Tikslas į daiktų internetą, naujas variantas "Gaffyt" Pasirodo Trojos arklys

Tikslas į daiktų internetą, naujas variantas "Gaffyt" Pasirodo Trojos arklys

Neseniai, „Huorong Security Lab“ aptiko viruso įsibrovimo incidentą, kuris po tyrimo ir analizės buvo patvirtintas kaip naujas Gafgyt Trojan viruso variantas.

Gafgyt yra IoT botneto programa, pagrįsta IRC protokolu, kuris daugiausia užkrečia Linux pagrindu veikiančias IoT įrenginiai pradėti paskirstytas atsisakymo teikti paslaugas atakas (DDoS). Tai didžiausia aktyvi IoT robotų tinklų šeima, išskyrus Mirai šeimą.

Po to, kai jo šaltinio kodas buvo nutekėjęs ir įkeltas į „GitHub“. 2015, vienas po kito atsirado įvairių variantų ir išnaudojimų, kelia didesnę grėsmę vartotojų saugumui. Dabar, „Huorong“ saugos produktai gali perimti ir sunaikinti aukščiau minėtus virusus. Įmonės vartotojų prašoma laiku atnaujinti virusų duomenų bazę, kad galėtų apsiginti.

1. Mėginio analizė
Virusas pirmiausia pervadina savo procesą į "/usr/sbin/dropbear" arba "sshd" kad pasislėptų:

proceso pervadinimas

Tarp jų, randama užšifruota eilutė, o iššifravimo algoritmas yra 0xDEDEFFBA baitas XOR. Kai naudojamas, atskirai iššifruojami tik panaudoti, bet tik 4 iš tikrųjų yra nurodytos:

Šifruota eilutė ir iššifravimo algoritmas

Pirmoji nuoroda yra tik atitinkamos eilutės išvedimas į ekraną, o vidurinės dvi nuorodos yra stebėjimo proceso operacijos, siekiant neprarasti kontrolės dėl įrenginio paleidimo iš naujo:

iššifruoti ir cituoti

Likusios operacijos atliekamos kilpa, įskaitant C2 ryšio inicijavimą (94.156.161.21:671), platformos įrenginio tipo siuntimas, grąžinimo komandos gavimas ir atitinkamos modulio operacijos vykdymas. Ir palyginti su Gafgy nutekėjusiu šaltinio kodu, komandos formatas ir apdorojimas beveik nepasikeitė, ir komandos formatas vis dar yra "!*komandą [Parametras]"

kilpos operacijos kodas

ProcesoCmd funkcijoje, iš viso 14 į komandas reaguojama ir pradedamos atitinkamos DDOS atakos, įskaitant: "HTTP", "CUDP plėtinys", "UDP", "STD", "UAB", "TCP", "SYN" , "ACK", "CXMAS", "KALĖDOS", "CVSE", "VISKAS", "CNC", "NIGGA"

komandos ekrano kopija - IoT saugumas

Tarp jų, CUDP, UDP, UAB, ir TCP moduliai gali siųsti atsitiktines eilutes į nurodytą IP ir prievadą, ir gali atkurti TCP ir UDP paketus pagal savarankiškai sukurtas IP antraštes, kad paslėptų šaltinio IP adresą.

pranešimo struktūra

Spėjama, kad priešdėlis C yra papročio santrumpa. Pavyzdžiui, CUDP ir UDP, originalioje „Gafgyt“ versijoje, išduodamos komandos parametrai apima: ip, uostas, laikas, apsimeta, paketo dydis, pollinterval ir kitos lauko reikšmės bei vėliavėlės bitai UDP paketų konstravimui. Šiame pavyzdyje, tačiau, pastebėti rezultatai rodo, kad būtent šių parametrų taikymas skirtingiems apribojimo laipsniams, kurios gali padidinti tam tikrų tipų DDOS atakų lankstumą.

CUDP ir UDP palyginimas

Kitų modulių funkcijos apima daugybės „User-Agent“ eilučių pridėjimą, kurios naudojamos paleisti HTTP komandas CC atakoms:

CC ataka

Įtraukta atakoms prieš Valve Source Engine serverius: ("Šaltinio variklis" užklausos yra kasdienio bendravimo tarp klientų ir žaidimų serveriai naudojant Valve programinės įrangos protokolą)

Išpuoliai prieš žaidimų pramonę

Įskaitant CNC komandas, kurios gali perjungti ryšio IP:

jungiklio jungties IP

Apima SYN ir ACK atakas:

SYN ir ACK atakos

Įskaitant UDP STD potvynių atakas:

STD priepuolis

Įskaitant Kalėdų ataką: (tai yra, Kalėdų eglutės puolimas, nustatydami visus TCP vėliavėlės bitus į 1, taip sunaudojama daugiau tikslinės sistemos atsako apdorojimo resursų)

Kalėdų ataka

NIGGA modulis yra lygiavertis KILLATTK komandai pradinėje versijoje, kuris sustabdo DoSS atakas žudydamas visus antrinius procesus, išskyrus pagrindinį procesą

NIGGA modulis

Lyginamoji analizė
Funkcija processCmd, kuri išsaugo pagrindinę logiką šaltinio kode, apima PING, GETLOCALIP, SKAENERIS, EL. PAŠTAS, ŠLAIDŽIAUS, UDP, TCP, LAIKYTI, KILLATTK, ir LOLNOGTFO moduliai. Šį kartą užfiksuotame variante egzistuoja tik supaprastintos UDP ir TCP modulių versijos. .

Ir gaunant vietinį IP, pradinė versija gauna vietinį IP per /proc/net/route ir grąžina jį per GETLOCALIP modulį. Šiame variante stebima ta pati gavimo operacija, bet nėra GETLOCALIP modulio ir nepastebima jokių nuorodų.

Gaukite vietinį IP

Verta paminėti, kad nėra originalios SCANNER modulio versijos, naudojamos SSH išsklaidyti (uostas 22) tokio tipo pavyzdyje, ir nėra kitų variantų, kuriuose būtų įterpiami keli "programos/įrenginys" pažeidžiamumas plisti per „Payload“.. Matyti, kad užpuolikas suskaido sklidimo modulį į nepriklausomas programas, ir sėkmingai prisijungus prie aukos šeimininko, jis atsisiųs ryšio pavyzdį kitam etapui vykdydamas apvalkalo kodą, tai yra, analizės mėginys.

Vykdykite apvalkalo kodo pavyzdį

Kaip pavyzdį paimti iš to paties šaltinio paimtus mėginius, užpuolikas pašalino daugumos pavyzdžių derinimo informaciją, išskyrus keletą, toks kaip: x86.