Юмсын интернетийг зорьж байна, -ийн шинэ хувилбар "Гаффит" Троян гарч ирнэ

Юмсын интернетийг зорьж байна, -ийн шинэ хувилбар "Гаффит" Троян гарч ирнэ

Саяхан, Huorong Security Lab вирус нэвтэрсэн тохиолдлыг илрүүлсэн, Энэ нь Gafgyt Trojan вирусын шинэ хувилбар болох нь судалгаа, шинжилгээний үр дүнд батлагдсан.

Gafgyt бол IRC протокол дээр суурилсан IoT ботнет програм юм, Энэ нь голчлон Linux-д суурилсан халдварладаг IoT төхөөрөмжүүд Үйлчилгээг үгүйсгэх халдлагыг түгээх (DDoS). Энэ бол Мирай гэр бүлээс бусад хамгийн том идэвхтэй IoT ботнет гэр бүл юм.

Эх кодыг нь задалж, GitHub-д байршуулсны дараа 2015, янз бүрийн хувилбарууд, мөлжлөгүүд ар араасаа гарч ирэв, хэрэглэгчдийн аюулгүй байдалд илүү их аюул занал учруулж байна. Одоогоор, Huorong хамгаалалтын бүтээгдэхүүн нь дээр дурдсан вирусыг таслан зогсоож, устгаж чаддаг. Аж ахуйн нэгжийн хэрэглэгчид вирусын мэдээллийн санг хамгаалахын тулд цаг тухайд нь шинэчлэхийг хүсч байна.

1. Дээжийн шинжилгээ
Вирус эхлээд өөрийн үйл явцын нэрийг өөрчилдөг "/usr/sbin/dropbear" эсвэл "sshd" өөрийгөө нуух:

процессын нэрийг өөрчлөх

Тэдний дунд, шифрлэгдсэн мөр олдлоо, мөн шифрийг тайлах алгоритм нь 0xDEDEFFBA-ийн байт XOR юм. Хэрэглэсэн үед, зөвхөн ашигласан нь тус тусдаа шифрлэгддэг, гэхдээ зөвхөн 4 үнэндээ иш татдаг:

Шифрлэгдсэн мөр ба шифрийг тайлах алгоритм

Эхний лавлагаа нь зөвхөн харгалзах мөрийг дэлгэц рүү гаргах явдал юм, болон дундах хоёр лавлагаа нь төхөөрөмжийг дахин ачаалсны улмаас хяналтаа алдахаас сэргийлэхийн тулд харуулын процесст хийх үйлдлүүд юм:

кодыг тайлж, иш татах

Үлдсэн үйлдлүүд нь гогцоонд хийгддэг, C2 холболтыг эхлүүлэх зэрэг орно (94.156.161.21:671), платформын төхөөрөмжийн төрлийг илгээж байна, буцах командыг хүлээн авч, тохирох модулийн үйлдлийг гүйцэтгэх. Гафгигийн задруулсан эх кодтой харьцуулахад, командын формат, боловсруулалт төдийлөн өөрчлөгдөөгүй, тушаалын хэлбэр хэвээр байна "!*Тушаал [Параметр]"

давталтын үйлдлийн код

processCmd функцэд, нийт 14 тушаалуудад хариу өгч, холбогдох DDOS халдлагуудыг эхлүүлнэ, орно: "HTTP", "CUDP өргөтгөл", "UDP", "БЗДХ", "ХК", "TCP", "SYN" , "ACK", "CXMAS", "Зул сарын баяр", "CVSE", "БҮХ ЗҮЙЛ", "CNC", "НИГГА"

тушаалын дэлгэцийн агшин - IoT аюулгүй байдал

Тэдний дунд, CUDP, UDP, ХК, болон TCP модулиуд бүгд санамсаргүй мөрүүдийг заасан IP болон порт руу илгээх боломжтой, мөн эх IP хаягийг нуухын тулд өөрөө бүтээсэн IP толгойгоор TCP болон UDP пакетуудыг дахин бүтээж болно..

