Цели кон Интернет на нештата, нова варијанта на „Гафгит" Се појавува тројанецот

Цели кон Интернет на нештата, нова варијанта на "Гафит" Се појавува тројанецот

Цели кон Интернет на нештата, нова варијанта на "Гафит" Се појавува тројанецот. Неодамна, Huorong Security Lab откри инцидент со навлегување на вирус, за кој по истрага и анализа беше потврдено дека е нова варијанта на вирусот Gafgyt Trojan.

Цели кон Интернет на нештата, нова варијанта на "Гафит" Се појавува тројанецот

Неодамна, Huorong Security Lab откри инцидент со навлегување на вирус, за кој по истрага и анализа беше потврдено дека е нова варијанта на вирусот Gafgyt Trojan.

Gafgyt е програма за IoT ботнет базирана на протоколот IRC, кои главно ги инфицираат базираните на Linux IoT уреди да започне дистрибуирани напади за одбивање на услугата (DDoS). Тоа е најголемото активно семејство на IoT ботнет, освен семејството Mirai.

Откако неговиот изворен код беше протечен и поставен на GitHub во 2015, различни варијанти и подвизи се појавуваа еден по друг, претставувајќи поголема безбедносна закана за корисниците. Во моментов, Безбедносните производи Huorong можат да ги пресретнат и убијат горенаведените вируси. Од корисниците на претпријатијата се бара навреме да ја ажурираат базата на податоци за вируси за одбрана.

1. Анализа на примерок
Вирусот прво го преименува својот процес во "/usr/sbin/dropbear" или "sshd" да се скрие:

преименување на процесот

Меѓу нив, се наоѓа шифрираната низа, а алгоритмот за дешифрирање е бајтот XOR од 0xDEDEFFBA. Кога се користи, само употребените се дешифрираат поединечно, но само 4 всушност се референцирани:

Шифрирана низа и алгоритам за дешифрирање

Првата референца е само за излез на соодветната низа на екранот, а средните две референци се операции на процесот на чувар за да се избегне губење на контролата поради рестартирање на уредот:

дешифрира и цитира

Останатите операции се вршат во јамка, вклучувајќи иницијализирање на врската C2 (94.156.161.21:671), испраќање на типот на уредот на платформата, примање на командата за враќање и извршување на соодветната операција на модулот. И во споредба со изворниот код што го објави Гафги, форматот и обработката на командата не се многу променети, а форматот на командата е сè уште "!*Команда [Параметар]"

оперативен код за јамка

Во функцијата processCmd, вкупно 14 се одговара на командите и се лансираат соодветните DDOS напади, вклучувајќи: "HTTP", "Продолжување на CUDP", "UDP", "СПБ", "АД", "TCP", "SYN" , "ACK", "Божиќ", "Божиќ", "CVSE", "СЕ", "ЦПУ", "NIGGA"

наредба од екранот - IoT безбедност

Меѓу нив, CUDP, UDP, АД, и TCP модулите можат сите да испраќаат случајни низи до одредената IP и порта, и може да ги реконструира TCP и UDP пакетите со само-изградени IP заглавија за да ја скрие изворната IP адреса.

структура на пораки

Се претпоставува дека префиксот C е кратенката на обичај. Земајќи ги CUDP и UDP како примери, во оригиналната верзија на Гафгит, параметрите во издадената команда вклучуваат: ip, пристаниште, време, измислен, големина на пакети, pollinterval и други вредности на полиња и битови за знаме За конструкција на UDP пакети. Во овој примерок, сепак, набљудуваните резултати покажуваат дека тоа е примената на овие параметри на различни степени на ограничување, што може да ја подобри флексибилноста на специфичните типови на DDOS напади.

Споредба на CUDP и UDP

Функциите на другите модули вклучуваат додавање на голем број низи од кориснички агент, кои се користат за лансирање на HTTP команди за CC напади:

CC напад

Вклучено за напади против серверите на изворниот мотор на Valve: ("Изворниот мотор" прашањата се дел од секојдневната комуникација помеѓу клиентите и сервери за игри користејќи го софтверскиот протокол Valve)

Напади против индустријата за игри

Вклучувајќи ги и CNC командите што можат да ја префрлат ИП на конекцијата:

IP конекција на прекинувачот

Вклучува напади SYN и ACK:

Напади SYN и ACK

Вклучувајќи UDP СПБ напади од поплави:

СПБ напад

Вклучувајќи го и Божиќниот напад: (тоа е, Напад на новогодишна елка, со поставување на сите битови за знаменце на TCP на 1, со што се трошат повеќе ресурси за обработка на одговор на целниот систем)

Божиќен напад

Модулот NIGGA е еквивалентен на командата KILLATTK во оригиналната верзија, што ги запира DoSS нападите со убивање на сите детски процеси освен главниот процес

NIGGA модул

Компаративна анализа
Функцијата processCmd која ја зачувува главната логика во изворниот код вклучува PING, ГЕТЛОКАЛИП, СКЕНЕР, EMAIL, ЃУБРО, UDP, TCP, ДРЖИ, КИЛАТК, и LOLNOGTFO модули. Само поедноставените верзии на UDP и TCP модулите коегзистираат во експлоатот на варијантата што е снимен овој пат. .

И во операцијата за добивање на локалната IP, оригиналната верзија ја добива локалната IP адреса преку /proc/net/route и ја враќа преку GETLOCALIP модулот. Истата операција за добивање е забележана и во оваа варијанта, но нема GETLOCALIP модул и не се набљудуваат референци.

Добијте локална IP адреса

Вреди да се напомене дека не постои оригинална верзија на модулот SCANNER што се користи за експлозија на SSH (пристаниште 22) во овој тип на примерок, и нема други варијанти кои вградуваат повеќекратни "апликации/уред" ранливости да се шират преку Payload. Може да се види дека напаѓачот го дели модулот за ширење на независни програми, и по успешното најавување на домаќинот жртва, тој ќе го преземе примерокот за комуникација за следната фаза со извршување на shellcode, тоа е, примерокот за анализа.

Извршете пример за школка

Земајќи ги примероците добиени од истиот извор како пример, напаѓачот ги одзеде информациите за дебагирање за повеќето примероци, освен неколку, како: x86.