Zil op den Internet vun de Saachen, eng nei Variant vum "Gafgyt" Trojanesche erschéngt

Zil op den Internet vun de Saachen, eng nei Variant vun der "Gaffyt" Trojanesche erschéngt

Zil op den Internet vun de Saachen, eng nei Variant vun der "Gaffyt" Trojanesche erschéngt. Viru kuerzem, Huorong Security Lab entdeckt e Virusintrusiounsvirfall, déi no Enquête an Analyse als eng nei Variant vum Gafgyt Trojan Virus bestätegt gouf.

Zil op den Internet vun de Saachen, eng nei Variant vun der "Gaffyt" Trojanesche erschéngt

Viru kuerzem, Huorong Security Lab entdeckt e Virusintrusiounsvirfall, déi no Enquête an Analyse als eng nei Variant vum Gafgyt Trojan Virus bestätegt gouf.

Gafgyt ass en IoT Botnet Programm baséiert op dem IRC Protokoll, déi haaptsächlech Linux-baséiert infizéiert IoT Apparater fir verdeelt Denial of Service Attacken ze starten (DDoS). Et ass déi gréissten aktiv IoT Botnet Famill ausser der Mirai Famill.

Nodeems säi Quellcode geläscht gouf an op GitHub eropgeluede gouf 2015, verschidde Varianten an Exploiten entstanen een nom aneren, eng méi grouss Sécherheetsbedrohung fir d'Benotzer stellen. Am Moment, Huorong Sécherheetsprodukter kënnen déi uewe genannte Viren interceptéieren an ëmbréngen. Enterprise Benotzer ginn opgefuerdert d'Virusdatenbank an der Zäit fir d'Verteidegung ze aktualiséieren.

1. Echantillon Analyse
De Virus ëmbenannt éischt säin eegene Prozess op "/usr/sbin/dropbear" oder "sshd" sech ze verstoppen:

Prozess ëmbenennen

Ënnert hinnen, déi verschlësselte String gëtt fonnt, an den Entschlësselungsalgorithmus ass de Byte XOR vun 0xDEDEFFBA. Wann benotzt, nëmmen déi benotzt ginn individuell entschlësselt, awer nëmmen 4 sinn eigentlech referenzéierten:

Verschlësselte String an Entschlësselungsalgorithmus

Déi éischt Referenz ass nëmmen déi entspriechend String op den Ecran auszeginn, an d'Mëtt zwou Referenze sinn Operatiounen op der Iwwerwaachung Prozess ze vermeiden Kontroll wéinst Apparat Restart verléieren:

decrypt an quote

Déi reschtlech Operatiounen ginn an enger Loop duerchgefouert, dorënner d'Initialiséierung vun der C2 Verbindung (94.156.161.21:671), schéckt de Plattform Apparat Typ, de Retour Kommando ze kréien an déi entspriechend Moduloperatioun auszeféieren. A verglach mam Quellcode vum Gafgy geleckt, d'Format an d'Veraarbechtung vum Kommando hunn net vill geännert, an d'Format vum Kommando ass nach ëmmer "!*Kommando [Parameter]"

Loop Operatioun Code

An der processCmd Funktioun, am Ganzen 14 Kommandoen ginn geäntwert an entspriechend DDOS Attacke ginn lancéiert, dorënner: "HTTP", "CUDP Extensioun", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "ALLES", "CNC", "NIGGA"

Kommando Screenshot - IoT Sécherheet

Ënnert hinnen, der CUDP, UDP, JSC, an TCP Moduler kënnen all zoufälleg Saiten un der spezifizéierter IP an port schécken, a kann TCP an UDP Pakete rekonstruéieren duerch selbstgebaute IP Header fir d'Quell IP Adress ze verstoppen.

Message Struktur

De Präfix C gëtt geschätzt d'Ofkierzung vu Custom ze sinn. Huelt CUDP an UDP als Beispiller, an der Originalversioun vu Gafgyt, d'Parameteren am erausginn Kommando enthalen: ip, port, Zäit, gefälscht, Paketgréisst, pollinterval an aner Feldwäerter a Fändelbits Fir de Bau vun UDP Päckchen. An dëser Prouf, awer, d'observéiert Resultater weisen datt et d'Applikatioun vun dëse Parameteren op verschidden Grad vu Restriktioun ass, déi d'Flexibilitéit vu spezifeschen Typen vun DDOS Attacken verbesseren kann.

Verglach vu CUDP an UDP

D'Funktioune vun anere Moduler enthalen eng grouss Zuel vu User-Agent Saiten, déi benotzt gi fir HTTP Kommandoen fir CC Attacken ze starten:

CC Attack

Abegraff fir Attacke géint Valve's Source Engine Serveren: ("Source Engine" Ufroen sinn Deel vun der deeglecher Kommunikatioun tëscht Clienten an Spill Serveren benotzt de Valve Software Protokoll)

Attacke géint d'Spillindustrie

Dorënner CNC Kommandoen datt Verbindung IP schalt kann:

schalt Verbindung IP

Ëmfaasst SYN an ACK Attacken:

SYN an ACK Attacken

Dorënner UDP STD Iwwerschwemmung Attacken:

STD Attack

Dorënner XMAS Attack: (dat ass, Chrëschtdag Bam Attack, andeems Dir all Fändelbits vum TCP op setzt 1, also konsuméiere méi Äntwert Veraarbechtung Ressourcen vun der Zil- System)

XMAS Attack

Den NIGGA Modul entsprécht dem KILLATTK Kommando an der Originalversioun, déi DoSS Attacke stoppt andeems se all Kandprozesser ëmbréngen ausser den Haaptprozess

NIGGA Modul

Comparativ Analyse
D'Funktioun processCmd déi d'Haaptlogik am Quellcode späichert enthält PING, GETLOCALIP, SCANNER, E-MAIL, JUNK, UDP, TCP, HALT, KILLATTK, an LOLNOGTFO Moduler. Nëmmen vereinfacht Versioune vun UDP an TCP Moduler coexistéieren an der Variant Exploit dës Kéier ageholl. .

An an der Operatioun vun der lokaler IP ze kréien, déi ursprénglech Versioun kritt déi lokal IP duerch /proc/net/route a gëtt se duerch de GETLOCALIP Modul zréck. Déi selwecht get Operatioun gëtt an dëser Variant observéiert, awer et gëtt kee GETLOCALIP Modul a keng Referenze ginn observéiert.

Kritt lokal IP

Et ass derwäert ze bemierken datt et keng originell Versioun vum SCANNER Modul gëtt fir SSH ze sprengen (port 22) an dëser Zort Prouf, an et gi keng aner Varianten déi multiple embed "Uwendungen / Apparat" Schwachstelle fir duerch Payload ze verbreeden. Et kann gesi ginn datt den Ugräifer de Verbreedungsmodul an onofhängeg Programmer opdeelt, an no erfollegräich aloggen op d'Affer Host, hie wäert d'Kommunikatiounsprobe fir déi nächst Etapp eroflueden andeems de Shellcode ausféiert, dat ass, d'Analyseprobe.

Execute Shellcode Beispill

Huelt d'Proben aus der selwechter Quell als e Beispill, den Ugräifer huet d'Debugginginformatioun fir déi meescht vun de Proben entlooss, ausser e puer, sou wéi: x86.