ಇಮೇಲ್: anwenqq2690502116@gmail.com

ಟಿಂಡರ್ ಪತ್ತೆ ಮತ್ತು ಕೊಲ್ಲುವುದು

ಇಂಟರ್ನೆಟ್ ಆಫ್ ಥಿಂಗ್ಸ್ ಅನ್ನು ಗುರಿಯಾಗಿಸಿಕೊಂಡಿದೆ, ನ ಹೊಸ ರೂಪಾಂತರ "ಗ್ಯಾಫಿಟ್" ಟ್ರೋಜನ್ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ

ಇಂಟರ್ನೆಟ್ ಆಫ್ ಥಿಂಗ್ಸ್ ಅನ್ನು ಗುರಿಯಾಗಿಸಿಕೊಂಡಿದೆ, ನ ಹೊಸ ರೂಪಾಂತರ "ಗ್ಯಾಫಿಟ್" ಟ್ರೋಜನ್ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ. ಇತ್ತೀಚೆಗೆ, ಹುರೊಂಗ್ ಸೆಕ್ಯುರಿಟಿ ಲ್ಯಾಬ್ ವೈರಸ್ ಒಳನುಗ್ಗುವ ಘಟನೆಯನ್ನು ಕಂಡುಹಿಡಿದಿದೆ, ತನಿಖೆ ಮತ್ತು ವಿಶ್ಲೇಷಣೆಯ ನಂತರ ಇದು ಗಫ್ಗಿಟ್ ಟ್ರೋಜನ್ ವೈರಸ್‌ನ ಹೊಸ ರೂಪಾಂತರವಾಗಿದೆ ಎಂದು ದೃಢಪಡಿಸಲಾಯಿತು.

ಇಂಟರ್ನೆಟ್ ಆಫ್ ಥಿಂಗ್ಸ್ ಅನ್ನು ಗುರಿಯಾಗಿಸಿಕೊಂಡಿದೆ, ನ ಹೊಸ ರೂಪಾಂತರ "ಗ್ಯಾಫಿಟ್" ಟ್ರೋಜನ್ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ

ಇತ್ತೀಚೆಗೆ, ಹುರೊಂಗ್ ಸೆಕ್ಯುರಿಟಿ ಲ್ಯಾಬ್ ವೈರಸ್ ಒಳನುಗ್ಗುವ ಘಟನೆಯನ್ನು ಕಂಡುಹಿಡಿದಿದೆ, ತನಿಖೆ ಮತ್ತು ವಿಶ್ಲೇಷಣೆಯ ನಂತರ ಇದು ಗಫ್ಗಿಟ್ ಟ್ರೋಜನ್ ವೈರಸ್‌ನ ಹೊಸ ರೂಪಾಂತರವಾಗಿದೆ ಎಂದು ದೃಢಪಡಿಸಲಾಯಿತು.

Gafgyt IRC ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಆಧರಿಸಿದ IoT ಬಾಟ್ನೆಟ್ ಪ್ರೋಗ್ರಾಂ ಆಗಿದೆ, ಇದು ಮುಖ್ಯವಾಗಿ Linux-ಆಧಾರಿತವಾಗಿ ಸೋಂಕು ತರುತ್ತದೆ IoT ಸಾಧನಗಳು ಸೇವೆಯ ವಿತರಣೆಯ ನಿರಾಕರಣೆ ದಾಳಿಯನ್ನು ಪ್ರಾರಂಭಿಸಲು (DDoS). ಇದು ಮಿರಾಯ್ ಕುಟುಂಬಕ್ಕಿಂತ ದೊಡ್ಡ ಸಕ್ರಿಯ IoT ಬಾಟ್ನೆಟ್ ಕುಟುಂಬವಾಗಿದೆ.

