Animo intento interrete rerum, nova variantium "Gaffyt" Troianus videtur

Animo intento interrete rerum, nova variantium "Gaffyt" Troianus videtur

Nuper, Huorong Securitatis Lab invenit virus intrusionis incident, quae confirmata est novum variantium viri Troiani Gafgyt post investigationem et analysim esse.

Gafgyt progressio est IoT botnet innixa in protocollo IRC, quae maxime inficit Linux-fundatur IoT cogitationes distribui in servitio impetus ad launch negata (DDoS). Est maxima activa Iot botnet familia praeter Mirai familia.

Post eius principium codicem emanavit et ad GitHub in 2015, variae variantes et res gestae unum post alterum emerserunt, ultionis maioris securitatis periculum ad users. Hoc tempore, Huorong securitas productorum praedictorum virus intercipere et interficere potest. Inceptum utentes rogantur ut virus database in tempore defensionis update.

1. Sample analysis
Virus primum renamet suum processum "/usr/sbin/dropbear" or * "sshd *" celare se:

processus fasciculorum

Inter eos, et encrypted linea est inventus, et decryption algorithmus est byte XOR of 0xDEDEFFBA .. Cum usus, nisi usus ones decrypted singula, sed solum 4 etiam referenced:

Encrypted chorda et decryption algorithmus

Primum referendum est solum ad output chorda respondentem velum, et mediae duae operationes in processu vigili ad vitandum imperium amittendum propter sileo fabrica:

minutum et quote

Reliquae operationes in ansa peraguntur, inter initializing C2 nexu (94.156.161.21:671), mittens in suggestu fabrica genus, accepto reditum imperium exsequens moduli operatio correspondentes. Et collatus cum codice fonte per Gafgy . emanavit, forma et processus imperii non multum mutaverunt, et forma imperii est adhuc "!*Mandatum [Parameter]"

operatio loop Code

In processCmd function, summa * 14 mandatis respondetur ac correspondentes DDOS impetus launched, comprehendo: "HTTP", "CUDP extensio", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "OMNIA", "CNC", "NIGGA"

imperium screenshot - IoT securitatis

Inter eos, in CUDP, UDP, JSC, et moduli TCP omnes chordas temere ad certum IP portumque mittere possunt, et TCP et UDP facis per se constructum capitis IP ad fontem recondere IP oratio potest.

nuntius structuram

Praeposita C conjectura esse abbreviationem consuetudinis. Subterraneis elicantes Unguibus CUDP et UDP ad exempla, in the original version of Gafgyt, parametri in edita mandatum includit: ip, port, tempus, spoofed, packetsize, pollinterval et alia valores campi et vexillum frena Ad constructionem UDP facis. In hoc specimen, sed, eventus observati ostendunt applicationem harum parametri ad diversos restrictionis gradus esse, quae flexibilitatem specificarum generum DDOS impetus augere possunt.

Comparatio CUDP et UDP

Munera aliorum modulorum includunt addendo magnum numerum chordarum User-Agenti, quae HTTP mandata deducunt pro CC impetus:

CC impetum

Includitur enim impetus contra Source Engine servers Valvae: ("Source Engine" quaero pars communicatio inter clientes ludo servers usura CYMBALON ibi software protocol)

Impetus contra ludum industriam

IP iunctio comprehendens cnc praecepta quae commutandum:

IP iunctio switch

Includes SYN and ACK impetus:

SYN and ACK impetus

Std UDP flumen impetus comprehendo:

Std impetum

Inter XMAS impetum: (ille est, Class aptent impetus, ponendo omnia vexillum frena TCP to 1, sic plus responsionis processus facultates perussi scopum systematis)

XMAS impetum

Modulus NIGGA aequipollet KILLATTK mandatum in versione originali, quod impetus DoSS sistit occidendo omnes processus pueri praeter praecipuum processum

NIGGA modulus

Comparativa analysis
Munus processCmd qui logicam principalem in fonte codice addit PING, GETLOCALIP, SCANNER, EMAIL, JUNK, UDP, TCP, PRAETEMPTO, KILLATTK, et LOLNOGTFO modules. Solae versiones simpliciores UDP et TCP modulorum coexistunt in facinore variante hoc tempore capto. .

Et in operatione IP loci obtinendi, versio originalis loci IP per /proc/net/itinere obtinet et per moduli GETLOCALIP redit. Similiter observatur operatio in hoc varianti, sed nullus moduli GETLOCALI et nullae notationes observantur.

Accipere loci IP

Notatu dignum est nullam esse originalem versionem moduli Scanner ad inspirationem SSH . adhibitam (port 22) hoc genus specimen, nec desunt aliae variantes quae multipliciter inhaerent "applications / machinam" vulnerabilities est per Payload. Ex his constare potest, quod oppugnator scindit propagationem moduli in programmata independens, et post feliciter colligationem ad victimam exercitum, ipse download communicationis specimen pro tunc faciendo shellcode, ille est, in analysis sample.

Facite exemplum shellcode

Exempla ex eodem fonte sumentes exemplum consecuti, percussor spoliavit debugging informationes pleraque exemplaria, exceptis paucis, ut: x86.