इमेल: anwenqq2690502116@gmail.com

टिन्डर पत्ता लगाउने र मार्ने

चीजहरूको इन्टरनेटमा लक्ष्य गर्दै, को नयाँ संस्करण "ग्याफिट" ट्रोजन देखिन्छ

चीजहरूको इन्टरनेटमा लक्ष्य गर्दै, को नयाँ संस्करण "ग्याफिट" ट्रोजन देखिन्छ. हालै, Huorong सुरक्षा प्रयोगशाला एक भाइरस घुसपैठ घटना पत्ता लाग्यो, जुन अनुसन्धान र विश्लेषण पछि Gafgyt ट्रोजन भाइरसको नयाँ संस्करण भएको पुष्टि भयो.

चीजहरूको इन्टरनेटमा लक्ष्य गर्दै, को नयाँ संस्करण "ग्याफिट" ट्रोजन देखिन्छ

हालै, Huorong सुरक्षा प्रयोगशाला एक भाइरस घुसपैठ घटना पत्ता लाग्यो, जुन अनुसन्धान र विश्लेषण पछि Gafgyt ट्रोजन भाइरसको नयाँ संस्करण भएको पुष्टि भयो.

Gafgyt IRC प्रोटोकलमा आधारित IoT botnet कार्यक्रम हो, जसले मुख्यतया लिनक्स-आधारित संक्रमित गर्दछ IoT उपकरणहरू सेवा आक्रमणको वितरित अस्वीकार सुरु गर्न (DDoS). यो Mirai परिवार बाहेक सबैभन्दा ठूलो सक्रिय IoT बोटनेट परिवार हो.

यसको स्रोत कोड लीक भएपछि GitHub मा अपलोड गरियो 2015, विभिन्न प्रकार र शोषणहरू एकपछि अर्को उभिए, प्रयोगकर्ताहरूको लागि ठूलो सुरक्षा खतरा खडा गर्दै. हाल, Huorong सुरक्षा उत्पादनहरूले माथि उल्लिखित भाइरसहरूलाई रोक्न र मार्न सक्छ. इन्टरप्राइज प्रयोगकर्ताहरूलाई सुरक्षाको लागि समयमै भाइरस डाटाबेस अपडेट गर्न अनुरोध गरिन्छ.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. नमूना विश्लेषण
भाइरसले पहिले आफ्नो प्रक्रियालाई पुन: नामाकरण गर्दछ "/usr/sbin/dropbear" वा "sshd" आफूलाई लुकाउन:

process rename
प्रक्रिया पुन: नामकरण

उनीहरु मध्ये, इन्क्रिप्टेड स्ट्रिङ फेला पर्यो, र डिक्रिप्शन एल्गोरिथ्म 0xDEDEFFBA को बाइट XOR हो. प्रयोग गर्दा, प्रयोग गरिएकाहरू मात्र व्यक्तिगत रूपमा डिक्रिप्ट गरिएका छन्, तर मात्र 4 वास्तवमा सन्दर्भ छन्:

Encrypted string and decryption algorithm
एन्क्रिप्टेड स्ट्रिङ र डिक्रिप्शन एल्गोरिथ्म

 

पहिलो सन्दर्भ मात्र स्क्रिनमा सम्बन्धित स्ट्रिङ आउटपुट गर्न हो, र मध्य दुई सन्दर्भहरू यन्त्र पुन: सुरु गर्दा नियन्त्रण गुमाउनबाट बच्नको लागि वाचडग प्रक्रियामा सञ्चालन हुन्छन्:

decrypt and quote

डिक्रिप्ट र उद्धरण

 

बाँकी कार्यहरू लूपमा गरिन्छ, C2 जडान प्रारम्भ सहित (94.156.161.21:671), प्लेटफर्म उपकरण प्रकार पठाउँदै, फिर्ता आदेश प्राप्त गर्दै र सम्बन्धित मोड्युल अपरेशन कार्यान्वयन गर्दै. र Gafgy द्वारा लीक स्रोत कोड संग तुलना, आदेशको ढाँचा र प्रशोधन धेरै परिवर्तन भएको छैन, र आदेशको ढाँचा अझै छ "!*आदेश [प्यारामिटर]"

loop operation code

पाश सञ्चालन कोड

 

प्रक्रियामा Cmd प्रकार्य, कुल 14 आदेशहरूलाई प्रतिक्रिया दिइन्छ र सम्बन्धित DDOS आक्रमणहरू सुरू गरिन्छ, सहित: "HTTP", "CUDP विस्तार", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "सबै कुरा", "CNC", "NIGGA"

command screenshot - IoT security
आदेश स्क्रिनसट - IoT सुरक्षा

 

उनीहरु मध्ये, CUDP, UDP, JSC, र TCP मोड्युलहरूले सबै निर्दिष्ट IP र पोर्टमा अनियमित स्ट्रिङहरू पठाउन सक्छन्, र स्रोत IP ठेगाना लुकाउन स्व-निर्मित IP हेडरहरूद्वारा TCP र UDP प्याकेटहरू पुन: निर्माण गर्न सक्छ।.