ಅದರ ಮೂಲ ಕೋಡ್ ಸೋರಿಕೆಯಾದ ನಂತರ ಮತ್ತು GitHub ಗೆ ಅಪ್‌ಲೋಡ್ ಮಾಡಿದ ನಂತರ 2015, ವಿವಿಧ ರೂಪಾಂತರಗಳು ಮತ್ತು ಶೋಷಣೆಗಳು ಒಂದರ ನಂತರ ಒಂದರಂತೆ ಹೊರಹೊಮ್ಮಿದವು, ಬಳಕೆದಾರರಿಗೆ ಹೆಚ್ಚಿನ ಭದ್ರತಾ ಬೆದರಿಕೆಯನ್ನು ಒಡ್ಡುತ್ತದೆ. ಪ್ರಸ್ತುತ, Huorong ಭದ್ರತಾ ಉತ್ಪನ್ನಗಳು ಮೇಲೆ ತಿಳಿಸಿದ ವೈರಸ್‌ಗಳನ್ನು ಪ್ರತಿಬಂಧಿಸಬಹುದು ಮತ್ತು ಕೊಲ್ಲಬಹುದು. ಎಂಟರ್‌ಪ್ರೈಸ್ ಬಳಕೆದಾರರಿಗೆ ರಕ್ಷಣೆಗಾಗಿ ಸಮಯಕ್ಕೆ ವೈರಸ್ ಡೇಟಾಬೇಸ್ ಅನ್ನು ನವೀಕರಿಸಲು ವಿನಂತಿಸಲಾಗಿದೆ.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. ಮಾದರಿ ವಿಶ್ಲೇಷಣೆ
ವೈರಸ್ ಮೊದಲು ತನ್ನದೇ ಆದ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಮರುಹೆಸರಿಸುತ್ತದೆ "/usr/sbin/dropbear" ಅಥವಾ "sshd" ತನ್ನನ್ನು ಮರೆಮಾಡಲು:

process rename
ಪ್ರಕ್ರಿಯೆ ಮರುಹೆಸರು

ಅವುಗಳಲ್ಲಿ, ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸ್ಟ್ರಿಂಗ್ ಕಂಡುಬರುತ್ತದೆ, ಮತ್ತು ಡೀಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್ 0xDEDEFFBA ನ ಬೈಟ್ XOR ಆಗಿದೆ. ಬಳಸಿದಾಗ, ಬಳಸಿದವುಗಳನ್ನು ಮಾತ್ರ ಪ್ರತ್ಯೇಕವಾಗಿ ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗುತ್ತದೆ, ಆದರೆ ಮಾತ್ರ 4 ವಾಸ್ತವವಾಗಿ ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ:

Encrypted string and decryption algorithm
ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸ್ಟ್ರಿಂಗ್ ಮತ್ತು ಡೀಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್

 

ಮೊದಲ ಉಲ್ಲೇಖವು ಅನುಗುಣವಾದ ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಪರದೆಯ ಮೇಲೆ ಔಟ್ಪುಟ್ ಮಾಡುವುದು ಮಾತ್ರ, ಮತ್ತು ಮಧ್ಯದ ಎರಡು ಉಲ್ಲೇಖಗಳು ಸಾಧನದ ಮರುಪ್ರಾರಂಭದ ಕಾರಣದಿಂದಾಗಿ ನಿಯಂತ್ರಣವನ್ನು ಕಳೆದುಕೊಳ್ಳುವುದನ್ನು ತಪ್ಪಿಸಲು ವಾಚ್‌ಡಾಗ್ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿನ ಕಾರ್ಯಾಚರಣೆಗಳಾಗಿವೆ:

decrypt and quote

ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿ ಮತ್ತು ಉಲ್ಲೇಖಿಸಿ

 

ಉಳಿದ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ಲೂಪ್ನಲ್ಲಿ ನಡೆಸಲಾಗುತ್ತದೆ, C2 ಸಂಪರ್ಕವನ್ನು ಪ್ರಾರಂಭಿಸುವುದು ಸೇರಿದಂತೆ (94.156.161.21:671), ಪ್ಲಾಟ್‌ಫಾರ್ಮ್ ಸಾಧನದ ಪ್ರಕಾರವನ್ನು ಕಳುಹಿಸಲಾಗುತ್ತಿದೆ, ರಿಟರ್ನ್ ಆಜ್ಞೆಯನ್ನು ಸ್ವೀಕರಿಸುವುದು ಮತ್ತು ಅನುಗುಣವಾದ ಮಾಡ್ಯೂಲ್ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದು. ಮತ್ತು Gafgy ಸೋರಿಕೆಯಾದ ಮೂಲ ಕೋಡ್‌ಗೆ ಹೋಲಿಸಿದರೆ, ಆಜ್ಞೆಯ ಸ್ವರೂಪ ಮತ್ತು ಪ್ರಕ್ರಿಯೆಯು ಹೆಚ್ಚು ಬದಲಾಗಿಲ್ಲ, ಮತ್ತು ಆಜ್ಞೆಯ ಸ್ವರೂಪವು ಇನ್ನೂ ಇರುತ್ತದೆ "!*ಆಜ್ಞೆ [ಪ್ಯಾರಾಮೀಟರ್]"

loop operation code

ಲೂಪ್ ಆಪರೇಷನ್ ಕೋಡ್

 

