이메일: anwenqq2690502116@gmail.com

틴더 탐지 및 살해

사물인터넷을 목표로, 의 새로운 변종 "가피트" 트로이 목마가 나타납니다

사물인터넷을 목표로, 의 새로운 변종 "가피트" 트로이 목마가 나타납니다. 최근에, Huorong Security Lab에서 바이러스 침입 사건을 발견했습니다., 조사 및 분석 결과 Gafgyt Trojan 바이러스의 새로운 변종으로 확인되었습니다..

사물인터넷을 목표로, 의 새로운 변종 "가피트" 트로이 목마가 나타납니다

최근에, Huorong Security Lab에서 바이러스 침입 사건을 발견했습니다., 조사 및 분석 결과 Gafgyt Trojan 바이러스의 새로운 변종으로 확인되었습니다..

Gafgyt는 IRC 프로토콜을 기반으로 하는 IoT 봇넷 프로그램입니다., 주로 Linux 기반을 감염시킵니다. IoT 장치 분산 서비스 거부 공격을 시작하기 위해 (DDoS). Mirai 제품군을 제외하고 가장 큰 활성 IoT 봇넷 제품군입니다..

소스 코드가 유출되어 GitHub에 업로드된 후 2015, 다양한 변종과 익스플로잇이 속속 등장, 사용자에게 더 큰 보안 위협을 가함. 현재, Huorong 보안 제품은 위에서 언급한 바이러스를 차단하고 죽일 수 있습니다.. 기업 사용자는 방어에 맞춰 바이러스 데이터베이스를 업데이트해야 합니다..

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. 샘플 분석
바이러스는 먼저 자신의 프로세스 이름을 다음으로 바꿉니다. "/usr/sbin/dropbear" 또는 "SSHD" 자신을 숨기기 위해:

process rename
프로세스 이름 바꾸기

그들 중, 암호화된 문자열이 발견되었습니다, 암호 해독 알고리즘은 0xDEDEFFBA의 바이트 XOR입니다.. 사용시, 사용된 것만 개별적으로 복호화됩니다., 하지만 단지 4 실제로 참조됩니다:

Encrypted string and decryption algorithm
암호화된 문자열 및 복호화 알고리즘

 

첫 번째 참조는 해당 문자열을 화면에 출력하는 것뿐입니다., 중간 두 참조는 장치 재시작으로 인한 제어 상실을 방지하기 위한 감시 프로세스에 대한 작업입니다.:

decrypt and quote

해독 및 인용

 

나머지 작업은 루프에서 수행됩니다., C2 연결 초기화 포함 (94.156.161.21:671), 플랫폼 장치 유형 보내기, 반환 명령을 수신하고 해당 모듈 작업을 실행합니다.. 그리고 Gafgy가 유출한 소스코드와 비교, 명령의 형식과 처리는 크게 변경되지 않았습니다., 명령 형식은 여전히 "!*명령 [매개변수]"

loop operation code

루프 연산 코드

 

processCmd 함수에서, 총 14 명령이 응답되고 해당 DDOS 공격이 시작됩니다., 포함: "HTTP", "CUDP 확장", "UDP", "성병", "JSC", "TCP", "싱크" , "ACK", "CX마스", "크리스마스", "CVSE", "모든 것", "CNC", "새끼야"

command screenshot - IoT security
명령 스크린샷 - IoT 보안

 

그들 중, CUDP, UDP, JSC, TCP 모듈은 모두 지정된 IP 및 포트에 임의의 문자열을 보낼 수 있습니다., 소스 IP 주소를 숨기기 위해 자체 구축된 IP 헤더로 TCP 및 UDP 패킷을 재구성할 수 있습니다..

 

message structure
메시지 구조

 

접두사 C는 custom의 약어로 추측됩니다.. CUDP와 UDP를 예로 들면, Gafgyt의 원본 버전에서, 실행된 명령의 매개변수에는 다음이 포함됩니다.: 아이피, 포트, 시간, 스푸핑된, 패킷 크기, pollinterval 및 기타 필드 값과 플래그 비트 UDP 패킷 구성용. 이 샘플에서는, 하지만, 관찰된 결과는 이러한 매개변수를 다양한 제한 수준에 적용한다는 것을 보여줍니다., 특정 유형의 DDOS 공격의 유연성을 향상시킬 수 있습니다..

CUDP와 UDP의 비교

다른 모듈의 기능에는 다수의 사용자 에이전트 문자열 추가가 포함됩니다., CC 공격에 대한 HTTP 명령을 실행하는 데 사용됩니다.:

CC 공격

Valve의 소스 엔진 서버에 대한 공격에 포함됨: ("소스 엔진" 쿼리는 클라이언트와 클라이언트 간의 일상적인 의사소통의 일부입니다. 게임 서버 Valve 소프트웨어 프로토콜을 사용하여)

게임 산업에 대한 공격

연결 IP를 전환할 수 있는 CNC 명령 포함:

스위치 연결 IP

SYN 및 ACK 공격 포함:

SYN 및 ACK 공격

UDP STD 플러드 공격 포함:

성병 공격

XMAS 공격 포함: (그건, 크리스마스 트리 공격, TCP의 모든 플래그 비트를 다음으로 설정하여 1, 따라서 대상 시스템의 응답 처리 리소스를 더 많이 소비합니다.)

크리스마스 공격

NIGGA 모듈은 원래 버전의 KILLATTK 명령과 동일합니다., 기본 프로세스를 제외한 모든 하위 프로세스를 종료하여 DoSS 공격을 중지합니다.

NIGGA 모듈

비교 분석
소스 코드에 주요 로직을 저장하는 processCmd 함수에는 PING이 포함되어 있습니다., GETLOCALIP, 스캐너, 이메일, 정크, UDP, TCP, 잡고 있다, KILLATTTK, 및 LOLNOGTFO 모듈. 이번에 포착된 변종 익스플로잇에는 단순화된 버전의 UDP 및 TCP 모듈만 공존합니다.. .

그리고 로컬 IP를 획득하는 과정에서, 원래 버전은 /proc/net/route를 통해 로컬 IP를 얻고 GETLOCALIP 모듈을 통해 이를 반환합니다.. 이 변형에서는 동일한 가져오기 작업이 관찰됩니다., 하지만 GETLOCALIP 모듈이 없고 참조도 관찰되지 않습니다..

로컬 IP 얻기

SSH를 폭파하는 데 사용되는 SCANNER 모듈의 원본 버전이 없다는 점은 주목할 가치가 있습니다. (포트 22) 이런 종류의 샘플에서는, 여러 항목을 포함하는 다른 변형은 없습니다. "애플리케이션/장치" 페이로드를 통해 확산되는 취약점. 공격자가 전파모듈을 독립적인 프로그램으로 분할한 것을 볼 수 있다., 피해자 호스트에 성공적으로 로그인한 후, 그는 쉘코드를 실행하여 다음 단계의 통신 샘플을 다운로드합니다., 그건, 분석 샘플.

쉘코드 예제 실행

동일한 소스에서 얻은 샘플을 예로 들어보겠습니다., 공격자는 대부분의 샘플에 대한 디버깅 정보를 제거했습니다., 몇 가지를 제외하고, ~와 같은: x86.

당신의 사랑을 나누세요

관련 게시물

답장을 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필요 입력 사항은 표시되어 있습니다 *