Email: anwenqq2690502116@gmail.com
Timmira lejn l-Internet tal-Oġġetti, varjant ġdid tal- "Gaffyt" Trojan jidher
Riċentement, Huorong Security Lab skopra inċident ta 'intrużjoni tal-virus, li ġie kkonfermat bħala varjant ġdid tal-virus Gafgyt Trojan wara investigazzjoni u analiżi.
Gafgyt huwa programm botnet IoT ibbażat fuq il-protokoll IRC, li prinċipalment jinfetta bbażati fuq Linux Apparat IoT biex tniedi attakki mqassma ta' ċaħda ta' servizz (DDoS). Hija l-akbar familja ta' botnet IoT attiva minbarra l-familja Mirai.
Wara li l-kodiċi tas-sors tiegħu ġie leaked u mtella fuq GitHub fi 2015, diversi varjanti u sfrutti ħarġu wieħed wara l-ieħor, joħolqu theddida akbar għas-sigurtà għall-utenti. Bhalissa, Il-prodotti tas-sigurtà Huorong jistgħu jinterċettaw u joqtlu l-viruses imsemmija hawn fuq. L-utenti tal-intrapriżi huma mitluba jaġġornaw id-database tal-virus fil-ħin għad-difiża.
1. Analiżi tal-kampjun
Il-virus l-ewwel isemmi l-proċess tiegħu stess għal "/usr/sbin/dropbear" jew "sshd" biex jaħbi lilu nnifsu:
semmi mill-ġdid tal-proċess
Fosthom, tinstab is-sekwenza kriptata, u l-algoritmu ta' deċifrar huwa l-byte XOR ta' 0xDEDEFFBA. Meta jintuża, dawk użati biss huma decrypted individwalment, iżda biss 4 huma attwalment referenzjati:
Spag encrypted u algoritmu ta 'deċifrar
L-ewwel referenza hija biss biex toħroġ is-sekwenza korrispondenti lill-iskrin, u ż-żewġ referenzi tan-nofs huma operazzjonijiet fuq il-proċess tal-għassa biex jiġi evitat li jitlef il-kontroll minħabba l-istartjar mill-ġdid tal-apparat:
decrypt u kkwota
L-operazzjonijiet li jifdal huma mwettqa f'linja, inkluż l-inizjalizzazzjoni tal-konnessjoni C2 (94.156.161.21:671), tibgħat it-tip ta 'apparat tal-pjattaforma, li tirċievi l-kmand tar-ritorn u tesegwixxi l-operazzjoni tal-modulu korrispondenti. U meta mqabbel mal-kodiċi sors nixxew minn Gafgy, il-format u l-ipproċessar tal-kmand ma nbidlux ħafna, u l-format tal-kmand għadu "!*Kmand [Parametru]"
kodiċi tal-operat tal-linja
Fil-funzjoni processCmd, total ta' 14 il-kmandi jiġu mwieġba u jiġu mnedija attakki DDOS korrispondenti, inklużi: "HTTP", "Estensjoni CUDP", "UDP", "STD", "JSC", "TCP", "SIN" , "ACK", "CXMAS", "XMAS", "CVSE", "KOLLOX", "CNC", "NIGGA"
screenshot tal-kmand - Sigurtà IoT
Fosthom, il-CUDP, UDP, JSC, u l-moduli TCP kollha jistgħu jibagħtu kordi każwali lill-IP u l-port speċifikati, u jista 'jibni mill-ġdid il-pakketti TCP u UDP permezz ta' headers tal-IP mibnija għal rashom biex jaħbi l-indirizz IP tas-sors.
struttura tal-messaġġ
Il-prefiss C huwa guessed li huwa l-abbrevjazzjoni tad-dwana. Nieħdu CUDP u UDP bħala eżempji, fil-verżjoni oriġinali ta’ Gafgyt, il-parametri fil-kmand maħruġ jinkludu: ip, port, ħin, spoofed, daqs tal-pakkett, pollinterval u valuri oħra tal-kamp u bits tal-bandiera Għall-kostruzzjoni ta' pakketti UDP. F'dan il-kampjun, madankollu, ir-riżultati osservati juru li hija l-applikazzjoni ta 'dawn il-parametri għal gradi differenti ta' restrizzjoni, li jistgħu jtejbu l-flessibbiltà ta 'tipi speċifiċi ta' attakki DDOS.
Tqabbil ta 'CUDP u UDP
Il-funzjonijiet ta 'moduli oħra jinkludu li żżid numru kbir ta' kordi ta 'Utent-Agent, li jintużaw biex iniedu kmandi HTTP għal attakki CC:
Attakk CC
Inkluż għal attakki kontra s-servers ta' Source Engine ta' Valve: ("Sors Magna" il-mistoqsijiet huma parti mill-komunikazzjoni ta’ kuljum bejn il-klijenti u servers tal-logħob bl-użu tal-protokoll tas-software Valve)
Attakki kontra l-industrija tal-logħob
Inklużi kmandi CNC li jistgħu jaqilbu l-IP tal-konnessjoni:
swiċċ konnessjoni IP
Jinkludi attakki SYN u ACK:
Attakki SYN u ACK
Inklużi attakki ta 'għargħar UDP STD:
Attakk STD
Inkluż attakk XMAS: (jiġifieri, Attakk tas-siġra tal-Milied, billi tissettja l-bits tal-bandiera kollha tat-TCP għal 1, b'hekk jikkunsmaw aktar riżorsi tal-ipproċessar tar-rispons tas-sistema fil-mira)
Attakk tal-XMAS
Il-modulu NIGGA huwa ekwivalenti għall-kmand KILLATTK fil-verżjoni oriġinali, li jwaqqaf l-attakki DoSS billi joqtol il-proċessi tfal kollha ħlief il-proċess prinċipali
Modulu NIGGA
Analiżi komparattiva
Il-funzjoni processCmd li taħżen il-loġika ewlenija fil-kodiċi tas-sors tinkludi PING, GETLOCALIP, SCANNER, EMAIL, JUNK, UDP, TCP, ŻOMM, KILLATTK, u moduli LOLNOGTFO. Verżjonijiet simplifikati biss ta 'moduli UDP u TCP jikkoeżistu fl-isfruttament varjant maqbud din id-darba. .
U fl-operazzjoni tal-kisba tal-IP lokali, il-verżjoni oriġinali tikseb l-IP lokali permezz ta' /proc/net/route u tirritornaha permezz tal-modulu GETLOCALIP. L-istess operazzjoni get hija osservata f'dan il-varjant, iżda m'hemm l-ebda modulu GETLOCALIP u ma jiġu osservati l-ebda referenzi.
Ikseb IP lokali
Ta 'min jinnota li m'hemm l-ebda verżjoni oriġinali tal-modulu SCANNER użat għall-blast SSH (port 22) f'dan it-tip ta' kampjun, u m'hemm l-ebda varjanti oħra li jinkorporaw multipli "applikazzjonijiet/apparat" vulnerabbiltajiet biex jinfirxu permezz ta’ Payload. Wieħed jista 'jara li l-attakkant jaqsam il-modulu ta' propagazzjoni fi programmi indipendenti, u wara li tidħol b'suċċess mal-host tal-vittma, hu se tniżżel il-kampjun tal-komunikazzjoni għall-istadju li jmiss billi tesegwixxi l-shellcode, jiġifieri, il-kampjun tal-analiżi.
Eżegwixxi eżempju shellcode
Teħid il-kampjuni miksuba mill-istess sors bħala eżempju, l-attakkant imqaxxar l-informazzjoni tad-debugging għal ħafna mill-kampjuni, ħlief għal ftit, bħal: x86.