ಪ್ರಕ್ರಿಯೆCmd ಕಾರ್ಯದಲ್ಲಿ, ಒಟ್ಟಾಗಿ 14 ಆಜ್ಞೆಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಅನುಗುಣವಾದ DDOS ದಾಳಿಗಳನ್ನು ಪ್ರಾರಂಭಿಸಲಾಗುತ್ತದೆ, ಸೇರಿದಂತೆ: "HTTP", "CUDP ವಿಸ್ತರಣೆ", "ಯುಡಿಪಿ", "ಎಸ್ಟಿಡಿ", "JSC", "ಟಿಸಿಪಿ", "SYN" , "ಎಸಿಕೆ", "CXMAS", "ಕ್ರಿಸ್ಮಸ್", "CVSE", "ಎಲ್ಲವೂ", "CNC", "NIGGA"

command screenshot - IoT security
ಆಜ್ಞೆಯ ಸ್ಕ್ರೀನ್ಶಾಟ್ - IoT ಭದ್ರತೆ

 

ಅವುಗಳಲ್ಲಿ, CUDP, ಯುಡಿಪಿ, JSC, ಮತ್ತು TCP ಮಾಡ್ಯೂಲ್‌ಗಳು ಎಲ್ಲಾ ಯಾದೃಚ್ಛಿಕ ತಂತಿಗಳನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ IP ಮತ್ತು ಪೋರ್ಟ್‌ಗೆ ಕಳುಹಿಸಬಹುದು, ಮತ್ತು ಮೂಲ IP ವಿಳಾಸವನ್ನು ಮರೆಮಾಡಲು ಸ್ವಯಂ-ನಿರ್ಮಿತ IP ಹೆಡರ್‌ಗಳ ಮೂಲಕ TCP ಮತ್ತು UDP ಪ್ಯಾಕೆಟ್‌ಗಳನ್ನು ಮರುನಿರ್ಮಾಣ ಮಾಡಬಹುದು.

 

message structure
ಸಂದೇಶ ರಚನೆ

 

C ಪೂರ್ವಪ್ರತ್ಯಯವು ಕಸ್ಟಮ್‌ನ ಸಂಕ್ಷೇಪಣವಾಗಿದೆ ಎಂದು ಊಹಿಸಲಾಗಿದೆ. CUDP ಮತ್ತು UDP ಯನ್ನು ಉದಾಹರಣೆಗಳಾಗಿ ತೆಗೆದುಕೊಳ್ಳುವುದು, Gafgyt ನ ಮೂಲ ಆವೃತ್ತಿಯಲ್ಲಿ, ನೀಡಿದ ಆಜ್ಞೆಯಲ್ಲಿನ ನಿಯತಾಂಕಗಳು ಸೇರಿವೆ: ip, ಬಂದರು, ಸಮಯ, ವಂಚನೆ ಮಾಡಿದರು, ಪ್ಯಾಕೆಟ್ ಮಾಡಿ, ಯುಡಿಪಿ ಪ್ಯಾಕೆಟ್‌ಗಳ ನಿರ್ಮಾಣಕ್ಕಾಗಿ ಪಾಲಿಂಟರ್‌ವಲ್ ಮತ್ತು ಇತರ ಕ್ಷೇತ್ರ ಮೌಲ್ಯಗಳು ಮತ್ತು ಫ್ಲ್ಯಾಗ್ ಬಿಟ್‌ಗಳು. ಈ ಮಾದರಿಯಲ್ಲಿ, ಆದಾಗ್ಯೂ, ಗಮನಿಸಿದ ಫಲಿತಾಂಶಗಳು ಈ ನಿಯತಾಂಕಗಳನ್ನು ವಿವಿಧ ಹಂತದ ನಿರ್ಬಂಧಗಳಿಗೆ ಅನ್ವಯಿಸುತ್ತದೆ ಎಂದು ತೋರಿಸುತ್ತದೆ, ಇದು ನಿರ್ದಿಷ್ಟ ರೀತಿಯ DDOS ದಾಳಿಗಳ ನಮ್ಯತೆಯನ್ನು ಹೆಚ್ಚಿಸುತ್ತದೆ.

