Armanca Înternetê ya Tiştan, guhertoyek nû ya "Gafgyt" Trojan xuya dike

Armanca Înternetê ya Tiştan, guhertoyek nû ya "Gaffyt" Trojan xuya dike

Armanca Înternetê ya Tiştan, guhertoyek nû ya "Gaffyt" Trojan xuya dike. Berî demekê, Huorong Security Lab bûyerek ketina vîrusê kifş kir, ku piştî lêkolîn û analîzê hat piştrastkirin ku guhertoyek nû ya virusa Gafgyt Trojan e.

Armanca Înternetê ya Tiştan, guhertoyek nû ya "Gaffyt" Trojan xuya dike

Berî demekê, Huorong Security Lab bûyerek ketina vîrusê kifş kir, ku piştî lêkolîn û analîzê hat piştrastkirin ku guhertoyek nû ya virusa Gafgyt Trojan e.

Gafgyt bernameyek botnetê ya IoT ye ku li ser protokola IRC-ê ye, ku bi piranî Linux-based bandor dike Amûrên IoT ji bo destpêkirina êrîşên redkirina xizmetê yên belavkirî (DDoS). Ew ji bilî malbata Mirai malbata botneta IoT ya herî çalak e.

Piştî ku koda çavkaniya wê derket û li GitHub hate barkirin 2015, cûrbecûr cûrbecûr û îstismar li pey hev derketin holê, ji bo bikarhêneran xetereyek ewlehiyê ya mezintir çêdike. Niha, Hilberên ewlehiyê yên Huorong dikarin vîrusên jorîn bikujin û bikujin. Ji bikarhênerên pargîdanî tê xwestin ku ji bo parastinê di wextê xwe de databasa virusê nûve bikin.

1. Analîzkirina nimûneyê
Vîrus pêşî navê pêvajoya xwe bi nav dike "/usr / sbin / dropbear" an "sshd" xwe veşêre:

navê pêvajoyê

Di nav wan de, rêzika şîfrekirî tê dîtin, û algorîtmaya deşîfrekirinê byte XOR ya 0xDEDEFFBA ye. Dema ku tê bikaranîn, tenê yên ku hatine bikar anîn yekcar têne deşîfrekirin, lê tenê 4 bi rastî têne referans kirin:

Algorîtmaya şîfre û şîfrekirinê

Referansa yekem tenê derxistina rêzika têkildar li ser ekranê ye, û du referansên navîn operasyonên li ser pêvajoya çavdêriyê ne ku ji ber destpêkirina nûvekirina cîhazê kontrola xwe winda nekin:

deşîfrekirin û binavkirin

Operasyonên mayî di çerxekê de têne kirin, tevî destpêkirina girêdana C2 (94.156.161.21:671), şandina cureyê cîhaza platformê, wergirtina fermana vegerê û pêkanîna operasyona modulê ya têkildar. Û bi koda çavkaniyê ya ku ji hêla Gafgy ve hatî derxistin berhev kirin, format û pêvajoya fermanê zêde neguheriye, û formata fermanê hîna ye "!*Ferman [Parametre]"

koda operasyonê ya loop

Di fonksiyona processCmd de, bi tevahî 14 ferman têne bersivandin û êrîşên DDOS-ê yên têkildar têne destpêkirin, giştî: "HTTP", "dirêjkirina CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "HEMÛ", "CNC", "NIGGA"

fermana screenshot - Ewlekariya IoT

Di nav wan de, CUDP, UDP, JSC, û modulên TCP dikarin hemî rêzikên bêserûber ji IP û porta diyarkirî re bişînin, û dikare pakêtên TCP û UDP bi sernavên IP-ya xwe-çêkirî ji nû ve ava bike da ku navnîşana IP-ya çavkaniyê veşêre.

avahiya message

Pêşgira C tê texmîn kirin ku kurtkirina adetê ye. CUDP û UDP wekî mînak digirin, di guhertoya orîjînal a Gafgyt de, Parametreyên di fermana hatî weşandin de hene: ip, bender, dem, xapandin, packetsize, pollinterval û nirxên zeviyê yên din û bitsên ala Ji bo avakirina pakêtên UDP. Di vê nimûneyê de, lebê, Encamên hatine dîtin destnîşan dikin ku ew sepandina van parameteran di astên cûda yên sînorkirinê de ye, ku dikare nermbûna celebên taybetî yên êrîşên DDOS-ê zêde bike.

Berhevdana CUDP û UDP

Fonksiyonên modulên din zêdekirina hejmareke mezin ji rêzikên Bikarhêner-Agent hene, ku ji bo destpêkirina fermanên HTTP ji bo êrîşên CC têne bikar anîn:

Êrîşa CC

Ji bo êrîşên li dijî serverên Motora Çavkaniya Valve tê de: ("Çavkanî Engine" pirs beşek ji danûstendina rojane ya di navbera xerîdar û pêşkêşkerên game bikaranîna protokola nermalava Valve)

Êrîşên li dijî pîşesaziya lîstikê

Di nav de emrên CNC-ê yên ku dikarin IP-ya girêdanê biguherînin:

girêdana IP-ê veguherîne

Êrîşên SYN û ACK'ê jî di nav de ye:

Êrîşên SYN û ACK'ê

Di nav de êrîşên lehiyê yên UDP STD:

êrîşa STD

Di nav de êrîşa XMAS: (ku heye, Êrîşa dara Noelê, bi danîna hemî alayên TCP-ê 1, bi vî rengî bêtir çavkaniyên pêvajoya bersivê ya pergala armancê dixwe)

êrîşa XMAS

Modula NIGGA di guhertoya orîjînal de bi fermana KILLATTK re wekhev e, ku êrîşên DoSS bi kuştina hemî pêvajoyên zarokan ji bilî pêvajoya sereke rawestîne

Modula NIGGA

Analîza berawirdî
Pêvajoya fonksiyonêCmd ku mantiqa sereke di koda çavkaniyê de hilîne PING-ê vedigire, GETLOCALIP, SCANNER, EMAIL, JUNK, UDP, TCP, RAWESTAN, KILLATTK, û modulên LOLNOGTFO. Tenê guhertoyên hêsankirî yên modulên UDP û TCP di guhertoya ku vê carê hatî girtin de bi hev re hene. .

Û di operasyona bidestxistina IP ya herêmî de, guhertoya orîjînal IP-ya herêmî bi navgîniya /proc/net/route distîne û bi modula GETLOCALIP ve vedigerîne.. Di vê guhertoyê de heman operasyona wergirtinê tê dîtin, lê modulek GETLOCALIP tune û referans nayên dîtin.

IP-ya herêmî bistînin

Hêjayî gotinê ye ku guhertoyek orjînal a modula SCANNER-ê ku ji bo teqandina SSH-ê tê bikar anîn tune (bender 22) di vî rengî nimûne, û guhertoyên din ên ku pirjimar tê de hene tune "sepanên / cîhaz" qelsiyên ku bi navgîniya Payload belav dibin. Tê dîtin ku êrîşkar modula belavkirinê di bernameyên serbixwe de parçe dike, û piştî ku bi serketî têkeve mêvandarê mexdûr, ew ê bi pêkanîna shellcode nimûneya ragihandinê ji bo qonaxa din dakêşîne, ku heye, nimûneya analîzê.

Mînaka shellcode bicîh bikin

Nimûneyên ku ji heman çavkaniyê hatine wergirtin wekî mînak digirin, êrîşkar ji bo piraniya nimûneyan agahdariya debugkirinê ji holê rakir, ji bilî çend, wekî: x86.