ອີເມວ: anwenqq2690502116@gmail.com

ການກວດຫາ Tinder ແລະການຂ້າ

ມຸ່ງໄປສູ່ອິນເຕີເນັດຂອງສິ່ງຕ່າງໆ, variant ໃຫມ່ຂອງ "Gaffyt" Trojan ປາກົດ

ມຸ່ງໄປສູ່ອິນເຕີເນັດຂອງສິ່ງຕ່າງໆ, variant ໃຫມ່ຂອງ "Gaffyt" Trojan ປາກົດ. ເມື່ອບໍ່ດົນມານີ້, Huorong Security Lab ຄົ້ນພົບເຫດການການບຸກລຸກຂອງໄວຣັດ, ເຊິ່ງໄດ້ຖືກຢືນຢັນວ່າເປັນຕົວແປໃຫມ່ຂອງເຊື້ອໄວຣັສ Gafgyt Trojan ຫຼັງຈາກການສືບສວນແລະການວິເຄາະ.

ມຸ່ງໄປສູ່ອິນເຕີເນັດຂອງສິ່ງຕ່າງໆ, variant ໃຫມ່ຂອງ "Gaffyt" Trojan ປາກົດ

ເມື່ອບໍ່ດົນມານີ້, Huorong Security Lab ຄົ້ນພົບເຫດການການບຸກລຸກຂອງໄວຣັດ, ເຊິ່ງໄດ້ຖືກຢືນຢັນວ່າເປັນຕົວແປໃຫມ່ຂອງເຊື້ອໄວຣັສ Gafgyt Trojan ຫຼັງຈາກການສືບສວນແລະການວິເຄາະ.

Gafgyt ແມ່ນໂຄງການ IoT botnet ໂດຍອີງໃສ່ໂປໂຕຄອນ IRC, ເຊິ່ງສ່ວນໃຫຍ່ແມ່ນຕິດເຊື້ອທີ່ອີງໃສ່ Linux ອຸປະກອນ IoT ເພື່ອເປີດຕົວການໂຈມຕີປະຕິເສດການບໍລິການທີ່ແຈກຢາຍ (DDoS). ມັນເປັນຄອບຄົວ botnet IoT ທີ່ມີການເຄື່ອນໄຫວທີ່ໃຫຍ່ທີ່ສຸດນອກເຫນືອຈາກຄອບຄົວ Mirai.

ຫຼັງຈາກລະຫັດແຫຼ່ງຂອງມັນໄດ້ຖືກຮົ່ວໄຫລແລະອັບໂຫລດໄປຍັງ GitHub ໃນ 2015, variants ແລະ exploits ຕ່າງໆ ໄດ້ ເກີດ ຂຶ້ນ ຫຼັງ ຈາກ ທີ່ ອື່ນ, posing ເປັນໄພຂົ່ມຂູ່ດ້ານຄວາມປອດໄພຫຼາຍກວ່າເກົ່າຕໍ່ຜູ້ໃຊ້. ປັດ​ຈຸ​ບັນ, ຜະລິດຕະພັນຄວາມປອດໄພ Huorong ສາມາດສະກັດແລະຂ້າເຊື້ອໄວຣັສທີ່ກ່າວມາຂ້າງເທິງ. ຜູ້ໃຊ້ວິສາຫະກິດໄດ້ຖືກຮ້ອງຂໍໃຫ້ປັບປຸງຖານຂໍ້ມູນໄວຣັສໃນເວລາສໍາລັບການປ້ອງກັນ.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. ການວິເຄາະຕົວຢ່າງ
ເຊື້ອໄວຣັສທໍາອິດປ່ຽນຊື່ຂະບວນການຂອງຕົນເອງເປັນ "/usr/sbin/dropbear" ຫຼື "sshd" ເພື່ອຊ່ອນຕົວຂອງມັນເອງ:

process rename
ຂະບວນການປ່ຽນຊື່

ໃນບັນດາພວກເຂົາ, ພົບສາຍທີ່ເຂົ້າລະຫັດໄວ້, ແລະສູດການຖອດລະຫັດແມ່ນ byte XOR ຂອງ 0xDEDEFFBA. ເມື່ອໃຊ້, ສະເພາະຕົວທີ່ໃຊ້ແລ້ວຖືກຖອດລະຫັດເປັນສ່ວນບຸກຄົນ, ແຕ່ເທົ່ານັ້ນ 4 ຕົວຈິງແລ້ວແມ່ນອ້າງອີງ:

Encrypted string and decryption algorithm
ສະຕຣິງເຂົ້າລະຫັດ ແລະສູດການຖອດລະຫັດ

 

ການອ້າງອິງທໍາອິດແມ່ນພຽງແຕ່ອອກສາຍທີ່ສອດຄ້ອງກັນກັບຫນ້າຈໍ, ແລະການອ້າງອິງກາງສອງແມ່ນການດໍາເນີນງານໃນຂະບວນການ watchdog ເພື່ອຫຼີກເວັ້ນການສູນເສຍການຄວບຄຸມເນື່ອງຈາກການ restart ອຸປະກອນ:

decrypt and quote

decrypt ແລະ quote

 

ການດໍາເນີນງານທີ່ຍັງເຫຼືອແມ່ນດໍາເນີນຢູ່ໃນ loop, ລວມທັງການເລີ່ມຕົ້ນການເຊື່ອມຕໍ່ C2 (94.156.161.21:671), ສົ່ງປະເພດອຸປະກອນເວທີ, ໄດ້ຮັບຄໍາສັ່ງກັບຄືນແລະປະຕິບັດການດໍາເນີນງານຂອງໂມດູນທີ່ສອດຄ້ອງກັນ. ແລະປຽບທຽບກັບລະຫັດແຫຼ່ງທີ່ຮົ່ວໄຫຼໂດຍ Gafgy, ຮູບແບບແລະການປຸງແຕ່ງຄໍາສັ່ງບໍ່ໄດ້ປ່ຽນແປງຫຼາຍ, ແລະຮູບແບບຂອງຄໍາສັ່ງແມ່ນຍັງ "!*ຄໍາສັ່ງ [ພາລາມິເຕີ]"

loop operation code

ລະຫັດການດໍາເນີນງານ loop

 

ໃນຟັງຊັນ Cmd, ຈໍານວນທັງຫມົດ 14 ຄໍາສັ່ງຖືກຕອບສະຫນອງຕໍ່ແລະການໂຈມຕີ DDOS ທີ່ສອດຄ້ອງກັນໄດ້ຖືກເປີດຕົວ, ລວມທັງ: "HTTP", "ສ່ວນຂະຫຍາຍ CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "ທຸກຢ່າງ", "CNC", "NIGGA"

command screenshot - IoT security
ພາບຫນ້າຈໍຄໍາສັ່ງ - ຄວາມປອດໄພ IoT

 

ໃນບັນດາພວກເຂົາ, CUDP, UDP, JSC, ແລະໂມດູນ TCP ທັງຫມົດສາມາດສົ່ງສາຍແບບສຸ່ມໄປຫາ IP ແລະພອດທີ່ກໍານົດໄວ້, ແລະສາມາດສ້າງແພັກເກັດ TCP ແລະ UDP ຄືນໃໝ່ໄດ້ໂດຍສ່ວນຫົວ IP ທີ່ສ້າງຂຶ້ນເອງເພື່ອເຊື່ອງທີ່ຢູ່ IP ແຫຼ່ງທີ່ມາ.

 

message structure
ໂຄງສ້າງຂໍ້ຄວາມ

 

ຄໍານໍາຫນ້າ C ຖືກຄາດເດົາວ່າເປັນຕົວຫຍໍ້ຂອງ custom. ເອົາ CUDP ແລະ UDP ເປັນຕົວຢ່າງ, ໃນສະບັບຕົ້ນສະບັບຂອງ Gafgyt, ຕົວກໍານົດການໃນຄໍາສັ່ງອອກປະກອບມີ: ip, ທ່າເຮືອ, ເວລາ, ຫຼອກລວງ, ຂະໜາດແພັກເກັດ, pollinterval ແລະ​ຄ່າ​ພາກ​ສະ​ຫນາມ​ອື່ນໆ​ແລະ flag bits ສໍາ​ລັບ​ການ​ກໍ່​ສ້າງ​ຂອງ UDP packets​. ໃນຕົວຢ່າງນີ້, ແນວໃດກໍ່ຕາມ, ຜົນໄດ້ຮັບທີ່ສັງເກດເຫັນສະແດງໃຫ້ເຫັນວ່າມັນແມ່ນການນໍາໃຊ້ຕົວກໍານົດການເຫຼົ່ານີ້ຕໍ່ກັບລະດັບການຈໍາກັດທີ່ແຕກຕ່າງກັນ, ເຊິ່ງສາມາດເພີ່ມຄວາມຍືດຫຍຸ່ນຂອງການໂຈມຕີ DDOS ສະເພາະ.

ການປຽບທຽບ CUDP ແລະ UDP

ຫນ້າທີ່ຂອງໂມດູນອື່ນໆປະກອບມີການເພີ່ມຈໍານວນຫລາຍຂອງ User-Agent strings, ທີ່ຖືກນໍາໃຊ້ເພື່ອເປີດຄໍາສັ່ງ HTTP ສໍາລັບການໂຈມຕີ CC:

ການໂຈມຕີ CC

ລວມໄປເຖິງການໂຈມຕີຕໍ່ກັບເຊີບເວີ Source Engine ຂອງ Valve: ("ເຄື່ອງຈັກແຫຼ່ງ" ການສອບຖາມແມ່ນສ່ວນຫນຶ່ງຂອງການສື່ສານປະຈໍາວັນລະຫວ່າງລູກຄ້າແລະ ເຊີບເວີເກມ ການນໍາໃຊ້ໂປໂຕຄອນຊອບແວ Valve)

ການໂຈມຕີຕໍ່ອຸດສາຫະກໍາເກມ

ລວມທັງຄໍາສັ່ງ CNC ທີ່ສາມາດປ່ຽນ IP ເຊື່ອມຕໍ່:

ສະຫຼັບການເຊື່ອມຕໍ່ IP

ລວມມີການໂຈມຕີ SYN ແລະ ACK:

ການໂຈມຕີ SYN ແລະ ACK

ລວມທັງການໂຈມຕີນໍ້າຖ້ວມ UDP STD:

ການໂຈມຕີ STD

ລວມທັງການໂຈມຕີ XMAS: (ນັ້ນ​ແມ່ນ, ການໂຈມຕີຕົ້ນໄມ້ວັນຄຣິດສະມາດ, ໂດຍການຕັ້ງຄ່າທຸງທັງໝົດຂອງ TCP ເປັນ 1, ດັ່ງນັ້ນການບໍລິໂພກຊັບພະຍາກອນການຕອບສະຫນອງຫຼາຍຂອງລະບົບເປົ້າຫມາຍ)

ການໂຈມຕີ XMAS

ໂມດູນ NIGGA ແມ່ນທຽບເທົ່າກັບຄໍາສັ່ງ KILLATTK ໃນສະບັບຕົ້ນສະບັບ, ເຊິ່ງຢຸດການໂຈມຕີ DoSS ໂດຍການຂ້າຂະບວນການເດັກນ້ອຍທັງໝົດ ຍົກເວັ້ນຂະບວນການຕົ້ນຕໍ

