mailaka: anwenqq2690502116@gmail.com
Mikatsaka ny Internet of Things, variana vaovao amin'ny "Gaffyt" Miseho ny Trojan
Vao haingana, Huorong Security Lab dia nahita tranga fidiran'ny virus, izay voamarina fa karazany vaovao amin'ny virus Gafgyt Trojan taorian'ny fanadihadiana sy ny fanadihadiana.
Gafgyt dia programa botnet IoT mifototra amin'ny protocol IRC, izay manimba indrindra amin'ny Linux fitaovana IoT hanombohana fanafihana fandavana ny serivisy zaraina (DDoS). Izy io no fianakaviana botnet IoT mavitrika indrindra ankoatry ny fianakaviana Mirai.
Rehefa tafaporitsaka ny kaody loharanony ary nampidirina tao amin'ny GitHub 2015, variana sy fanararaotana isan-karazany nipoitra nifandimby, fandrahonana fiarovana lehibe kokoa ho an'ny mpampiasa. Amin'izao, Ny vokatra fiarovana Huorong dia afaka manakana sy mamono ireo otrikaretina voalaza etsy ambony. Angatahina ireo mpampiasa orinasa mba hanavao ny angon-drakitra otrikaretina ara-potoana hiarovana.
1. Famakafakana santionany
Ny viriosy dia manonona ny fomba fiasany ho "/usr/sbin/dropbear" na "sshd" hanafina ny tenany:
fanovana anarana
Anisan-dry zareo, hita ny tady miafina, ary ny algorithm decryption dia ny byte XOR an'ny 0xDEDEFFBA. Rehefa ampiasaina, ny ampiasaina ihany no decryption tsirairay, fa ihany 4 tena references:
Algorithm decryption sy string encryption
Ny fanondroana voalohany dia ny famoahana ny tady mifanaraka amin'ny efijery fotsiny, ary ny references roa afovoany dia miasa amin'ny fizotry ny mpiambina mba tsy ho very ny fifehezana noho ny famerenana ny fitaovana:
decrypt sy quote
Ny asa sisa dia atao amin'ny loop, anisan'izany ny fanombohana ny fifandraisana C2 (94.156.161.21:671), mandefa ny karazana fitaovana amin'ny sehatra, mandray ny baikon'ny fiverenana ary manatanteraka ny hetsika module mifanaraka amin'izany. Ary ampitahaina amin'ny kaody loharano navoakan'i Gafgy, tsy niova firy ny endrika sy ny fanodinana ny baiko, ary mbola ny endriky ny baiko "!*didy [fikirana]"
kaody fampandehanana loop
Ao amin'ny processCmd function, total ny 14 mamaly ny baiko ary manomboka ny fanafihana DDOS mifandraika amin'izany, anisan'izany ny: "Sokajy", "Fanombanana ny orinasa CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "ny zava-drehetra", "CNC", "NIGGA"
baiko pikantsary - IoT fiarovana
Anisan-dry zareo, ny CUDP, UDP, JSC, ary ny maody TCP dia afaka mandefa tady kisendrasendra amin'ny IP sy seranan-tsambo voatondro, ary afaka manangana indray ny fonosana TCP sy UDP amin'ny alàlan'ny lohatenin'ny IP namboarin-tena hanafenana ny adiresy IP loharano.
rafitra hafatra
Ny prefix C dia heverina ho fanafohezana ny fomba amam-panao. Raiso ohatra ny CUDP sy ny UDP, amin'ny dikan-tenin'ny Gafgyt tany am-boalohany, ny masontsivana ao amin'ny baiko navoaka dia ahitana: : ip, seranana, Time, voasoloky, haben'ny fonosana, pollinterval sy ny sandan'ny saha hafa ary ny sainam-pirenena ho an'ny fananganana fonosana UDP. Amin'ity ohatra ity, na izany aza, ny vokatra voamarika dia mampiseho fa ny fampiharana ireo mari-pamantarana ireo amin'ny ambaratongam-pamerana samihafa, izay afaka manatsara ny fahafahan'ny karazana fanafihana DDOS manokana.
Fampitahana ny CUDP sy ny UDP
Ny fiasan'ny maody hafa dia ahitana ny fampidirana tady User-Agent marobe, izay ampiasaina hanombohana baiko HTTP ho an'ny fanafihana CC:
Fanafihana CC
Tafiditra amin'ny fanafihana ny lohamilina Source Engine an'i Valve: ("Source Engine" Ny fanontaniana dia ampahany amin'ny fifandraisana isan'andro eo amin'ny mpanjifa sy mpizara lalao mampiasa ny protocole rindrambaiko Valve)
Fanafihana ny indostrian'ny lalao
Ao anatin'izany ny baiko CNC izay afaka manova IP fifandraisana:
mampifandray IP
Ahitana fanafihana SYN sy ACK:
Fanafihana SYN sy ACK
Anisan'izany ny fanafihana tondra-drano UDP STD:
Fanafihana STD
Anisan'izany ny fanafihana XMAS: (izany hoe, Fanafihana hazo krismasy, amin'ny fametrahana ny sainam-pirenena rehetra amin'ny TCP 1, ka mandany loharanon-karena fanodinana valiny bebe kokoa amin'ny rafitra kendrena)
Fanafihana XMAS
Ny maody NIGGA dia mitovy amin'ny baiko KILLATTK amin'ny dikan-teny voalohany, izay manakana ny fanafihana DoSS amin'ny famonoana ny fizotran'ny ankizy rehetra afa-tsy ny dingana lehibe
Module NIGGA
Famakafakana fampitahana
Ny process processCmd izay mitahiry ny lojika lehibe ao amin'ny kaody loharano dia ahitana PING, GETLOCALIP, SCANNER, EMAIL, tratran'ny mpanara, UDP, TCP, MANOHANA, KILLATTK, ary LOLNOGTFO modules. Ny dikan-teny tsotra amin'ny maody UDP sy TCP ihany no miara-miaina amin'ny fanararaotana variana nalaina tamin'ity indray mitoraka ity. .
Ary amin'ny fampandehanana ny fahazoana ny IP eo an-toerana, ny dikan-teny tany am-boalohany dia mahazo ny IP eo an-toerana amin'ny alàlan'ny / proc / net / route ary mamerina izany amin'ny alàlan'ny module GETLOCALIP. Mitovy amin'izany koa ny fiasan'ny get dia hita amin'ity variana ity, fa tsy misy module GETLOCALIP ary tsy misy references hita.
Makà IP eo an-toerana
Tsara ny manamarika fa tsy misy dikan-teny tany am-boalohany amin'ny maodely SCANNER ampiasaina hanapoahana SSH (seranana 22) amin'ity karazana santionany ity, ary tsy misy variana hafa mampiditra maromaro "fampiharana/fitaovana" vulnerability hiparitaka amin'ny Payload. Hita fa ny mpanafika dia mizara ny maody fampielezana ho programa tsy miankina, ary rehefa niditra soa aman-tsara tao amin'ny mpampiantrano niharam-boina, izy dia haka ny santionan'ny fifandraisana amin'ny dingana manaraka amin'ny fanatanterahana ny shellcode, izany hoe, ny santionany analyse.
Manaova ohatra shellcode
Ny fakana ny santionany azo avy amin'ny loharano mitovy ho ohatra, nesorin'ilay mpanafika ny fampahalalana debug ho an'ny ankamaroan'ny santionany, afa-tsy ny vitsivitsy, toy ny: x86.