ഇമെയിൽ: anwenqq2690502116@gmail.com
ഇന്റർനെറ്റ് ഓഫ് തിംഗ്സ് ലക്ഷ്യമിടുന്നു, യുടെ ഒരു പുതിയ വകഭേദം "ഗാഫിറ്റ്" ട്രോജൻ പ്രത്യക്ഷപ്പെടുന്നു
അടുത്തിടെ, ഹുറോംഗ് സെക്യൂരിറ്റി ലാബ് ഒരു വൈറസ് നുഴഞ്ഞുകയറ്റ സംഭവം കണ്ടെത്തി, അന്വേഷണത്തിനും വിശകലനത്തിനും ശേഷം ഗാഫ്ജിറ്റ് ട്രോജൻ വൈറസിന്റെ പുതിയ വകഭേദമാണെന്ന് സ്ഥിരീകരിച്ചു.
IRC പ്രോട്ടോക്കോൾ അടിസ്ഥാനമാക്കിയുള്ള ഒരു IoT ബോട്ട്നെറ്റ് പ്രോഗ്രാമാണ് Gafgyt, ഇത് പ്രധാനമായും ലിനക്സിനെ അടിസ്ഥാനമാക്കിയുള്ളതാണ് IoT ഉപകരണങ്ങൾ വിതരണം ചെയ്ത സേവന നിഷേധ ആക്രമണങ്ങൾ ആരംഭിക്കാൻ (DDoS). മിറായി കുടുംബം ഒഴികെയുള്ള ഏറ്റവും വലിയ സജീവമായ IoT ബോട്ട്നെറ്റ് കുടുംബമാണിത്.
അതിന്റെ സോഴ്സ് കോഡ് ചോർന്നതിന് ശേഷം GitHub-ലേക്ക് അപ്ലോഡ് ചെയ്തു 2015, വിവിധ വകഭേദങ്ങളും ചൂഷണങ്ങളും ഒന്നിനുപുറകെ ഒന്നായി ഉയർന്നുവന്നു, ഉപയോക്താക്കൾക്ക് കൂടുതൽ സുരക്ഷാ ഭീഷണി ഉയർത്തുന്നു. നിലവിൽ, Huorong സുരക്ഷാ ഉൽപ്പന്നങ്ങൾക്ക് മുകളിൽ പറഞ്ഞ വൈറസുകളെ തടയാനും നശിപ്പിക്കാനും കഴിയും. പ്രതിരോധത്തിനായി യഥാസമയം വൈറസ് ഡാറ്റാബേസ് അപ്ഡേറ്റ് ചെയ്യാൻ എന്റർപ്രൈസ് ഉപയോക്താക്കളോട് അഭ്യർത്ഥിക്കുന്നു.
1. സാമ്പിൾ വിശകലനം
വൈറസ് ആദ്യം സ്വന്തം പ്രക്രിയയെ പുനർനാമകരണം ചെയ്യുന്നു "/usr/sbin/dropbear" അഥവാ "sshd" സ്വയം മറയ്ക്കാൻ:
പ്രക്രിയ പുനർനാമകരണം
അവർക്കിടയിൽ, എൻക്രിപ്റ്റ് ചെയ്ത സ്ട്രിംഗ് കണ്ടെത്തി, കൂടാതെ ഡീക്രിപ്ഷൻ അൽഗോരിതം 0xDEDEFFBA യുടെ XOR എന്ന ബൈറ്റ് ആണ്. ഉപയോഗിക്കുമ്പോൾ, ഉപയോഗിച്ചവ മാത്രം വ്യക്തിഗതമായി ഡീക്രിപ്റ്റ് ചെയ്യപ്പെടുന്നു, എന്നാൽ മാത്രം 4 യഥാർത്ഥത്തിൽ പരാമർശിക്കപ്പെടുന്നു:
