ອີເມວ: anwenqq2690502116@gmail.com
ມຸ່ງໄປສູ່ອິນເຕີເນັດຂອງສິ່ງຕ່າງໆ, variant ໃຫມ່ຂອງ "Gaffyt" Trojan ປາກົດ
ເມື່ອບໍ່ດົນມານີ້, Huorong Security Lab ຄົ້ນພົບເຫດການການບຸກລຸກຂອງໄວຣັດ, ເຊິ່ງໄດ້ຖືກຢືນຢັນວ່າເປັນຕົວແປໃຫມ່ຂອງເຊື້ອໄວຣັສ Gafgyt Trojan ຫຼັງຈາກການສືບສວນແລະການວິເຄາະ.
Gafgyt ແມ່ນໂຄງການ IoT botnet ໂດຍອີງໃສ່ໂປໂຕຄອນ IRC, ເຊິ່ງສ່ວນໃຫຍ່ແມ່ນຕິດເຊື້ອທີ່ອີງໃສ່ Linux ອຸປະກອນ IoT ເພື່ອເປີດຕົວການໂຈມຕີປະຕິເສດການບໍລິການທີ່ແຈກຢາຍ (DDoS). ມັນເປັນຄອບຄົວ botnet IoT ທີ່ມີການເຄື່ອນໄຫວທີ່ໃຫຍ່ທີ່ສຸດນອກເຫນືອຈາກຄອບຄົວ Mirai.
ຫຼັງຈາກລະຫັດແຫຼ່ງຂອງມັນໄດ້ຖືກຮົ່ວໄຫລແລະອັບໂຫລດໄປຍັງ GitHub ໃນ 2015, variants ແລະ exploits ຕ່າງໆ ໄດ້ ເກີດ ຂຶ້ນ ຫຼັງ ຈາກ ທີ່ ອື່ນ, posing ເປັນໄພຂົ່ມຂູ່ດ້ານຄວາມປອດໄພຫຼາຍກວ່າເກົ່າຕໍ່ຜູ້ໃຊ້. ປັດຈຸບັນ, ຜະລິດຕະພັນຄວາມປອດໄພ Huorong ສາມາດສະກັດແລະຂ້າເຊື້ອໄວຣັສທີ່ກ່າວມາຂ້າງເທິງ. ຜູ້ໃຊ້ວິສາຫະກິດໄດ້ຖືກຮ້ອງຂໍໃຫ້ປັບປຸງຖານຂໍ້ມູນໄວຣັສໃນເວລາສໍາລັບການປ້ອງກັນ.
1. ການວິເຄາະຕົວຢ່າງ
ເຊື້ອໄວຣັສທໍາອິດປ່ຽນຊື່ຂະບວນການຂອງຕົນເອງເປັນ "/usr/sbin/dropbear" ຫຼື "sshd" ເພື່ອຊ່ອນຕົວຂອງມັນເອງ:
ຂະບວນການປ່ຽນຊື່
ໃນບັນດາພວກເຂົາ, ພົບສາຍທີ່ເຂົ້າລະຫັດໄວ້, ແລະສູດການຖອດລະຫັດແມ່ນ byte XOR ຂອງ 0xDEDEFFBA. ເມື່ອໃຊ້, ສະເພາະຕົວທີ່ໃຊ້ແລ້ວຖືກຖອດລະຫັດເປັນສ່ວນບຸກຄົນ, ແຕ່ເທົ່ານັ້ນ 4 ຕົວຈິງແລ້ວແມ່ນອ້າງອີງ:
ສະຕຣິງເຂົ້າລະຫັດ ແລະສູດການຖອດລະຫັດ
ການອ້າງອິງທໍາອິດແມ່ນພຽງແຕ່ອອກສາຍທີ່ສອດຄ້ອງກັນກັບຫນ້າຈໍ, ແລະການອ້າງອິງກາງສອງແມ່ນການດໍາເນີນງານໃນຂະບວນການ watchdog ເພື່ອຫຼີກເວັ້ນການສູນເສຍການຄວບຄຸມເນື່ອງຈາກການ restart ອຸປະກອນ:
decrypt ແລະ quote
ການດໍາເນີນງານທີ່ຍັງເຫຼືອແມ່ນດໍາເນີນຢູ່ໃນ loop, ລວມທັງການເລີ່ມຕົ້ນການເຊື່ອມຕໍ່ C2 (94.156.161.21:671), ສົ່ງປະເພດອຸປະກອນເວທີ, ໄດ້ຮັບຄໍາສັ່ງກັບຄືນແລະປະຕິບັດການດໍາເນີນງານຂອງໂມດູນທີ່ສອດຄ້ອງກັນ. ແລະປຽບທຽບກັບລະຫັດແຫຼ່ງທີ່ຮົ່ວໄຫຼໂດຍ Gafgy, ຮູບແບບແລະການປຸງແຕ່ງຄໍາສັ່ງບໍ່ໄດ້ປ່ຽນແປງຫຼາຍ, ແລະຮູບແບບຂອງຄໍາສັ່ງແມ່ນຍັງ "!*ຄໍາສັ່ງ [ພາລາມິເຕີ]"
ລະຫັດການດໍາເນີນງານ loop
ໃນຟັງຊັນ Cmd, ຈໍານວນທັງຫມົດ 14 ຄໍາສັ່ງຖືກຕອບສະຫນອງຕໍ່ແລະການໂຈມຕີ DDOS ທີ່ສອດຄ້ອງກັນໄດ້ຖືກເປີດຕົວ, ລວມທັງ: "HTTP", "ສ່ວນຂະຫຍາຍ CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "ທຸກຢ່າງ", "CNC", "NIGGA"
ພາບຫນ້າຈໍຄໍາສັ່ງ - ຄວາມປອດໄພ IoT
ໃນບັນດາພວກເຂົາ, CUDP, UDP, JSC, ແລະໂມດູນ TCP ທັງຫມົດສາມາດສົ່ງສາຍແບບສຸ່ມໄປຫາ IP ແລະພອດທີ່ກໍານົດໄວ້, ແລະສາມາດສ້າງແພັກເກັດ TCP ແລະ UDP ຄືນໃໝ່ໄດ້ໂດຍສ່ວນຫົວ IP ທີ່ສ້າງຂຶ້ນເອງເພື່ອເຊື່ອງທີ່ຢູ່ IP ແຫຼ່ງທີ່ມາ.
ໂຄງສ້າງຂໍ້ຄວາມ
ຄໍານໍາຫນ້າ C ຖືກຄາດເດົາວ່າເປັນຕົວຫຍໍ້ຂອງ custom. ເອົາ CUDP ແລະ UDP ເປັນຕົວຢ່າງ, ໃນສະບັບຕົ້ນສະບັບຂອງ Gafgyt, ຕົວກໍານົດການໃນຄໍາສັ່ງອອກປະກອບມີ: ip, ທ່າເຮືອ, ເວລາ, ຫຼອກລວງ, ຂະໜາດແພັກເກັດ, pollinterval ແລະຄ່າພາກສະຫນາມອື່ນໆແລະ flag bits ສໍາລັບການກໍ່ສ້າງຂອງ UDP packets. ໃນຕົວຢ່າງນີ້, ແນວໃດກໍ່ຕາມ, ຜົນໄດ້ຮັບທີ່ສັງເກດເຫັນສະແດງໃຫ້ເຫັນວ່າມັນແມ່ນການນໍາໃຊ້ຕົວກໍານົດການເຫຼົ່ານີ້ຕໍ່ກັບລະດັບການຈໍາກັດທີ່ແຕກຕ່າງກັນ, ເຊິ່ງສາມາດເພີ່ມຄວາມຍືດຫຍຸ່ນຂອງການໂຈມຕີ DDOS ສະເພາະ.
