El. paštas: anwenqq2690502116@gmail.com
Tikslas į daiktų internetą, naujas variantas "Gaffyt" Pasirodo Trojos arklys
Neseniai, „Huorong Security Lab“ aptiko viruso įsibrovimo incidentą, kuris po tyrimo ir analizės buvo patvirtintas kaip naujas Gafgyt Trojan viruso variantas.
Gafgyt yra IoT botneto programa, pagrįsta IRC protokolu, kuris daugiausia užkrečia Linux pagrindu veikiančias IoT įrenginiai pradėti paskirstytas atsisakymo teikti paslaugas atakas (DDoS). Tai didžiausia aktyvi IoT robotų tinklų šeima, išskyrus Mirai šeimą.
Po to, kai jo šaltinio kodas buvo nutekėjęs ir įkeltas į „GitHub“. 2015, vienas po kito atsirado įvairių variantų ir išnaudojimų, kelia didesnę grėsmę vartotojų saugumui. Dabar, „Huorong“ saugos produktai gali perimti ir sunaikinti aukščiau minėtus virusus. Įmonės vartotojų prašoma laiku atnaujinti virusų duomenų bazę, kad galėtų apsiginti.
1. Mėginio analizė
Virusas pirmiausia pervadina savo procesą į "/usr/sbin/dropbear" arba "sshd" kad pasislėptų:
proceso pervadinimas
Tarp jų, randama užšifruota eilutė, o iššifravimo algoritmas yra 0xDEDEFFBA baitas XOR. Kai naudojamas, atskirai iššifruojami tik panaudoti, bet tik 4 iš tikrųjų yra nurodytos:
Šifruota eilutė ir iššifravimo algoritmas
Pirmoji nuoroda yra tik atitinkamos eilutės išvedimas į ekraną, o vidurinės dvi nuorodos yra stebėjimo proceso operacijos, siekiant neprarasti kontrolės dėl įrenginio paleidimo iš naujo:
iššifruoti ir cituoti
Likusios operacijos atliekamos kilpa, įskaitant C2 ryšio inicijavimą (94.156.161.21:671), platformos įrenginio tipo siuntimas, grąžinimo komandos gavimas ir atitinkamos modulio operacijos vykdymas. Ir palyginti su Gafgy nutekėjusiu šaltinio kodu, komandos formatas ir apdorojimas beveik nepasikeitė, ir komandos formatas vis dar yra "!*komandą [Parametras]"
kilpos operacijos kodas
ProcesoCmd funkcijoje, iš viso 14 į komandas reaguojama ir pradedamos atitinkamos DDOS atakos, įskaitant: "HTTP", "CUDP plėtinys", "UDP", "STD", "UAB", "TCP", "SYN" , "ACK", "CXMAS", "KALĖDOS", "CVSE", "VISKAS", "CNC", "NIGGA"
komandos ekrano kopija - IoT saugumas
Tarp jų, CUDP, UDP, UAB, ir TCP moduliai gali siųsti atsitiktines eilutes į nurodytą IP ir prievadą, ir gali atkurti TCP ir UDP paketus pagal savarankiškai sukurtas IP antraštes, kad paslėptų šaltinio IP adresą.
pranešimo struktūra
Spėjama, kad priešdėlis C yra papročio santrumpa. Pavyzdžiui, CUDP ir UDP, originalioje „Gafgyt“ versijoje, išduodamos komandos parametrai apima: ip, uostas, laikas, apsimeta, paketo dydis, pollinterval ir kitos lauko reikšmės bei vėliavėlės bitai UDP paketų konstravimui. Šiame pavyzdyje, tačiau, pastebėti rezultatai rodo, kad būtent šių parametrų taikymas skirtingiems apribojimo laipsniams, kurios gali padidinti tam tikrų tipų DDOS atakų lankstumą.
CUDP ir UDP palyginimas
Kitų modulių funkcijos apima daugybės „User-Agent“ eilučių pridėjimą, kurios naudojamos paleisti HTTP komandas CC atakoms:
CC ataka
Įtraukta atakoms prieš Valve Source Engine serverius: ("Šaltinio variklis" užklausos yra kasdienio bendravimo tarp klientų ir žaidimų serveriai naudojant Valve programinės įrangos protokolą)
Išpuoliai prieš žaidimų pramonę
Įskaitant CNC komandas, kurios gali perjungti ryšio IP:
jungiklio jungties IP
Apima SYN ir ACK atakas:
SYN ir ACK atakos
Įskaitant UDP STD potvynių atakas:
STD priepuolis
Įskaitant Kalėdų ataką: (tai yra, Kalėdų eglutės puolimas, nustatydami visus TCP vėliavėlės bitus į 1, taip sunaudojama daugiau tikslinės sistemos atsako apdorojimo resursų)
Kalėdų ataka
NIGGA modulis yra lygiavertis KILLATTK komandai pradinėje versijoje, kuris sustabdo DoSS atakas žudydamas visus antrinius procesus, išskyrus pagrindinį procesą
NIGGA modulis
Lyginamoji analizė
Funkcija processCmd, kuri išsaugo pagrindinę logiką šaltinio kode, apima PING, GETLOCALIP, SKAENERIS, EL. PAŠTAS, ŠLAIDŽIAUS, UDP, TCP, LAIKYTI, KILLATTK, ir LOLNOGTFO moduliai. Šį kartą užfiksuotame variante egzistuoja tik supaprastintos UDP ir TCP modulių versijos. .
Ir gaunant vietinį IP, pradinė versija gauna vietinį IP per /proc/net/route ir grąžina jį per GETLOCALIP modulį. Šiame variante stebima ta pati gavimo operacija, bet nėra GETLOCALIP modulio ir nepastebima jokių nuorodų.
Gaukite vietinį IP
Verta paminėti, kad nėra originalios SCANNER modulio versijos, naudojamos SSH išsklaidyti (uostas 22) tokio tipo pavyzdyje, ir nėra kitų variantų, kuriuose būtų įterpiami keli "programos/įrenginys" pažeidžiamumas plisti per „Payload“.. Matyti, kad užpuolikas suskaido sklidimo modulį į nepriklausomas programas, ir sėkmingai prisijungus prie aukos šeimininko, jis atsisiųs ryšio pavyzdį kitam etapui vykdydamas apvalkalo kodą, tai yra, analizės mėginys.
Vykdykite apvalkalo kodo pavyzdį
Kaip pavyzdį paimti iš to paties šaltinio paimtus mėginius, užpuolikas pašalino daugumos pavyzdžių derinimo informaciją, išskyrus keletą, toks kaip: x86.