CUDP ಮತ್ತು UDP ಯ ಹೋಲಿಕೆ

ಇತರ ಮಾಡ್ಯೂಲ್‌ಗಳ ಕಾರ್ಯಗಳು ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಬಳಕೆದಾರ-ಏಜೆಂಟ್ ಸ್ಟ್ರಿಂಗ್‌ಗಳನ್ನು ಸೇರಿಸುವುದನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ, CC ದಾಳಿಗಳಿಗಾಗಿ HTTP ಆಜ್ಞೆಗಳನ್ನು ಪ್ರಾರಂಭಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ:

ಸಿಸಿ ದಾಳಿ

ವಾಲ್ವ್‌ನ ಸೋರ್ಸ್ ಇಂಜಿನ್ ಸರ್ವರ್‌ಗಳ ವಿರುದ್ಧದ ದಾಳಿಗೆ ಸೇರಿಸಲಾಗಿದೆ: ("ಮೂಲ ಎಂಜಿನ್" ಪ್ರಶ್ನೆಗಳು ಗ್ರಾಹಕರ ನಡುವಿನ ದೈನಂದಿನ ಸಂವಹನದ ಭಾಗವಾಗಿದೆ ಮತ್ತು ಆಟದ ಸರ್ವರ್‌ಗಳು ವಾಲ್ವ್ ಸಾಫ್ಟ್‌ವೇರ್ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸುವುದು)

ಗೇಮಿಂಗ್ ಉದ್ಯಮದ ವಿರುದ್ಧ ದಾಳಿಗಳು

ಸಂಪರ್ಕ ಐಪಿ ಬದಲಾಯಿಸಬಹುದಾದ CNC ಆಜ್ಞೆಗಳನ್ನು ಒಳಗೊಂಡಂತೆ:

ಸ್ವಿಚ್ ಸಂಪರ್ಕ ಐಪಿ

SYN ಮತ್ತು ACK ದಾಳಿಗಳನ್ನು ಒಳಗೊಂಡಿದೆ:

SYN ಮತ್ತು ACK ದಾಳಿಗಳು

UDP STD ಪ್ರವಾಹ ದಾಳಿಗಳು ಸೇರಿದಂತೆ:

STD ದಾಳಿ

XMAS ದಾಳಿ ಸೇರಿದಂತೆ: (ಅದು, ಕ್ರಿಸ್ಮಸ್ ಮರದ ದಾಳಿ, TCP ಯ ಎಲ್ಲಾ ಫ್ಲ್ಯಾಗ್ ಬಿಟ್‌ಗಳನ್ನು ಹೊಂದಿಸುವ ಮೂಲಕ 1, ಹೀಗಾಗಿ ಟಾರ್ಗೆಟ್ ಸಿಸ್ಟಮ್‌ನ ಹೆಚ್ಚು ಪ್ರತಿಕ್ರಿಯೆ ಪ್ರಕ್ರಿಯೆ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಸೇವಿಸುತ್ತದೆ)

XMAS ದಾಳಿ

NIGGA ಮಾಡ್ಯೂಲ್ ಮೂಲ ಆವೃತ್ತಿಯಲ್ಲಿ KILLATTK ಆದೇಶಕ್ಕೆ ಸಮನಾಗಿರುತ್ತದೆ, ಇದು ಮುಖ್ಯ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಹೊರತುಪಡಿಸಿ ಎಲ್ಲಾ ಮಕ್ಕಳ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಕೊಲ್ಲುವ ಮೂಲಕ DoSS ದಾಳಿಯನ್ನು ನಿಲ್ಲಿಸುತ್ತದೆ

NIGGA ಮಾಡ್ಯೂಲ್

ತುಲನಾತ್ಮಕ ವಿಶ್ಲೇಷಣೆ
ಮೂಲ ಕೋಡ್‌ನಲ್ಲಿ ಮುಖ್ಯ ತರ್ಕವನ್ನು ಸಂಗ್ರಹಿಸುವ ಕಾರ್ಯ processCmd PING ಅನ್ನು ಒಳಗೊಂಡಿದೆ, GETLOCALIP, ಸ್ಕ್ಯಾನರ್, ಇಮೇಲ್, ಜಂಕ್, ಯುಡಿಪಿ, ಟಿಸಿಪಿ, ಹಿಡಿದುಕೊಳ್ಳಿ, ಕಿಲ್ಲಟ್ಕ್, ಮತ್ತು LOLNOGTFO ಮಾಡ್ಯೂಲ್‌ಗಳು. UDP ಮತ್ತು TCP ಮಾಡ್ಯೂಲ್‌ಗಳ ಸರಳೀಕೃತ ಆವೃತ್ತಿಗಳು ಮಾತ್ರ ಈ ಬಾರಿ ಸೆರೆಹಿಡಿಯಲಾದ ವೇರಿಯಂಟ್ ಶೋಷಣೆಯಲ್ಲಿ ಸಹಬಾಳ್ವೆ ನಡೆಸುತ್ತವೆ. .