ການປຽບທຽບ CUDP ແລະ UDP
ຫນ້າທີ່ຂອງໂມດູນອື່ນໆປະກອບມີການເພີ່ມຈໍານວນຫລາຍຂອງ User-Agent strings, ທີ່ຖືກນໍາໃຊ້ເພື່ອເປີດຄໍາສັ່ງ HTTP ສໍາລັບການໂຈມຕີ CC:
ການໂຈມຕີ CC
ລວມໄປເຖິງການໂຈມຕີຕໍ່ກັບເຊີບເວີ Source Engine ຂອງ Valve: ("ເຄື່ອງຈັກແຫຼ່ງ" ການສອບຖາມແມ່ນສ່ວນຫນຶ່ງຂອງການສື່ສານປະຈໍາວັນລະຫວ່າງລູກຄ້າແລະ ເຊີບເວີເກມ ການນໍາໃຊ້ໂປໂຕຄອນຊອບແວ Valve)
ການໂຈມຕີຕໍ່ອຸດສາຫະກໍາເກມ
ລວມທັງຄໍາສັ່ງ CNC ທີ່ສາມາດປ່ຽນ IP ເຊື່ອມຕໍ່:
ສະຫຼັບການເຊື່ອມຕໍ່ IP
ລວມມີການໂຈມຕີ SYN ແລະ ACK:
ການໂຈມຕີ SYN ແລະ ACK
ລວມທັງການໂຈມຕີນໍ້າຖ້ວມ UDP STD:
ການໂຈມຕີ STD
ລວມທັງການໂຈມຕີ XMAS: (ນັ້ນແມ່ນ, ການໂຈມຕີຕົ້ນໄມ້ວັນຄຣິດສະມາດ, ໂດຍການຕັ້ງຄ່າທຸງທັງໝົດຂອງ TCP ເປັນ 1, ດັ່ງນັ້ນການບໍລິໂພກຊັບພະຍາກອນການຕອບສະຫນອງຫຼາຍຂອງລະບົບເປົ້າຫມາຍ)
ການໂຈມຕີ XMAS
ໂມດູນ NIGGA ແມ່ນທຽບເທົ່າກັບຄໍາສັ່ງ KILLATTK ໃນສະບັບຕົ້ນສະບັບ, ເຊິ່ງຢຸດການໂຈມຕີ DoSS ໂດຍການຂ້າຂະບວນການເດັກນ້ອຍທັງໝົດ ຍົກເວັ້ນຂະບວນການຕົ້ນຕໍ
ໂມດູນ NIGGA
ການວິເຄາະປຽບທຽບ
function processCmd ທີ່ເກັບຮັກສາເຫດຜົນຕົ້ນຕໍໃນລະຫັດແຫຼ່ງປະກອບມີ PING, GetLOCAIP, ເຄື່ອງສະແກນ, ອີເມວ, ຂີ້ເຫຍື້ອ, UDP, TCP, ຖື, KILLATTK, ແລະໂມດູນ LOLNOGTFO. ມີພຽງແຕ່ໂມດູນ UDP ແລະ TCP ລຸ້ນທີ່ງ່າຍດາຍຢູ່ຮ່ວມກັນໃນການຂູດຮີດ variant ທີ່ຖືກຈັບໃນເວລານີ້. .
ແລະໃນການດໍາເນີນງານຂອງການໄດ້ຮັບ IP ທ້ອງຖິ່ນ, ສະບັບຕົ້ນສະບັບໄດ້ຮັບ IP ທ້ອງຖິ່ນໂດຍຜ່ານ /proc/net/route ແລະສົ່ງຄືນມັນຜ່ານໂມດູນ GETLOCALIP. ການປະຕິບັດການໄດ້ຮັບດຽວກັນແມ່ນສັງເກດເຫັນຢູ່ໃນຕົວແປນີ້, ແຕ່ບໍ່ມີໂມດູນ GETLOCALIP ແລະບໍ່ມີການອ້າງອີງໃດໆທີ່ສັງເກດເຫັນ.
ເອົາ IP ທ້ອງຖິ່ນ
ມັນເປັນມູນຄ່າທີ່ສັງເກດວ່າບໍ່ມີຮຸ່ນຕົ້ນສະບັບຂອງໂມດູນ SCANNER ທີ່ໃຊ້ເພື່ອລະເບີດ SSH (ທ່າເຮືອ 22) ໃນປະເພດຂອງຕົວຢ່າງນີ້, ແລະບໍ່ມີຕົວແປອື່ນທີ່ຝັງຫຼາຍອັນ "ແອັບພລິເຄຊັນ/ອຸປະກອນ" ຄວາມອ່ອນແອທີ່ຈະແຜ່ລາມຜ່ານ Payload. ມັນສາມາດເຫັນໄດ້ວ່າຜູ້ໂຈມຕີແຍກໂມດູນການຂະຫຍາຍພັນເຂົ້າໄປໃນບັນດາໂຄງການເອກະລາດ, ແລະຫຼັງຈາກສົບຜົນສໍາເລັດເຂົ້າສູ່ລະບົບເຈົ້າພາບຜູ້ຖືກເຄາະຮ້າຍ, ລາວຈະດາວໂຫລດຕົວຢ່າງການສື່ສານສໍາລັບຂັ້ນຕອນຕໍ່ໄປໂດຍການປະຕິບັດ shellcode, ນັ້ນແມ່ນ, ຕົວຢ່າງການວິເຄາະ.
ປະຕິບັດຕົວຢ່າງ shellcode
ເອົາຕົວຢ່າງທີ່ໄດ້ມາຈາກແຫຼ່ງດຽວກັນເປັນຕົວຢ່າງ, ຜູ້ໂຈມຕີໄດ້ລຶບຂໍ້ມູນການດີບັກສຳລັບຕົວຢ່າງສ່ວນໃຫຍ່, ຍົກເວັ້ນສອງສາມ, ເຊັ່ນວ່າ: x86.