಿಗಳ ನಮ್ಯತೆಯನ್ನು ಹೆಚ್ಚಿಸುತ್ತದೆ.
CUDP ಮತ್ತು UDP ಯ ಹೋಲಿಕೆ
ಇತರ ಮಾಡ್ಯೂಲ್ಗಳ ಕಾರ್ಯಗಳು ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಬಳಕೆದಾರ-ಏಜೆಂಟ್ ಸ್ಟ್ರಿಂಗ್ಗಳನ್ನು ಸೇರಿಸುವುದನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ, CC ದಾಳಿಗಳಿಗಾಗಿ HTTP ಆಜ್ಞೆಗಳನ್ನು ಪ್ರಾರಂಭಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ:
ಸಿಸಿ ದಾಳಿ
ವಾಲ್ವ್ನ ಸೋರ್ಸ್ ಇಂಜಿನ್ ಸರ್ವರ್ಗಳ ವಿರುದ್ಧದ ದಾಳಿಗೆ ಸೇರಿಸಲಾಗಿದೆ: ("ಮೂಲ ಎಂಜಿನ್" ಪ್ರಶ್ನೆಗಳು ಗ್ರಾಹಕರ ನಡುವಿನ ದೈನಂದಿನ ಸಂವಹನದ ಭಾಗವಾಗಿದೆ ಮತ್ತು ಆಟದ ಸರ್ವರ್ಗಳು ವಾಲ್ವ್ ಸಾಫ್ಟ್ವೇರ್ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸುವುದು)
ಗೇಮಿಂಗ್ ಉದ್ಯಮದ ವಿರುದ್ಧ ದಾಳಿಗಳು
ಸಂಪರ್ಕ ಐಪಿ ಬದಲಾಯಿಸಬಹುದಾದ CNC ಆಜ್ಞೆಗಳನ್ನು ಒಳಗೊಂಡಂತೆ:
ಸ್ವಿಚ್ ಸಂಪರ್ಕ ಐಪಿ
SYN ಮತ್ತು ACK ದಾಳಿಗಳನ್ನು ಒಳಗೊಂಡಿದೆ:
SYN ಮತ್ತು ACK ದಾಳಿಗಳು
UDP STD ಪ್ರವಾಹ ದಾಳಿಗಳು ಸೇರಿದಂತೆ:
STD ದಾಳಿ
XMAS ದಾಳಿ ಸೇರಿದಂತೆ: (ಅದು, ಕ್ರಿಸ್ಮಸ್ ಮರದ ದಾಳಿ, TCP ಯ ಎಲ್ಲಾ ಫ್ಲ್ಯಾಗ್ ಬಿಟ್ಗಳನ್ನು ಹೊಂದಿಸುವ ಮೂಲಕ 1, ಹೀಗಾಗಿ ಟಾರ್ಗೆಟ್ ಸಿಸ್ಟಮ್ನ ಹೆಚ್ಚು ಪ್ರತಿಕ್ರಿಯೆ ಪ್ರಕ್ರಿಯೆ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಸೇವಿಸುತ್ತದೆ)
XMAS ದಾಳಿ
NIGGA ಮಾಡ್ಯೂಲ್ ಮೂಲ ಆವೃತ್ತಿಯಲ್ಲಿ KILLATTK ಆದೇಶಕ್ಕೆ ಸಮನಾಗಿರುತ್ತದೆ, ಇದು ಮುಖ್ಯ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಹೊರತುಪಡಿಸಿ ಎಲ್ಲಾ ಮಕ್ಕಳ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಕೊಲ್ಲುವ ಮೂಲಕ DoSS ದಾಳಿಯನ್ನು ನಿಲ್ಲಿಸುತ್ತದೆ
NIGGA ಮಾಡ್ಯೂಲ್
ತುಲನಾತ್ಮಕ ವಿಶ್ಲೇಷಣೆ
ಮೂಲ ಕೋಡ್ನಲ್ಲಿ ಮುಖ್ಯ ತರ್ಕವನ್ನು ಸಂಗ್ರಹಿಸುವ ಕಾರ್ಯ processCmd PING ಅನ್ನು ಒಳಗೊಂಡಿದೆ, GETLOCALIP, ಸ್ಕ್ಯಾನರ್, ಇಮೇಲ್, ಜಂಕ್, ಯುಡಿಪಿ, ಟಿಸಿಪಿ, ಹಿಡಿದುಕೊಳ್ಳಿ, ಕಿಲ್ಲಟ್ಕ್, ಮತ್ತು LOLNOGTFO ಮಾಡ್ಯೂಲ್ಗಳು. UDP ಮತ್ತು TCP ಮಾಡ್ಯೂಲ್ಗಳ ಸರಳೀಕೃತ ಆವೃತ್ತಿಗಳು ಮಾತ್ರ ಈ ಬಾರಿ ಸೆರೆಹಿಡಿಯಲಾದ ವೇರಿಯಂಟ್ ಶೋಷಣೆಯಲ್ಲಿ ಸಹಬಾಳ್ವೆ ನಡೆಸುತ್ತವೆ. .
ಮತ್ತು ಸ್ಥಳೀಯ ಐಪಿ ಪಡೆಯುವ ಕಾರ್ಯಾಚರಣೆಯಲ್ಲಿ, ಮೂಲ ಆವೃತ್ತಿಯು ಸ್ಥಳೀಯ IP ಅನ್ನು /proc/net/route ಮೂಲಕ ಪಡೆಯುತ್ತದೆ ಮತ್ತು ಅದನ್ನು GETLOCALIP ಮಾಡ್ಯೂಲ್ ಮೂಲಕ ಹಿಂದಿರುಗಿಸುತ್ತದೆ. ಈ ರೂಪಾಂತರದಲ್ಲಿ ಅದೇ ಗೆಟ್ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಗಮನಿಸಲಾಗಿದೆ, ಆದರೆ ಯಾವುದೇ GETLOCALIP ಮಾಡ್ಯೂಲ್ ಇಲ್ಲ ಮತ್ತು ಯಾವುದೇ ಉಲ್ಲೇಖಗಳನ್ನು ಗಮನಿಸಲಾಗುವುದಿಲ್ಲ.
ಸ್ಥಳೀಯ ಐಪಿ ಪಡೆಯಿರಿ
SSH ಅನ್ನು ಸ್ಫೋಟಿಸಲು ಬಳಸಲಾಗುವ SCANNER ಮಾಡ್ಯೂಲ್ನ ಯಾವುದೇ ಮೂಲ ಆವೃತ್ತಿಯಿಲ್ಲ ಎಂಬುದು ಗಮನಿಸಬೇಕಾದ ಸಂಗತಿ (ಬಂದರು 22) ಈ ರೀತಿಯ ಮಾದರಿಯಲ್ಲಿ, ಮತ್ತು ಮಲ್ಟಿಪಲ್ ಅನ್ನು ಎಂಬೆಡ್ ಮಾಡುವ ಬೇರೆ ಯಾವುದೇ ರೂಪಾಂತರಗಳಿಲ್ಲ "ಅಪ್ಲಿಕೇಶನ್ಗಳು/ಸಾಧನ" ಪೇಲೋಡ್ ಮೂಲಕ ಹರಡಲು ದುರ್ಬಲತೆಗಳು. ಆಕ್ರಮಣಕಾರರು ಪ್ರಸರಣ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಸ್ವತಂತ್ರ ಕಾರ್ಯಕ್ರಮಗಳಾಗಿ ವಿಭಜಿಸುತ್ತಾರೆ ಎಂದು ನೋಡಬಹುದು, ಮತ್ತು ಬಲಿಪಶು ಹೋಸ್ಟ್ಗೆ ಯಶಸ್ವಿಯಾಗಿ ಲಾಗ್ ಇನ್ ಮಾಡಿದ ನಂತರ, ಅವರು ಶೆಲ್ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ಮೂಲಕ ಮುಂದಿನ ಹಂತಕ್ಕಾಗಿ ಸಂವಹನ ಮಾದರಿಯನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡುತ್ತಾರೆ, ಅದು, ವಿಶ್ಲೇಷಣೆ ಮಾದರಿ.
ಶೆಲ್ಕೋಡ್ ಉದಾಹರಣೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿ
ಅದೇ ಮೂಲದಿಂದ ಪಡೆದ ಮಾದರಿಗಳನ್ನು ಉದಾಹರಣೆಯಾಗಿ ತೆಗೆದುಕೊಳ್ಳುವುದು, ಆಕ್ರಮಣಕಾರರು ಹೆಚ್ಚಿನ ಮಾದರಿಗಳಿಗೆ ಡೀಬಗ್ ಮಾಡುವ ಮಾಹಿತಿಯನ್ನು ತೆಗೆದುಹಾಕಿದರು, ಕೆಲವರನ್ನು ಹೊರತುಪಡಿಸಿ, ಉದಾಹರಣೆಗೆ: x86.