E-mel: anwenqq2690502116@gmail.com

Pengesanan dan pembunuhan Tinder

Menyasarkan kepada Internet Perkara, varian baharu "Gaffyt" Trojan muncul

Menyasarkan kepada Internet Perkara, varian baharu "Gaffyt" Trojan muncul. Baru-baru ini, Makmal Keselamatan Huorong menemui insiden pencerobohan virus, yang telah disahkan sebagai varian baharu virus Gafgyt Trojan selepas penyiasatan dan analisis.

Menyasarkan kepada Internet Perkara, varian baharu "Gaffyt" Trojan muncul

Baru-baru ini, Makmal Keselamatan Huorong menemui insiden pencerobohan virus, yang telah disahkan sebagai varian baharu virus Gafgyt Trojan selepas penyiasatan dan analisis.

Gafgyt ialah program botnet IoT berdasarkan protokol IRC, yang terutamanya menjangkiti berasaskan Linux peranti IoT untuk melancarkan serangan penafian perkhidmatan yang diedarkan (DDoS). Ia adalah keluarga botnet IoT aktif terbesar selain keluarga Mirai.

Selepas kod sumbernya dibocorkan dan dimuat naik ke GitHub dalam 2015, pelbagai varian dan eksploitasi muncul satu demi satu, menimbulkan ancaman keselamatan yang lebih besar kepada pengguna. Pada masa ini, Produk keselamatan Huorong boleh memintas dan membunuh virus yang disebutkan di atas. Pengguna perusahaan diminta untuk mengemas kini pangkalan data virus tepat pada masanya untuk pertahanan.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. Analisis sampel
Virus ini mula-mula menamakan semula prosesnya kepada "/usr/sbin/dropbear" atau "sshd" untuk menyembunyikan dirinya:

process rename
proses menamakan semula

Antaranya, rentetan yang disulitkan ditemui, dan algoritma penyahsulitan ialah bait XOR bagi 0xDEDEFFBA. Apabila digunakan, hanya yang terpakai didekripsi secara individu, tetapi hanya 4 sebenarnya dirujuk:

Encrypted string and decryption algorithm
Algoritma rentetan dan penyahsulitan yang disulitkan

 

Rujukan pertama hanya untuk mengeluarkan rentetan yang sepadan ke skrin, dan dua rujukan tengah ialah operasi pada proses pengawas untuk mengelakkan kehilangan kawalan akibat peranti dimulakan semula:

decrypt and quote

menyahsulit dan sebut harga

 

Operasi selebihnya dijalankan dalam gelung, termasuk memulakan sambungan C2 (94.156.161.21:671), menghantar jenis peranti platform, menerima arahan pulangan dan melaksanakan operasi modul yang sepadan. Dan dibandingkan dengan kod sumber yang dibocorkan oleh Gafgy, format dan pemprosesan arahan tidak banyak berubah, dan format arahan masih "!*Perintah [Parameter]"

loop operation code

kod operasi gelung

 

Dalam fungsi processCmd, sejumlah 14 arahan dibalas dan serangan DDOS yang sepadan dilancarkan, termasuk: "HTTP", "Sambungan CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "SEMUANYA", "CNC", "NIGGA"

command screenshot - IoT security
tangkapan skrin arahan - keselamatan IoT

 

Antaranya, CUDP, UDP, JSC, dan modul TCP semuanya boleh menghantar rentetan rawak ke IP dan port yang ditentukan, dan boleh membina semula paket TCP dan UDP dengan pengepala IP bina sendiri untuk menyembunyikan alamat IP sumber.

 

message structure
struktur mesej

 

Awalan C diduga sebagai singkatan adat. Mengambil CUDP dan UDP sebagai contoh, dalam versi asal Gafgyt, parameter dalam arahan yang dikeluarkan termasuk: ip, pelabuhan, masa, ditipu, saiz paket, pollinterval dan nilai medan lain dan bit bendera Untuk pembinaan paket UDP. Dalam sampel ini, walau bagaimanapun, keputusan yang diperhatikan menunjukkan bahawa ia adalah penggunaan parameter ini kepada darjah sekatan yang berbeza, yang boleh meningkatkan fleksibiliti jenis serangan DDOS tertentu.

Perbandingan CUDP dan UDP

Fungsi modul lain termasuk menambah sejumlah besar rentetan Agen-Pengguna, yang digunakan untuk melancarkan arahan HTTP untuk serangan CC:

Serangan CC

Termasuk untuk serangan terhadap pelayan Enjin Sumber Valve: ("Enjin Sumber" pertanyaan adalah sebahagian daripada komunikasi harian antara pelanggan dan pelayan permainan menggunakan protokol perisian Valve)

Serangan terhadap industri permainan

Termasuk arahan CNC yang boleh menukar IP sambungan:

suis IP sambungan

Termasuk serangan SYN dan ACK:

Serangan SYN dan ACK

Termasuk serangan banjir UDP STD:

Serangan STD

Termasuk serangan XMAS: (itu dia, Serangan pokok Krismas, dengan menetapkan semua bit bendera TCP kepada 1, dengan itu memakan lebih banyak sumber pemprosesan tindak balas sistem sasaran)

Serangan XMAS

Modul NIGGA adalah bersamaan dengan arahan KILLATTK dalam versi asal, yang menghentikan serangan DoSS dengan membunuh semua proses kanak-kanak kecuali proses utama

modul NIGGA

Analisis perbandingan
Fungsi processCmd yang menyimpan logik utama dalam kod sumber termasuk PING, GETLOCALIP, PENGImbas, EMAIL, SAMPAH, UDP, TCP, TAHAN, KILLATTK, dan modul LOLNOGTFO. Hanya versi ringkas modul UDP dan TCP wujud bersama dalam eksploitasi varian yang ditangkap kali ini. .

Dan dalam operasi mendapatkan IP tempatan, versi asal memperoleh IP tempatan melalui /proc/net/route dan mengembalikannya melalui modul GETLOCALIP. Operasi dapatkan yang sama diperhatikan dalam varian ini, tetapi tiada modul GETLOCALIP dan tiada rujukan diperhatikan.

Dapatkan IP tempatan

Perlu diingat bahawa tiada versi asal modul SCANNER yang digunakan untuk meledakkan SSH (pelabuhan 22) dalam sampel jenis ini, dan tiada varian lain yang membenamkan berbilang "aplikasi/peranti" kelemahan untuk merebak melalui Payload. Ia boleh dilihat bahawa penyerang membahagikan modul penyebaran kepada program bebas, dan selepas berjaya log masuk ke hos mangsa, dia akan memuat turun sampel komunikasi untuk peringkat seterusnya dengan melaksanakan shellcode, itu dia, sampel analisis.

Jalankan contoh shellcode

Mengambil sampel yang diperolehi daripada sumber yang sama sebagai contoh, penyerang melucutkan maklumat penyahpepijatan untuk kebanyakan sampel, kecuali beberapa orang, seperti: x86.

Kongsi cinta anda

Catatan Berkaitan

Tinggalkan pesanan

Alamat e-mel anda tidak akan diterbitkan. Medan yang diperlukan ditanda *