എൻക്രിപ്റ്റ് ചെയ്ത സ്ട്രിംഗും ഡീക്രിപ്ഷൻ അൽഗോരിതവും
സ്ക്രീനിലേക്ക് അനുബന്ധ സ്ട്രിംഗ് ഔട്ട്പുട്ട് ചെയ്യാൻ മാത്രമാണ് ആദ്യ റഫറൻസ്, ഉപകരണം പുനരാരംഭിക്കുന്നതുമൂലം നിയന്ത്രണം നഷ്ടപ്പെടാതിരിക്കാനുള്ള വാച്ച്ഡോഗ് പ്രക്രിയയിലെ പ്രവർത്തനങ്ങളാണ് മധ്യത്തിലെ രണ്ട് റഫറൻസുകൾ:
ഡീക്രിപ്റ്റ് ചെയ്ത് ഉദ്ധരിക്കുക
ശേഷിക്കുന്ന പ്രവർത്തനങ്ങൾ ഒരു ലൂപ്പിലാണ് നടത്തുന്നത്, C2 കണക്ഷൻ ആരംഭിക്കുന്നത് ഉൾപ്പെടെ (94.156.161.21:671), പ്ലാറ്റ്ഫോം ഉപകരണ തരം അയയ്ക്കുന്നു, റിട്ടേൺ കമാൻഡ് സ്വീകരിക്കുകയും അനുബന്ധ മൊഡ്യൂൾ പ്രവർത്തനം നടപ്പിലാക്കുകയും ചെയ്യുന്നു. ഗാഫ്ജി ചോർത്തിയ സോഴ്സ് കോഡുമായി താരതമ്യപ്പെടുത്തുമ്പോൾ, കമാൻഡിന്റെ ഫോർമാറ്റിലും പ്രോസസ്സിംഗിലും കാര്യമായ മാറ്റമൊന്നും വരുത്തിയിട്ടില്ല, കമാൻഡിന്റെ ഫോർമാറ്റ് നിശ്ചലമാണ് "!*കമാൻഡ് [പരാമീറ്റർ]"
ലൂപ്പ് ഓപ്പറേഷൻ കോഡ്
processCmd ഫംഗ്ഷനിൽ, മൊത്തം 14 കമാൻഡുകൾ പ്രതികരിക്കുകയും അനുബന്ധ DDOS ആക്രമണങ്ങൾ ആരംഭിക്കുകയും ചെയ്യുന്നു, ഉൾപ്പെടെ: "HTTP", "CUDP വിപുലീകരണം", "യു.ഡി.പി", "എസ്.ടി.ഡി", "JSC", "ടിസിപി", "SYN" , "എ.സി.കെ", "CXMAS", "ക്രിസ്മസ്", "സി.വി.എസ്.ഇ", "എല്ലാം", "CNC", "NIGGA"
കമാൻഡ് സ്ക്രീൻഷോട്ട് - IoT സുരക്ഷ
അവർക്കിടയിൽ, CUDP, യു.ഡി.പി, JSC, കൂടാതെ TCP മൊഡ്യൂളുകൾക്കെല്ലാം ക്രമരഹിതമായ സ്ട്രിംഗുകൾ നിർദ്ദിഷ്ട ഐപിയിലേക്കും പോർട്ടിലേക്കും അയയ്ക്കാൻ കഴിയും, കൂടാതെ ഉറവിട ഐപി വിലാസം മറയ്ക്കുന്നതിന് സ്വയം നിർമ്മിച്ച ഐപി തലക്കെട്ടുകൾ ഉപയോഗിച്ച് ടിസിപി, യുഡിപി പാക്കറ്റുകൾ പുനർനിർമ്മിക്കാൻ കഴിയും.
സന്ദേശ ഘടന
C എന്ന പ്രിഫിക്സ് കസ്റ്റം എന്നതിന്റെ ചുരുക്കമാണെന്ന് ഊഹിക്കപ്പെടുന്നു. CUDP, UDP എന്നിവ ഉദാഹരണങ്ങളായി എടുക്കുക, ഗാഫ്ഗിറ്റിന്റെ യഥാർത്ഥ പതിപ്പിൽ, നൽകിയ കമാൻഡിലെ പാരാമീറ്ററുകൾ ഉൾപ്പെടുന്നു: ip, തുറമുഖം, സമയം, കബളിപ്പിച്ചു, പാക്കറ്റുകളാക്കുക, UDP പാക്കറ്റുകളുടെ നിർമ്മാണത്തിനായി പോളിന്റർവെലും മറ്റ് ഫീൽഡ് മൂല്യങ്ങളും ഫ്ലാഗ് ബിറ്റുകളും. ഈ സാമ്പിളിൽ, എങ്കിലും, നിരീക്ഷിച്ച ഫലങ്ങൾ കാണിക്കുന്നത് ഈ പാരാമീറ്ററുകൾ വ്യത്യസ്ത അളവിലുള്ള നിയന്ത്രണങ്ങളിലേക്കുള്ള പ്രയോഗമാണ്, നിർദ്ദിഷ്ട തരത്തിലുള്ള DDOS ആക്രമണങ്ങളുടെ വഴക്കം വർദ്ധിപ്പിക്കാൻ കഴിയും.
CUDP, UDP എന്നിവയുടെ താരതമ്യം
മറ്റ് മൊഡ്യൂളുകളുടെ പ്രവർത്തനങ്ങളിൽ ധാരാളം ഉപയോക്തൃ-ഏജന്റ് സ്ട്രിംഗുകൾ ചേർക്കുന്നത് ഉൾപ്പെടുന്നു, CC ആക്രമണങ്ങൾക്കായി HTTP കമാൻഡുകൾ സമാരംഭിക്കാൻ ഉപയോഗിക്കുന്നവ:
സിസി ആക്രമണം
വാൽവിന്റെ സോഴ്സ് എഞ്ചിൻ സെർവറുകൾക്കെതിരായ ആക്രമണങ്ങൾക്കായി ഉൾപ്പെടുത്തിയിട്ടുണ്ട്: ("ഉറവിട എഞ്ചിൻ" ക്ലയന്റുകൾ തമ്മിലുള്ള ദൈനംദിന ആശയവിനിമയത്തിന്റെ ഭാഗമാണ് അന്വേഷണങ്ങൾ ഗെയിം സെർവറുകൾ വാൽവ് സോഫ്റ്റ്വെയർ പ്രോട്ടോക്കോൾ ഉപയോഗിക്കുന്നു)
ഗെയിമിംഗ് വ്യവസായത്തിനെതിരായ ആക്രമണങ്ങൾ
കണക്ഷൻ ഐപി മാറാൻ കഴിയുന്ന CNC കമാൻഡുകൾ ഉൾപ്പെടെ:
സ്വിച്ച് കണക്ഷൻ IP
SYN, ACK ആക്രമണങ്ങൾ ഉൾപ്പെടുന്നു:
SYN, ACK ആക്രമണങ്ങൾ
UDP STD വെള്ളപ്പൊക്ക ആക്രമണങ്ങൾ ഉൾപ്പെടെ:
എസ്ടിഡി ആക്രമണം
XMAS ആക്രമണം ഉൾപ്പെടെ: (അതാണ്, ക്രിസ്മസ് ട്രീ ആക്രമണം, ടിസിപിയുടെ എല്ലാ ഫ്ലാഗ് ബിറ്റുകളും സജ്ജീകരിക്കുന്നതിലൂടെ 1, അങ്ങനെ ടാർഗെറ്റ് സിസ്റ്റത്തിന്റെ കൂടുതൽ പ്രതികരണ പ്രോസസ്സിംഗ് ഉറവിടങ്ങൾ ഉപയോഗിക്കുന്നു)
XMAS ആക്രമണം
NIGGA മൊഡ്യൂൾ യഥാർത്ഥ പതിപ്പിലെ KILLATTK കമാൻഡിന് തുല്യമാണ്, പ്രധാന പ്രക്രിയ ഒഴികെയുള്ള എല്ലാ ചൈൽഡ് പ്രോസസുകളെയും കൊല്ലുന്നതിലൂടെ DoSS ആക്രമണങ്ങളെ ഇത് നിർത്തുന്നു
NIGGA മൊഡ്യൂൾ
താരതമ്യ വിശകലനം
സോഴ്സ് കോഡിലെ പ്രധാന ലോജിക് സംഭരിക്കുന്ന ഫംഗ്ഷൻ processCmd-ൽ PING ഉൾപ്പെടുന്നു, GETLOCALIP, സ്കാനർ, ഇമെയിൽ, ജങ്ക്, യു.ഡി.പി, ടിസിപി, പിടിക്കുക, കില്ലാട്ട്ക്, കൂടാതെ LOLNOGTFO മൊഡ്യൂളുകളും. ഇത്തവണ ക്യാപ്ചർ ചെയ്ത വേരിയന്റ് എക്സ്പ്ലോയിറ്റിൽ UDP, TCP മൊഡ്യൂളുകളുടെ ലളിതമായ പതിപ്പുകൾ മാത്രമേ നിലനിൽക്കുന്നുള്ളൂ. .