ໂມດູນ NIGGA

ການວິເຄາະປຽບທຽບ
function processCmd ທີ່ເກັບຮັກສາເຫດຜົນຕົ້ນຕໍໃນລະຫັດແຫຼ່ງປະກອບມີ PING, GetLOCAIP, ເຄື່ອງສະແກນ, ອີເມວ, ຂີ້ເຫຍື້ອ, UDP, TCP, ຖື, KILLATTK, ແລະໂມດູນ LOLNOGTFO. ມີພຽງແຕ່ໂມດູນ UDP ແລະ TCP ລຸ້ນທີ່ງ່າຍດາຍຢູ່ຮ່ວມກັນໃນການຂູດຮີດ variant ທີ່ຖືກຈັບໃນເວລານີ້. .

ແລະໃນການດໍາເນີນງານຂອງການໄດ້ຮັບ IP ທ້ອງຖິ່ນ, ສະບັບຕົ້ນສະບັບໄດ້ຮັບ IP ທ້ອງຖິ່ນໂດຍຜ່ານ /proc/net/route ແລະສົ່ງຄືນມັນຜ່ານໂມດູນ GETLOCALIP. ການປະຕິບັດການໄດ້ຮັບດຽວກັນແມ່ນສັງເກດເຫັນຢູ່ໃນຕົວແປນີ້, ແຕ່ບໍ່ມີໂມດູນ GETLOCALIP ແລະບໍ່ມີການອ້າງອີງໃດໆທີ່ສັງເກດເຫັນ.

ເອົາ IP ທ້ອງຖິ່ນ

ມັນເປັນມູນຄ່າທີ່ສັງເກດວ່າບໍ່ມີຮຸ່ນຕົ້ນສະບັບຂອງໂມດູນ SCANNER ທີ່ໃຊ້ເພື່ອລະເບີດ SSH (ທ່າເຮືອ 22) ໃນປະເພດຂອງຕົວຢ່າງນີ້, ແລະບໍ່ມີຕົວແປອື່ນທີ່ຝັງຫຼາຍອັນ "ແອັບພລິເຄຊັນ/ອຸປະກອນ" ຄວາມອ່ອນແອທີ່ຈະແຜ່ລາມຜ່ານ Payload. ມັນສາມາດເຫັນໄດ້ວ່າຜູ້ໂຈມຕີແຍກໂມດູນການຂະຫຍາຍພັນເຂົ້າໄປໃນບັນດາໂຄງການເອກະລາດ, ແລະຫຼັງຈາກສົບຜົນສໍາເລັດເຂົ້າສູ່ລະບົບເຈົ້າພາບຜູ້ຖືກເຄາະຮ້າຍ, ລາວຈະດາວໂຫລດຕົວຢ່າງການສື່ສານສໍາລັບຂັ້ນຕອນຕໍ່ໄປໂດຍການປະຕິບັດ shellcode, ນັ້ນ​ແມ່ນ, ຕົວຢ່າງການວິເຄາະ.

ປະຕິບັດຕົວຢ່າງ shellcode

ເອົາຕົວຢ່າງທີ່ໄດ້ມາຈາກແຫຼ່ງດຽວກັນເປັນຕົວຢ່າງ, ຜູ້ໂຈມຕີໄດ້ລຶບຂໍ້ມູນການດີບັກສຳລັບຕົວຢ່າງສ່ວນໃຫຍ່, ຍົກເວັ້ນສອງສາມ, ເຊັ່ນ​ວ່າ: x86.

ແບ່ງປັນຄວາມຮັກຂອງເຈົ້າ

ກະທູ້ທີ່ກ່ຽວຂ້ອງ

ອອກຈາກການຕອບ

ທີ່ຢູ່ອີເມວຂອງເຈົ້າຈະບໍ່ຖືກເຜີຍແຜ່. ຊ່ອງຂໍ້ມູນທີ່ຕ້ອງການຖືກໝາຍໄວ້ *