Буюмдардын Интернетине багытталган, жаны варианты «Гафгыт" Trojan пайда болот

Буюмдардын Интернетине багытталган, жаңы варианты "Gaffyt" Trojan пайда болот

Буюмдардын Интернетине багытталган, жаңы варианты "Gaffyt" Trojan пайда болот. Жакында, Huorong коопсуздук лабораториясы вирустун интрузия инциденти аныкталды, изилдөө жана анализден кийин Gafgyt Trojan вирусунун жаңы варианты экени тастыкталды.

Буюмдардын Интернетине багытталган, жаңы варианты "Gaffyt" Trojan пайда болот

Жакында, Huorong коопсуздук лабораториясы вирустун интрузия инциденти аныкталды, изилдөө жана анализден кийин Gafgyt Trojan вирусунун жаңы варианты экени тастыкталды.

Gafgyt IRC протоколуна негизделген IoT ботнет программасы, бул негизинен Linux негизинде жугат IoT түзмөктөрү бөлүштүрүлгөн баш тартуу чабуулдарын ишке киргизүү (DDoS). Бул Мираи үй-бүлөсүнөн башка эң чоң активдүү IoT ботнет үй-бүлөсү.

Анын баштапкы коду ачыкка чыгып, GitHubга жүктөлгөндөн кийин 2015, ар кандай варианттар жана эрдиктер биринин артынан бири пайда болгон, колдонуучулар үчүн көбүрөөк коопсуздук коркунучун жаратат. Азыркы учурда, Huorong коопсуздук продуктулары жогоруда айтылган вирустарды кармап, жок кыла алат. Ишкананын колдонуучуларынан коргонуу үчүн өз убагында вирустар базасын жаңыртып туруу суралат.

1. Үлгү анализи
Вирус алгач өзүнүн процессинин атын өзгөртөт "/usr/sbin/dropbear" же "sshd" өзүн жашыруу:

процесстин атын өзгөртүү

Алардын ичинен, шифрленген сап табылды, жана чечмелөө алгоритми 0xDEDEFFBA байты XOR болуп саналат. Колдонулганда, колдонулгандары гана жекече чечмеленет, Бирок бир гана 4 иш жүзүндө шилтеме кылынат:

Шифрленген сап жана чечмелөө алгоритми

Биринчи шилтеме экранга тиешелүү сапты чыгаруу үчүн гана, жана ортоңку эки шилтеме - бул түзмөктү кайра иштетүүдөн улам башкарууну жоготпоо үчүн көзөмөлдөө процессиндеги операциялар:

чечмелөө жана цитата

Калган операциялар циклде аткарылат, анын ичинде C2 байланышын инициализациялоо (94.156.161.21:671), платформа түзмөк түрүн жөнөтүү, кайтаруу буйругун кабыл алуу жана тиешелүү модулдук операцияны аткаруу. Жана Gafgy тарабынан ачыкка чыккан баштапкы код менен салыштырганда, команданын форматы жана иштетилиши анча деле өзгөргөн жок, жана команданын форматы дагы эле "!*Command [Параметр]"

цикл операция коду

processCmd функциясында, жалпы 14 буйруктарга жооп берилет жана тиешелүү DDOS чабуулдары ишке киргизилет, анын ичинде: "HTTP", "CUDP кеңейтүүсү", "UDP", "STD", "ЖАК", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "БААРЫ", "CNC", "NIGGA"

буйрук скриншоту - IoT коопсуздугу

Алардын ичинен, CUDP, UDP, ЖАК, жана TCP модулдары бардыгы көрсөтүлгөн IP жана портко туш келди саптарды жөнөтө алышат, жана булак IP дарегин жашыруу үчүн TCP жана UDP пакеттерин өз алдынча курулган IP аталыштары менен кайра түзө алат.

билдирүү түзүмү

С префикси салттын аббревиатурасы деп болжолдонууда. Мисал катары CUDP жана UDP алуу, Гафгыттын түп нускасында, берилген команданын параметрлерин камтыйт: ip, порт, убакыт, алдамчы, пакет өлчөмү, поллинтервал жана башка талаа маанилери жана желек биттери UDP пакеттерин куруу үчүн. Бул үлгүдө, бирок, байкалган натыйжалар бул параметрлерди чектөөнүн ар кандай даражаларына колдонуу экенин көрсөтүп турат, DDOS чабуулдарынын белгилүү түрлөрүнүн ийкемдүүлүгүн жогорулата алат.

CUDP жана UDP салыштыруу

Башка модулдардын функцияларына көп сандагы User-Agent саптарын кошуу кирет, CC чабуулдары үчүн HTTP буйруктарын ишке киргизүү үчүн колдонулат:

CC чабуулу

Valve's Source Engine серверлерине каршы чабуулдар үчүн камтылган: ("Source Engine" суроолор кардарлар менен күнүмдүк байланыштын бир бөлүгү болуп саналат оюн серверлери Valve программалык протоколун колдонуу)

Оюн индустриясына каршы чабуулдар

Анын ичинде байланыш IP которуштурууга болот CNC буйруктары:

байланыш IP которуштуруу

SYN жана ACK чабуулдарын камтыйт:

SYN жана ACK чабуулдары

Анын ичинде UDP STD сел чабуулдары:

STD кол салуу

Анын ичинде XMAS чабуулу: (ушул, Рождество багына кол салуу, TCP бардык желекчелерин коюу менен 1, Ошентип, максаттуу системанын жооп иштетүү ресурстарын көбүрөөк керектөө)

XMAS чабуулу

NIGGA модулу баштапкы версиядагы KILLATTK буйругуна барабар, негизги процесстен башка бардык бала процесстерин өлтүрүү менен DoSS чабуулдарын токтотот

NIGGA модулу

Салыштырмалуу анализ
Булак кодундагы негизги логиканы сактаган processCmd функциясына PING кирет, ГЕТЛОКАЛИП, СКАНЕР, EMAIL, КЕРЕК, UDP, TCP, ТУУР, KILLATTK, жана LOLNOGTFO модулдары. Бул жолу алынган вариант эксплуатациясында UDP жана TCP модулдарынын жөнөкөйлөштүрүлгөн версиялары гана чогуу бар. .

Ал эми жергиликтүү IP алуу операциясында, баштапкы версия /proc/net/route аркылуу жергиликтүү IP алат жана GETLOCALIP модулу аркылуу кайтарып берет. Ушундай эле алуу операциясы бул вариантта байкалат, бирок GETLOCALIP модулу жок жана шилтемелер байкалбайт.

Жергиликтүү IP алыңыз

Белгилей кетсек, SSH жардыруу үчүн колдонулган SCANNER модулунун оригиналдуу версиясы жок (порт 22) үлгүнүн бул түрүндө, жана көптү камтыган башка варианттар жок "колдонмолор/түзмөк" алсыздыктар Payload аркылуу жайылтылат. Бул чабуулчу жайылтуу модулун көз карандысыз программаларга бөлөрүн көрүүгө болот, жана жабырлануучунун хостуна ийгиликтүү киргенден кийин, ал shellcode аткаруу менен кийинки этап үчүн байланыш үлгүсүн жүктөп алат, ушул, талдоо үлгүсү.

Shellcode мисалын аткарыңыз

Мисал катары ошол эле булактан алынган үлгүлөрдү алуу, чабуулчу көпчүлүк үлгүлөр үчүн мүчүлүштүктөрдү оңдоо маалыматын жок кылды, бир нечесин кошпогондо, сыяктуу: x86.