കൂടാതെ പ്രാദേശിക ഐപി നേടുന്നതിനുള്ള പ്രവർത്തനത്തിലും, യഥാർത്ഥ പതിപ്പ് /proc/net/route വഴി പ്രാദേശിക ഐപി നേടുകയും അത് GETLOCALIP മൊഡ്യൂളിലൂടെ തിരികെ നൽകുകയും ചെയ്യുന്നു. അതേ ഗെറ്റ് ഓപ്പറേഷൻ ഈ വേരിയന്റിലും നിരീക്ഷിക്കപ്പെടുന്നു, എന്നാൽ GETLOCALIP മൊഡ്യൂൾ ഇല്ല, അവലംബങ്ങളൊന്നും നിരീക്ഷിക്കപ്പെടുന്നില്ല.
പ്രാദേശിക ഐപി നേടുക
SSH പൊട്ടിത്തെറിക്കാൻ ഉപയോഗിക്കുന്ന SCANNER മൊഡ്യൂളിന്റെ യഥാർത്ഥ പതിപ്പ് ഇല്ല എന്നത് ശ്രദ്ധിക്കേണ്ടതാണ് (തുറമുഖം 22) ഈ തരത്തിലുള്ള സാമ്പിളിൽ, കൂടാതെ ഒന്നിലധികം ഉൾച്ചേർത്ത മറ്റ് വേരിയന്റുകളൊന്നുമില്ല "ആപ്ലിക്കേഷനുകൾ/ഉപകരണം" പേലോഡ് വഴി വ്യാപിക്കുന്ന കേടുപാടുകൾ. ആക്രമണകാരി പ്രൊപ്പഗേഷൻ മൊഡ്യൂളിനെ സ്വതന്ത്ര പ്രോഗ്രാമുകളായി വിഭജിക്കുന്നതായി കാണാം, ഇരയുടെ ഹോസ്റ്റിലേക്ക് വിജയകരമായി ലോഗിൻ ചെയ്തതിന് ശേഷം, ഷെൽകോഡ് എക്സിക്യൂട്ട് ചെയ്തുകൊണ്ട് അടുത്ത ഘട്ടത്തിലേക്കുള്ള ആശയവിനിമയ സാമ്പിൾ അവൻ ഡൗൺലോഡ് ചെയ്യും, അതാണ്, വിശകലന സാമ്പിൾ.
ഷെൽകോഡ് ഉദാഹരണം നടപ്പിലാക്കുക
അതേ ഉറവിടത്തിൽ നിന്ന് ലഭിച്ച സാമ്പിളുകൾ ഉദാഹരണമായി എടുക്കുക, ആക്രമണകാരി മിക്ക സാമ്പിളുകളുടെയും ഡീബഗ്ഗിംഗ് വിവരങ്ങൾ നീക്കം ചെയ്തു, കുറച്ച് ഒഴികെ, അതുപോലെ: x86.