мессежийн бүтэц

С угтвар нь заншил гэсэн үгийн товчлол гэж таамаглаж байна. CUDP болон UDP-ийг жишээ болгон авч үзье, Гафгытын анхны хувилбарт, гаргасан командын параметрүүд орно: ip, порт, цаг, хуурсан, багцын хэмжээ, pollinterval болон бусад талбарын утгууд болон флаг битүүд UDP пакетуудыг бүтээхэд зориулагдсан. Энэ жишээнд, Гэсэн хэдий ч, Ажиглагдсан үр дүн нь эдгээр параметрүүдийг хязгаарлалтын янз бүрийн түвшинд хэрэглэх явдал гэдгийг харуулж байна, Энэ нь тодорхой төрлийн DDOS халдлагын уян хатан байдлыг сайжруулж чадна.

CUDP болон UDP-ийн харьцуулалт

Бусад модулиудын функцууд нь олон тооны Хэрэглэгч-Агент мөрүүдийг нэмэх явдал юм, Эдгээр нь CC халдлагын HTTP командуудыг ажиллуулахад ашиглагддаг:

CC халдлага

Valve-ийн Source Engine серверүүдийн эсрэг халдлагад зориулагдсан: ("Эх сурвалж хөдөлгүүр" асуулга нь үйлчлүүлэгч болон хоорондын өдөр тутмын харилцааны нэг хэсэг юм тоглоомын серверүүд Valve програм хангамжийн протоколыг ашиглан)

Тоглоомын салбарын эсрэг дайралт

Холболтын IP-г солих боломжтой CNC командууд орно:

холболтын IP солих

SYN болон ACK халдлагууд багтана:

SYN болон ACK халдлага

Үүнд UDP STD үерийн халдлага:

БЗДХ-ын халдлага

XMAS халдлагыг оруулаад: (тэр бол, Зул сарын гацуур модны дайралт, TCP-ийн бүх туг битүүдийг тохируулснаар 1, Ингэснээр зорилтот системийн хариу боловсруулах илүү их нөөцийг зарцуулдаг)

XMAS халдлага

NIGGA модуль нь анхны хувилбарт байгаа KILLATTK командтай тэнцэнэ, Энэ нь үндсэн процессоос бусад бүх хүүхдийн процессыг устгаснаар DoSS халдлагыг зогсоодог

NIGGA модуль

Харьцуулсан шинжилгээ
Эх кодын үндсэн логикийг хадгалдаг processCmd функц нь PING-г агуулдаг, ГЕТЛОКАЛИП, Сканнер, EMAIL, ХОГ, UDP, TCP, БАРЬ, KILLATTK, болон LOLNOGTFO модулиуд. Зөвхөн UDP болон TCP модулиудын хялбаршуулсан хувилбарууд энэ удаад баригдсан хувилбарын ашиглалтад зэрэгцэн оршиж байна.. .

Мөн орон нутгийн IP олж авах үйл ажиллагаанд, анхны хувилбар нь /proc/net/route-ээр дамжуулан локал IP-г авч, GETLOCALIP модулиар дамжуулан буцаана.. Энэ хувилбарт ижил авах ажиллагаа ажиглагдаж байна, гэхдээ GETLOCALIP модуль байхгүй бөгөөд лавлагаа ажиглагдаагүй.

Орон нутгийн IP авах

SSH-г тэслэхэд ашигладаг SCANNER модулийн анхны хувилбар байхгүй гэдгийг тэмдэглэх нь зүйтэй (порт 22) энэ төрлийн дээж дээр, мөн олон оруулдаг өөр хувилбар байхгүй "програмууд/төхөөрөмж" Payload-аар дамжих эмзэг байдал. Халдагчид түгээлтийн модулийг бие даасан программ болгон хувааж байгааг харж болно, мөн хохирогчийн хост руу амжилттай нэвтэрсний дараа, тэрээр бүрхүүлийн кодыг ажиллуулснаар дараагийн шатанд харилцааны дээжийг татаж авах болно, тэр бол, шинжилгээний дээж.

Бүрхүүлийн кодын жишээг ажиллуул

Нэг эх сурвалжаас авсан дээжийг жишээ болгон авах, халдагч ихэнх дээжийн дибаг хийх мэдээллийг устгасан, цөөхөн хэдээс бусад нь, гэх мэт: x86.