အီးမေးလ်: anwenqq2690502116@gmail.com
Internet of Things ကို အာရုံစိုက်ပါ။, ဗားရှင်းအသစ် "Gaffyt" Trojan ပေါ်လာသည်။
မကြာသေးမီက, Huorong လုံခြုံရေးဓာတ်ခွဲခန်းသည် ဗိုင်းရပ်စ်ဝင်ရောက်မှုဖြစ်စဉ်ကို တွေ့ရှိခဲ့သည်။, စုံစမ်းစစ်ဆေးမှုများနှင့်ခွဲခြမ်းစိတ်ဖြာပြီးနောက် Gafgyt Trojan ဗိုင်းရပ်စ်၏ဗားရှင်းအသစ်ဖြစ်ကြောင်းအတည်ပြုခဲ့သည်။.
Gafgyt သည် IRC ပရိုတိုကောကိုအခြေခံ၍ IoT botnet ပရိုဂရမ်တစ်ခုဖြစ်သည်။, အဓိကအားဖြင့် Linux-based ကိုကူးစက်သည်။ IoT ကိရိယာများ ဝန်ဆောင်မှု ဖြန့်ဝေမှု ငြင်းဆိုမှု တိုက်ခိုက်မှုများကို စတင်ရန် (DDoS). ၎င်းသည် Mirai မိသားစုမှလွဲ၍ အကြီးဆုံး IoT botnet မိသားစုဖြစ်သည်။.
၎င်း၏အရင်းအမြစ်ကုဒ်ပေါက်ကြားပြီးနောက် GitHub သို့ အပ်လုဒ်လုပ်ခဲ့သည်။ 2015, မျိုးကွဲအမျိုးမျိုးနှင့် အမြတ်ထုတ်မှုများ တစ်ခုပြီးတစ်ခု ထွက်ပေါ်လာသည်။, သုံးစွဲသူများအတွက် လုံခြုံရေး ခြိမ်းခြောက်မှု ပိုများစေသည်။. လက်ရှိအချိန်မှာ, Huorong လုံခြုံရေး ထုတ်ကုန်များသည် အထက်ဖော်ပြပါ ဗိုင်းရပ်စ်များကို ကြားဖြတ် သတ်နိုင်သည်။. လုပ်ငန်းအသုံးပြုသူများကို ကာကွယ်ရေးအတွက် အချိန်မီ ဗိုင်းရပ်စ်ဒေတာဘေ့စ်ကို အပ်ဒိတ်လုပ်ရန် တောင်းဆိုထားသည်။.
1. နမူနာခွဲခြမ်းစိတ်ဖြာ
ဗိုင်းရပ်စ်သည် ၎င်း၏ကိုယ်ပိုင်လုပ်ငန်းစဉ်ကို ဦးစွာအမည်ပြောင်းသည်။ "/usr/sbin/dropbear" သို့မဟုတ် "sshd" ပုန်းအောင်းဖို့၊:
လုပ်ငန်းစဉ်အမည်ပြောင်း
သူတို့ထဲတွင်, ကုဒ်ဝှက်ထားသော စာကြောင်းကို တွေ့သည်။, နှင့် စာဝှက်စနစ် အယ်လဂိုရီသမ်သည် 0xDEDEFFBA ၏ byte XOR ဖြစ်သည်။. သုံးတဲ့အခါ, အသုံးပြုထားသည့်အရာများကိုသာ တစ်ဦးချင်းစာဝှက်ထားသည်။, ဒါပေမယ့် သာ 4 အမှန်တကယ်ကိုးကားကြသည်။:
ကုဒ်ဝှက်ထားသော စာကြောင်းနှင့် စာဝှက်စနစ် အယ်လဂိုရီသမ်
ပထမရည်ညွှန်းချက်မှာ သက်ဆိုင်ရာ string ကို ဖန်သားပြင်သို့ ထုတ်ပေးရန်သာဖြစ်သည်။, နှင့် အလယ်အကိုးအကား နှစ်ခုသည် စက်ပစ္စည်းပြန်လည်စတင်ခြင်းကြောင့် ထိန်းချုပ်မှုဆုံးရှုံးခြင်းမှ ရှောင်ရှားရန် watchdog လုပ်ငန်းစဉ်တွင် လုပ်ဆောင်ချက်များဖြစ်သည်။:
စာဝှက်နှင့်ကိုးကား