ಮತ್ತು ಸ್ಥಳೀಯ ಐಪಿ ಪಡೆಯುವ ಕಾರ್ಯಾಚರಣೆಯಲ್ಲಿ, ಮೂಲ ಆವೃತ್ತಿಯು ಸ್ಥಳೀಯ IP ಅನ್ನು /proc/net/route ಮೂಲಕ ಪಡೆಯುತ್ತದೆ ಮತ್ತು ಅದನ್ನು GETLOCALIP ಮಾಡ್ಯೂಲ್ ಮೂಲಕ ಹಿಂದಿರುಗಿಸುತ್ತದೆ. ಈ ರೂಪಾಂತರದಲ್ಲಿ ಅದೇ ಗೆಟ್ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಗಮನಿಸಲಾಗಿದೆ, ಆದರೆ ಯಾವುದೇ GETLOCALIP ಮಾಡ್ಯೂಲ್ ಇಲ್ಲ ಮತ್ತು ಯಾವುದೇ ಉಲ್ಲೇಖಗಳನ್ನು ಗಮನಿಸಲಾಗುವುದಿಲ್ಲ.

ಸ್ಥಳೀಯ ಐಪಿ ಪಡೆಯಿರಿ

SSH ಅನ್ನು ಸ್ಫೋಟಿಸಲು ಬಳಸಲಾಗುವ SCANNER ಮಾಡ್ಯೂಲ್‌ನ ಯಾವುದೇ ಮೂಲ ಆವೃತ್ತಿಯಿಲ್ಲ ಎಂಬುದು ಗಮನಿಸಬೇಕಾದ ಸಂಗತಿ (ಬಂದರು 22) ಈ ರೀತಿಯ ಮಾದರಿಯಲ್ಲಿ, ಮತ್ತು ಮಲ್ಟಿಪಲ್ ಅನ್ನು ಎಂಬೆಡ್ ಮಾಡುವ ಬೇರೆ ಯಾವುದೇ ರೂಪಾಂತರಗಳಿಲ್ಲ "ಅಪ್ಲಿಕೇಶನ್‌ಗಳು/ಸಾಧನ" ಪೇಲೋಡ್ ಮೂಲಕ ಹರಡಲು ದುರ್ಬಲತೆಗಳು. ಆಕ್ರಮಣಕಾರರು ಪ್ರಸರಣ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಸ್ವತಂತ್ರ ಕಾರ್ಯಕ್ರಮಗಳಾಗಿ ವಿಭಜಿಸುತ್ತಾರೆ ಎಂದು ನೋಡಬಹುದು, ಮತ್ತು ಬಲಿಪಶು ಹೋಸ್ಟ್‌ಗೆ ಯಶಸ್ವಿಯಾಗಿ ಲಾಗ್ ಇನ್ ಮಾಡಿದ ನಂತರ, ಅವರು ಶೆಲ್‌ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ಮೂಲಕ ಮುಂದಿನ ಹಂತಕ್ಕಾಗಿ ಸಂವಹನ ಮಾದರಿಯನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡುತ್ತಾರೆ, ಅದು, ವಿಶ್ಲೇಷಣೆ ಮಾದರಿ.

ಶೆಲ್ಕೋಡ್ ಉದಾಹರಣೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿ

ಅದೇ ಮೂಲದಿಂದ ಪಡೆದ ಮಾದರಿಗಳನ್ನು ಉದಾಹರಣೆಯಾಗಿ ತೆಗೆದುಕೊಳ್ಳುವುದು, ಆಕ್ರಮಣಕಾರರು ಹೆಚ್ಚಿನ ಮಾದರಿಗಳಿಗೆ ಡೀಬಗ್ ಮಾಡುವ ಮಾಹಿತಿಯನ್ನು ತೆಗೆದುಹಾಕಿದರು, ಕೆಲವರನ್ನು ಹೊರತುಪಡಿಸಿ, ಉದಾಹರಣೆಗೆ: x86.

ನಿಮ್ಮ ಪ್ರೀತಿಯನ್ನು ಹಂಚಿಕೊಳ್ಳಿ

ಸಂಬಂಧಿತ ಪೋಸ್ಟ್‌ಗಳು

ಪ್ರತ್ಯುತ್ತರ ನೀಡಿ

ನಿಮ್ಮ ಇಮೇಲ್ ವಿಳಾಸವನ್ನು ಪ್ರಕಟಿಸಲಾಗುವುದಿಲ್ಲ. ಅಗತ್ಯವಿರುವ ಕ್ಷೇತ್ರಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ *