E-Mail: anwenqq2690502116@gmail.com
Zil op den Internet vun de Saachen, eng nei Variant vun der "Gaffyt" Trojanesche erschéngt
Viru kuerzem, Huorong Security Lab entdeckt e Virusintrusiounsvirfall, déi no Enquête an Analyse als eng nei Variant vum Gafgyt Trojan Virus bestätegt gouf.
Gafgyt ass en IoT Botnet Programm baséiert op dem IRC Protokoll, déi haaptsächlech Linux-baséiert infizéiert IoT Apparater fir verdeelt Denial of Service Attacken ze starten (DDoS). Et ass déi gréissten aktiv IoT Botnet Famill ausser der Mirai Famill.
Nodeems säi Quellcode geläscht gouf an op GitHub eropgeluede gouf 2015, verschidde Varianten an Exploiten entstanen een nom aneren, eng méi grouss Sécherheetsbedrohung fir d'Benotzer stellen. Am Moment, Huorong Sécherheetsprodukter kënnen déi uewe genannte Viren interceptéieren an ëmbréngen. Enterprise Benotzer ginn opgefuerdert d'Virusdatenbank an der Zäit fir d'Verteidegung ze aktualiséieren.
1. Echantillon Analyse
De Virus ëmbenannt éischt säin eegene Prozess op "/usr/sbin/dropbear" oder "sshd" sech ze verstoppen:
Prozess ëmbenennen
Ënnert hinnen, déi verschlësselte String gëtt fonnt, an den Entschlësselungsalgorithmus ass de Byte XOR vun 0xDEDEFFBA. Wann benotzt, nëmmen déi benotzt ginn individuell entschlësselt, awer nëmmen 4 sinn eigentlech referenzéierten:
Verschlësselte String an Entschlësselungsalgorithmus
Déi éischt Referenz ass nëmmen déi entspriechend String op den Ecran auszeginn, an d'Mëtt zwou Referenze sinn Operatiounen op der Iwwerwaachung Prozess ze vermeiden Kontroll wéinst Apparat Restart verléieren:
decrypt an quote
Déi reschtlech Operatiounen ginn an enger Loop duerchgefouert, dorënner d'Initialiséierung vun der C2 Verbindung (94.156.161.21:671), schéckt de Plattform Apparat Typ, de Retour Kommando ze kréien an déi entspriechend Moduloperatioun auszeféieren. A verglach mam Quellcode vum Gafgy geleckt, d'Format an d'Veraarbechtung vum Kommando hunn net vill geännert, an d'Format vum Kommando ass nach ëmmer "!*Kommando [Parameter]"
Loop Operatioun Code
An der processCmd Funktioun, am Ganzen 14 Kommandoen ginn geäntwert an entspriechend DDOS Attacke ginn lancéiert, dorënner: "HTTP", "CUDP Extensioun", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "ALLES", "CNC", "NIGGA"
Kommando Screenshot - IoT Sécherheet
Ënnert hinnen, der CUDP, UDP, JSC, an TCP Moduler kënnen all zoufälleg Saiten un der spezifizéierter IP an port schécken, a kann TCP an UDP Pakete rekonstruéieren duerch selbstgebaute IP Header fir d'Quell IP Adress ze verstoppen.
Message Struktur
De Präfix C gëtt geschätzt d'Ofkierzung vu Custom ze sinn. Huelt CUDP an UDP als Beispiller, an der Originalversioun vu Gafgyt, d'Parameteren am erausginn Kommando enthalen: ip, port, Zäit, gefälscht, Paketgréisst, pollinterval an aner Feldwäerter a Fändelbits Fir de Bau vun UDP Päckchen. An dëser Prouf, awer, d'observéiert Resultater weisen datt et d'Applikatioun vun dëse Parameteren op verschidden Grad vu Restriktioun ass, déi d'Flexibilitéit vu spezifeschen Typen vun DDOS Attacken verbesseren kann.
Verglach vu CUDP an UDP
D'Funktioune vun anere Moduler enthalen eng grouss Zuel vu User-Agent Saiten, déi benotzt gi fir HTTP Kommandoen fir CC Attacken ze starten:
CC Attack
Abegraff fir Attacke géint Valve's Source Engine Serveren: ("Source Engine" Ufroen sinn Deel vun der deeglecher Kommunikatioun tëscht Clienten an Spill Serveren benotzt de Valve Software Protokoll)
Attacke géint d'Spillindustrie
Dorënner CNC Kommandoen datt Verbindung IP schalt kann:
schalt Verbindung IP
Ëmfaasst SYN an ACK Attacken:
SYN an ACK Attacken
Dorënner UDP STD Iwwerschwemmung Attacken:
STD Attack
Dorënner XMAS Attack: (dat ass, Chrëschtdag Bam Attack, andeems Dir all Fändelbits vum TCP op setzt 1, also konsuméiere méi Äntwert Veraarbechtung Ressourcen vun der Zil- System)
XMAS Attack
Den NIGGA Modul entsprécht dem KILLATTK Kommando an der Originalversioun, déi DoSS Attacke stoppt andeems se all Kandprozesser ëmbréngen ausser den Haaptprozess
NIGGA Modul
Comparativ Analyse
D'Funktioun processCmd déi d'Haaptlogik am Quellcode späichert enthält PING, GETLOCALIP, SCANNER, E-MAIL, JUNK, UDP, TCP, HALT, KILLATTK, an LOLNOGTFO Moduler. Nëmmen vereinfacht Versioune vun UDP an TCP Moduler coexistéieren an der Variant Exploit dës Kéier ageholl. .
An an der Operatioun vun der lokaler IP ze kréien, déi ursprénglech Versioun kritt déi lokal IP duerch /proc/net/route a gëtt se duerch de GETLOCALIP Modul zréck. Déi selwecht get Operatioun gëtt an dëser Variant observéiert, awer et gëtt kee GETLOCALIP Modul a keng Referenze ginn observéiert.
Kritt lokal IP
Et ass derwäert ze bemierken datt et keng originell Versioun vum SCANNER Modul gëtt fir SSH ze sprengen (port 22) an dëser Zort Prouf, an et gi keng aner Varianten déi multiple embed "Uwendungen / Apparat" Schwachstelle fir duerch Payload ze verbreeden. Et kann gesi ginn datt den Ugräifer de Verbreedungsmodul an onofhängeg Programmer opdeelt, an no erfollegräich aloggen op d'Affer Host, hie wäert d'Kommunikatiounsprobe fir déi nächst Etapp eroflueden andeems de Shellcode ausféiert, dat ass, d'Analyseprobe.
Execute Shellcode Beispill
Huelt d'Proben aus der selwechter Quell als e Beispill, den Ugräifer huet d'Debugginginformatioun fir déi meescht vun de Proben entlooss, ausser e puer, sou wéi: x86.