ကျန်လုပ်ငန်းများကို စက်ဝိုင်းတစ်ခုဖြင့် ဆောင်ရွက်ပါသည်။, C2 ချိတ်ဆက်မှုကို အစပြုခြင်း အပါအဝင် (94.156.161.21:671), ပလပ်ဖောင်း ကိရိယာ အမျိုးအစားကို ပေးပို့ခြင်း။, return command ကို လက်ခံပြီး သက်ဆိုင်ရာ module လုပ်ဆောင်ချက်ကို လုပ်ဆောင်သည်။. Gafgy မှပေါက်ကြားသောအရင်းအမြစ်ကုဒ်နှင့်နှိုင်းယှဉ်ပါ။, command ၏ format နှင့် processing သည် များစွာပြောင်းလဲခြင်းမရှိပါ။, command ၏ format သည်နေဆဲဖြစ်သည်။ "!*အမိန့်ပေးသည်။ [ကန့်သတ်ချက်]"
loop လည်ပတ်မှုကုဒ်
processCmd function မှာ, စုစုပေါင်း 14 ညွှန်ကြားချက်များကို တုံ့ပြန်ပြီး သက်ဆိုင်ရာ DDOS တိုက်ခိုက်မှုများကို စတင်သည်။, အပါအဝင်: "HTTP", "CUDP တိုးချဲ့မှု", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "အရာအားလုံး", "CNC", "NIGGA"
command screenshot - IoT လုံခြုံရေး
သူတို့ထဲတွင်, CUDP, UDP, JSC, နှင့် TCP module များအားလုံးသည် သတ်မှတ်ထားသော IP နှင့် port သို့ ကျပန်းစာကြောင်းများ ပေးပို့နိုင်ပါသည်။, အရင်းအမြစ် IP လိပ်စာကို ဖုံးကွယ်ရန် ကိုယ်တိုင်တည်ဆောက်ထားသော IP ခေါင်းစီးများဖြင့် TCP နှင့် UDP ပက်ခ်များကို ပြန်လည်တည်ဆောက်နိုင်သည်။.
မက်ဆေ့ခ်ျဖွဲ့စည်းပုံ
ရှေ့ဆက် C သည် ထုံးစံ၏ အတိုကောက်ဟု ခန့်မှန်းရသည်။. CUDP နှင့် UDP ကို နမူနာအဖြစ် ယူခြင်း။, Gafgyt ၏မူရင်းဗားရှင်းတွင်, ထုတ်ပြန်ထားသော command တွင် parameters များပါဝင်သည်။: ip, ဆိပ်ကမ်း, အချိန်, အပြောင်အပျက်, packets အရွယ်အစား, pollinterval နှင့် အခြားသော အကွက်တန်ဖိုးများနှင့် အလံဘစ်များ UDP packet များတည်ဆောက်မှုအတွက်. ဒီနမူနာ, သို့သော်လည်း, လေ့လာတွေ့ရှိထားသော ရလဒ်များက ၎င်းသည် ဤကန့်သတ်ချက်များ၏ မတူညီသောဒီဂရီများတွင် အသုံးချကြောင်းပြသသည်။, ၎င်းသည် DDOS တိုက်ခိုက်မှုအမျိုးအစားများ၏ ပျော့ပြောင်းမှုကို မြှင့်တင်ပေးနိုင်သည်။.
CUDP နှင့် UDP နှိုင်းယှဉ်
အခြား module များ၏ လုပ်ဆောင်ချက်များတွင် User-Agent strings အများအပြားကို ပေါင်းထည့်ခြင်း ပါဝင်သည်။, CC တိုက်ခိုက်မှုများအတွက် HTTP ညွှန်ကြားချက်များကို စတင်ရန် အသုံးပြုသည်။:
CC တိုက်ခိုက်မှု
Valve ၏ Source Engine ဆာဗာများကို တိုက်ခိုက်ရန်အတွက် ပါဝင်သည်။: ("အရင်းအမြစ်အင်ဂျင်" queries သည် clients များအကြားနေ့စဉ်ဆက်သွယ်မှု၏အစိတ်အပိုင်းတစ်ခုဖြစ်သည်။ ဂိမ်းဆာဗာများ Valve software protocol ကို အသုံးပြု)
ဂိမ်းစက်လုပ်ငန်းကို တိုက်ခိုက်သည်။
ချိတ်ဆက်မှု IP ကိုပြောင်းနိုင်သော CNC အမိန့်များ ပါဝင်သည်။:
ချိတ်ဆက်မှု IP ကိုပြောင်းပါ။
SYN နှင့် ACK တိုက်ခိုက်မှုများ ပါဝင်သည်။:
SYN နှင့် ACK တိုက်ခိုက်မှုများ
UDP STD ရေလွှမ်းမိုးတိုက်ခိုက်မှုအပါအဝင်:
STD တိုက်ခိုက်မှု
XMAS တိုက်ခိုက်မှုအပါအဝင်: (အဲဒါ, ခရစ္စမတ်သစ်ပင်တိုက်ခိုက်မှု, TCP ၏ flag bits အားလုံးကို သတ်မှတ်ခြင်းဖြင့် 1, ထို့ကြောင့် ပစ်မှတ်စနစ်၏ တုံ့ပြန်ဆောင်ရွက်မှု အရင်းအမြစ်များကို ပိုမိုသုံးစွဲသည်။)
XMAS တိုက်ခိုက်မှု
NIGGA module သည် မူရင်းဗားရှင်းရှိ KILLATTK command နှင့် ညီမျှသည်။, ၎င်းသည် ပင်မလုပ်ငန်းစဉ်မှလွဲ၍ ကလေးလုပ်ငန်းစဉ်အားလုံးကို သတ်ခြင်းဖြင့် DoSS တိုက်ခိုက်မှုများကို ရပ်တန့်စေပါသည်။
NIGGA မော်ဂျူး
နှိုင်းယှဉ်သုံးသပ်ချက်
အရင်းအမြစ်ကုဒ်တွင် ပင်မယုတ္တိကို သိမ်းဆည်းသည့် လုပ်ဆောင်ချက် processCmd တွင် PING ပါဝင်သည်။, GETLOCALIP, စကင်န်နာ, အီးမေးလ်, အမှိုက်, UDP, TCP, ကိုင်ထားပါ။, KILLATTK, နှင့် LOLNOGTFO မော်ဂျူးများ. UDP နှင့် TCP မော်ဂျူးများ၏ ရိုးရှင်းသောဗားရှင်းများသာလျှင် ယခုအကြိမ်ဖမ်းယူထားသော exploit မျိုးကွဲတွင် အတူရှိနေသည်. .
ဒေသတွင်း IP ကိုရယူခြင်း၏စစ်ဆင်ရေး၌, မူရင်းဗားရှင်းသည် /proc/net/route မှတဆင့် ဒေသတွင်း IP ကို ရယူပြီး GETLOCALIP module မှတဆင့် ၎င်းကို ပြန်ပေးသည်။. တူညီသော get လုပ်ဆောင်ချက်ကို ဤဗားရှင်းတွင် တွေ့ရပါသည်။, ဒါပေမယ့် GETLOCALIP module မရှိသလို အကိုးအကားတွေကိုတော့ စောင့်ကြည့်လေ့မရှိပါဘူး။.
ဒေသတွင်း IP ကိုရယူပါ။
SSH ကိုပေါက်ကွဲရန်အသုံးပြုသည့် SCANNER module ၏မူရင်းဗားရှင်းမရှိသည်ကို သတိပြုသင့်ပါသည်။ (ဆိပ်ကမ်း 22) ဒီနမူနာအမျိုးအစားထဲမှာ, အများအပြားကို မြှုပ်နှံထားသည့် အခြားမျိုးကွဲများ မရှိပါ။ "အပလီကေးရှင်း/စက်ပစ္စည်း" Payload မှတဆင့် ကူးစက်နိုင်သော အားနည်းချက်များ. တိုက်ခိုက်သူသည် ပြန့်ပွားမှု module အား သီးခြားပရိုဂရမ်များအဖြစ် ပိုင်းခြားထားသည်ကို တွေ့မြင်နိုင်သည်။, ပြီးလျှင် သားကောင်အိမ်ရှင်သို့ အောင်မြင်စွာ လော့ဂ်အင်ဝင်ပါ။, shellcode ကိုလုပ်ဆောင်ခြင်းဖြင့်နောက်အဆင့်အတွက်ဆက်သွယ်ရေးနမူနာကိုဒေါင်းလုဒ်လုပ်လိမ့်မည်။, အဲဒါ, ခွဲခြမ်းစိတ်ဖြာမှုနမူနာ.
shellcode နမူနာကို လုပ်ဆောင်ပါ။
တူညီသောအရင်းအမြစ်မှရရှိသောနမူနာများကို နမူနာအဖြစ်ယူခြင်း။, တိုက်ခိုက်သူသည် နမူနာအများစုအတွက် အမှားရှာပြင်သည့် အချက်အလက်ကို ဖယ်ရှားခဲ့သည်။, အနည်းငယ်မှလွဲ၍, ကဲ့သို့: x၈၆.