Te whai ki te Ipurangi o nga Mea, he momo hou o te "Gafgyt" Ka puta mai a Torotiana

Te whai ki te Ipurangi o nga Mea, he momo hou o te "Gaffyt" Ka puta mai a Torotiana

Te whai ki te Ipurangi o nga Mea, he momo hou o te "Gaffyt" Ka puta mai a Torotiana. No tata nei, I kitea e te Huorong Security Lab tetahi raru urutomo wheori, i whakapumautia he momo hou o te huaketo Gafgyt Trojan i muri i te tirotiro me te tātari.

Te whai ki te Ipurangi o nga Mea, he momo hou o te "Gaffyt" Ka puta mai a Torotiana

No tata nei, I kitea e te Huorong Security Lab tetahi raru urutomo wheori, i whakapumautia he momo hou o te huaketo Gafgyt Trojan i muri i te tirotiro me te tātari.

Ko Gafgyt he kaupapa botnet IoT i runga i te kawa IRC, e pangia ana e te nuinga o Linux Nga taputapu IoT ki te whakarewa i toha tohatoha o nga whakaeke ratonga (DDoS). Koinei te whanau botnet IoT kaha rawa atu i te whanau Mirai.

I muri i te tukunga o tana waehere puna ka tukuna ki a GitHub 2015, he maha nga momo rereke me nga mahi i puta mai tetahi i muri i tetahi, he nui ake te riri haumaru ki nga kaiwhakamahi. I tenei wa, Ka taea e nga hua haumaru Huorong te haukoti me te patu i nga huaketo kua whakahuahia ake nei. Ka tonohia nga kaiwhakamahi hinonga ki te whakahōu i te pātengi raraunga huaketo i te wa mo te whakamarumaru.

1. Te tātari tauira
Ka whakaingoatia tuatahitia e te huaketo tana ake tukanga ki "/usr/sbin/dropbear" ranei "sshd" ki te huna ia ia ano:

whakaingoatia te tukanga

I roto ia ratou, ka kitea te aho whakamunatia, a ko te hātepee wetemuna ko te XOR paita o 0xDEDEFFBA. Ina whakamahia, ko nga mea kua whakamahia anake ka wetemuna takitahi, engari anake 4 he tino tohutoro:

aho whakamuna me te wetemuna hātepe

Ko te tohutoro tuatahi ko te whakaputa i te aho e rite ana ki te mata, a ko nga tohutoro waenga e rua he mahi i runga i te mahi kaitutei kia kore ai e ngaro te mana na te whakaara ano o te taputapu:

wetemuna me te whakahua

Ko nga mahi e toe ana ka mahia i roto i te kopikopiko, tae atu ki te arawhiti i te hononga C2 (94.156.161.21:671), te tuku i te momo taputapu papa, te whiwhi i te whakahau whakahoki me te whakahaere i nga mahi o te waahanga. Na ka whakatauritea ki te waehere puna i tukuna e Gafgy, ko te whakatakotoranga me te tukatuka o te whakahau kaore i tino rerekee, a ko te whakatakotoranga o te whakahau kei te noho tonu "!*Whakahau [Tawhā]"

waehere mahi koropiko

I roto i te mahi processCmd, katoa o 14 ka whakautuhia nga whakahau, ka whakarewahia nga whakaeke DDOS e rite ana, tae atu ki: "HTTP", "Ko te toronga CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "KATOA", "CNC", "NIGGA"

Whakaahuamata whakahau - IoT haumarutanga

I roto ia ratou, Ko te CUDP, UDP, JSC, a ka taea e nga waahanga TCP te tuku aho ohorere ki te IP me te tauranga kua tohua, a ka taea te hanga ano i nga paakete TCP me te UDP ma nga pane IP i hangaia e koe hei huna i te wahitau IP puna.

hanganga karere

Ko te prefix C e kiia ana ko te whakapoto o te ritenga. Ko te tango i te CUDP me te UDP hei tauira, i roto i te putanga taketake o Gafgyt, kei roto i nga tawhā i roto i te whakahau tuku: ip, tauranga, wā, whakapoapoa, te rahi o te kete, pollinterval me etahi atu uara mara me nga paraka haki Mo te hanga i nga paatete UDP. I roto i tenei tauira, heoi ano, ko nga hua i kitea ko te tono o enei tawhā ki nga taumata here rereke, ka taea te whakarei ake i te ngawari o nga momo whakaeke DDOS motuhake.

Te whakataurite o te CUDP me te UDP

Ko nga mahi o etahi atu waahanga ko te taapiri i te maha o nga aho Kaiwhakamahi-Agent, ka whakamahia hei whakarewa i nga whakahau HTTP mo nga whakaeke CC:

whakaeke CC

Kei roto mo nga whakaeke ki nga kaiwhakarato Pūtake Engine a Valve: ("Pūtake Engine" Ko nga paatai he waahanga o nga korero o ia ra i waenga i nga kaihoko me tūmau kēmu te whakamahi i te kawa rorohiko Valve)

Nga whakaeke ki te umanga petipeti

Tae atu ki nga whakahau CNC ka taea te huri hononga IP:

whakawhiti hononga IP

Kei roto ko nga whakaeke SYN me ACK:

Ko nga whakaeke a SYN me ACK

Tae atu ki nga whakaeke waipuke UDP STD:

Ko te whakaeke STD

Tae atu ki te whakaeke XMAS: (ara, Te whakaeke rakau Kirihimete, ma te tautuhi i nga moka haki katoa o TCP ki 1, na reira ka pau ake nga rauemi tukatuka whakautu o te punaha whaainga)

Ko te whakaeke XMAS

Ko te kōwae NIGGA he rite ki te whakahau KILLATTK i te putanga taketake, e aukati ana i nga whakaeke a DoSS ma te patu i nga tukanga tamariki katoa engari ko te tikanga matua

kōwae NIGGA

Te tātari whakatairite
Ko te mahinga mahiCmd e pupuri ana i te arorau matua i roto i te waehere puna ko te PING, GETLOCALIP, KAUPAPA, EMAIL, JUNK, UDP, TCP, KAUPAPA, KILLATTK, me ngā kōwae LOLNOGTFO. Ko nga putanga ngawari noa o nga waahanga UDP me TCP e noho tahi ana i roto i te mahi rereke i hopukina i tenei wa. .

A i roto i te mahi o te whiwhi i te IP rohe, ka whiwhi te putanga taketake i te IP o te rohe na roto i te /proc/net/route ka whakahokia mai ma te waahanga GETLOCALIP. Ka kitea ano te mahi tiki i tenei momo rereke, engari karekau he kōwae GETLOCALIP, karekau he tohutoro e kitea ana.

Tikina IP rohe

He mea tika kia mohio kaore he putanga taketake o te waahanga SCANNER i whakamahia hei pupuhi i te SSH (tauranga 22) i roto i tenei momo tauira, a karekau he momo rerekee e whakauru ana i te maha "tono / taputapu" nga whakaraeraetanga ki te horapa ma te Utauta. Ka kitea ka wehewehea e te kaitukino te kōwae whakatōpū ki ngā kaupapa motuhake, a, i muri i to urunga angitu ki te kaihautu tukituki, ka tikina e ia te tauira korero mo te waahanga e whai ake nei ma te whakamahi i te shellcode, ara, te tauira tātari.

Whakahaerehia te tauira shellcode

Te tango i nga tauira i riro mai i te puna kotahi hei tauira, i murua e te kaitukino nga korero patuiro mo te nuinga o nga tauira, engari mo etahi, penei: x86.