E-mel: anwenqq2690502116@gmail.com
Menyasarkan kepada Internet Perkara, varian baharu "Gaffyt" Trojan muncul
Baru-baru ini, Makmal Keselamatan Huorong menemui insiden pencerobohan virus, yang telah disahkan sebagai varian baharu virus Gafgyt Trojan selepas penyiasatan dan analisis.
Gafgyt ialah program botnet IoT berdasarkan protokol IRC, yang terutamanya menjangkiti berasaskan Linux peranti IoT untuk melancarkan serangan penafian perkhidmatan yang diedarkan (DDoS). Ia adalah keluarga botnet IoT aktif terbesar selain keluarga Mirai.
Selepas kod sumbernya dibocorkan dan dimuat naik ke GitHub dalam 2015, pelbagai varian dan eksploitasi muncul satu demi satu, menimbulkan ancaman keselamatan yang lebih besar kepada pengguna. Pada masa ini, Produk keselamatan Huorong boleh memintas dan membunuh virus yang disebutkan di atas. Pengguna perusahaan diminta untuk mengemas kini pangkalan data virus tepat pada masanya untuk pertahanan.
1. Analisis sampel
Virus ini mula-mula menamakan semula prosesnya kepada "/usr/sbin/dropbear" atau "sshd" untuk menyembunyikan dirinya:
proses menamakan semula
Antaranya, rentetan yang disulitkan ditemui, dan algoritma penyahsulitan ialah bait XOR bagi 0xDEDEFFBA. Apabila digunakan, hanya yang terpakai didekripsi secara individu, tetapi hanya 4 sebenarnya dirujuk:
Algoritma rentetan dan penyahsulitan yang disulitkan
Rujukan pertama hanya untuk mengeluarkan rentetan yang sepadan ke skrin, dan dua rujukan tengah ialah operasi pada proses pengawas untuk mengelakkan kehilangan kawalan akibat peranti dimulakan semula:
menyahsulit dan sebut harga
Operasi selebihnya dijalankan dalam gelung, termasuk memulakan sambungan C2 (94.156.161.21:671), menghantar jenis peranti platform, menerima arahan pulangan dan melaksanakan operasi modul yang sepadan. Dan dibandingkan dengan kod sumber yang dibocorkan oleh Gafgy, format dan pemprosesan arahan tidak banyak berubah, dan format arahan masih "!*Perintah [Parameter]"
kod operasi gelung
Dalam fungsi processCmd, sejumlah 14 arahan dibalas dan serangan DDOS yang sepadan dilancarkan, termasuk: "HTTP", "Sambungan CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "SEMUANYA", "CNC", "NIGGA"
tangkapan skrin arahan - keselamatan IoT
Antaranya, CUDP, UDP, JSC, dan modul TCP semuanya boleh menghantar rentetan rawak ke IP dan port yang ditentukan, dan boleh membina semula paket TCP dan UDP dengan pengepala IP bina sendiri untuk menyembunyikan alamat IP sumber.
struktur mesej
Awalan C diduga sebagai singkatan adat. Mengambil CUDP dan UDP sebagai contoh, dalam versi asal Gafgyt, parameter dalam arahan yang dikeluarkan termasuk: ip, pelabuhan, masa, ditipu, saiz paket, pollinterval dan nilai medan lain dan bit bendera Untuk pembinaan paket UDP. Dalam sampel ini, walau bagaimanapun, keputusan yang diperhatikan menunjukkan bahawa ia adalah penggunaan parameter ini kepada darjah sekatan yang berbeza, yang boleh meningkatkan fleksibiliti jenis serangan DDOS tertentu.
Perbandingan CUDP dan UDP
Fungsi modul lain termasuk menambah sejumlah besar rentetan Agen-Pengguna, yang digunakan untuk melancarkan arahan HTTP untuk serangan CC:
Serangan CC
Termasuk untuk serangan terhadap pelayan Enjin Sumber Valve: ("Enjin Sumber" pertanyaan adalah sebahagian daripada komunikasi harian antara pelanggan dan pelayan permainan menggunakan protokol perisian Valve)
Serangan terhadap industri permainan
Termasuk arahan CNC yang boleh menukar IP sambungan:
suis IP sambungan
Termasuk serangan SYN dan ACK:
Serangan SYN dan ACK
Termasuk serangan banjir UDP STD:
Serangan STD
Termasuk serangan XMAS: (itu dia, Serangan pokok Krismas, dengan menetapkan semua bit bendera TCP kepada 1, dengan itu memakan lebih banyak sumber pemprosesan tindak balas sistem sasaran)
Serangan XMAS
Modul NIGGA adalah bersamaan dengan arahan KILLATTK dalam versi asal, yang menghentikan serangan DoSS dengan membunuh semua proses kanak-kanak kecuali proses utama
modul NIGGA
Analisis perbandingan
Fungsi processCmd yang menyimpan logik utama dalam kod sumber termasuk PING, GETLOCALIP, PENGImbas, EMAIL, SAMPAH, UDP, TCP, TAHAN, KILLATTK, dan modul LOLNOGTFO. Hanya versi ringkas modul UDP dan TCP wujud bersama dalam eksploitasi varian yang ditangkap kali ini. .
Dan dalam operasi mendapatkan IP tempatan, versi asal memperoleh IP tempatan melalui /proc/net/route dan mengembalikannya melalui modul GETLOCALIP. Operasi dapatkan yang sama diperhatikan dalam varian ini, tetapi tiada modul GETLOCALIP dan tiada rujukan diperhatikan.
Dapatkan IP tempatan
Perlu diingat bahawa tiada versi asal modul SCANNER yang digunakan untuk meledakkan SSH (pelabuhan 22) dalam sampel jenis ini, dan tiada varian lain yang membenamkan berbilang "aplikasi/peranti" kelemahan untuk merebak melalui Payload. Ia boleh dilihat bahawa penyerang membahagikan modul penyebaran kepada program bebas, dan selepas berjaya log masuk ke hos mangsa, dia akan memuat turun sampel komunikasi untuk peringkat seterusnya dengan melaksanakan shellcode, itu dia, sampel analisis.
Jalankan contoh shellcode
Mengambil sampel yang diperolehi daripada sumber yang sama sebagai contoh, penyerang melucutkan maklumat penyahpepijatan untuk kebanyakan sampel, kecuali beberapa orang, seperti: x86.