 

message structure
सन्देश संरचना

 

उपसर्ग C लाई अनुकूलनको संक्षिप्त रूप हो भनेर अनुमान गरिएको छ. उदाहरणका रूपमा CUDP र UDP लिँदै, Gafgyt को मूल संस्करण मा, जारी आदेश मा प्यारामिटरहरू समावेश छन्: ip, पोर्ट, समय, नक्कली, प्याकेट आकार, pollinterval र अन्य फिल्ड मानहरू र फ्ल्याग बिटहरू UDP प्याकेटहरूको निर्माणको लागि. यस नमूनामा, यद्यपि, अवलोकन परिणामहरूले देखाउँदछ कि यो प्रतिबन्धको विभिन्न डिग्रीहरूमा यी प्यारामिटरहरूको अनुप्रयोग हो, जसले विशेष प्रकारका DDOS आक्रमणहरूको लचिलोपन बढाउन सक्छ.

CUDP र UDP को तुलना

अन्य मोड्युलका कार्यहरूमा प्रयोगकर्ता-एजेन्ट स्ट्रिङहरूको ठूलो संख्या थप्ने समावेश छ, जुन CC आक्रमणहरूको लागि HTTP आदेशहरू सुरु गर्न प्रयोग गरिन्छ:

सीसी आक्रमण

भल्भको स्रोत इन्जिन सर्भरहरू विरुद्ध आक्रमणहरूको लागि समावेश: ("स्रोत इन्जिन" प्रश्नहरू ग्राहकहरू र बीचको दैनिक सञ्चारको अंश हुन् खेल सर्भरहरू भल्भ सफ्टवेयर प्रोटोकल प्रयोग गर्दै)

गेमिङ उद्योग विरुद्ध आक्रमण

जडान आईपी स्विच गर्न सक्ने CNC आदेशहरू सहित:

जडान आईपी स्विच गर्नुहोस्

SYN र ACK आक्रमणहरू समावेश गर्दछ:

SYN र ACK आक्रमणहरू

UDP STD बाढी आक्रमणहरू सहित:

STD आक्रमण

XMAS आक्रमण सहित: (त्यो हो, क्रिसमस ट्री आक्रमण, TCP को सबै फ्ल्याग बिटहरू सेट गरेर 1, यसरी लक्षित प्रणालीको अधिक प्रतिक्रिया प्रशोधन स्रोतहरू खपत)

XMAS आक्रमण

NIGGA मोड्युल मूल संस्करणमा KILLATTK आदेशको बराबर छ, जसले मुख्य प्रक्रिया बाहेक सबै बाल प्रक्रियाहरूलाई मारेर DoSS आक्रमणहरू रोक्छ

NIGGA मोड्युल

तुलनात्मक विश्लेषण
स्रोत कोडमा मुख्य तर्क भण्डारण गर्ने प्रकार्य प्रक्रिया Cmd मा PING समावेश छ, GETLOCALIP, स्क्यानर, इमेल, जङ्क, UDP, TCP, होल्ड गर्नुहोस्, KILLATTK, र LOLNOGTFO मोड्युलहरू. यस पटक कैद गरिएको भेरियन्ट एक्स्प्लोइटमा UDP र TCP मोड्युलहरूको सरलीकृत संस्करणहरू मात्र सहअस्तित्वमा छन्. .

र स्थानीय आईपी प्राप्त गर्ने कार्यमा, मूल संस्करणले /proc/net/route मार्फत स्थानीय IP प्राप्त गर्छ र GETLOCALIP मोड्युल मार्फत फिर्ता गर्छ।. यस भेरियन्टमा पनि उस्तै गेट अपरेशन अवलोकन गरिएको छ, तर त्यहाँ कुनै GETLOCALIP मोड्युल छैन र कुनै सन्दर्भहरू अवलोकन गरिएको छैन.

स्थानीय आईपी प्राप्त गर्नुहोस्

यो ध्यान दिन लायक छ कि SSH विस्फोट गर्न प्रयोग गरिएको SCANNER मोड्युलको कुनै मौलिक संस्करण छैन। (पोर्ट 22) यस प्रकारको नमूनामा, र त्यहाँ कुनै पनि अन्य भेरियन्टहरू छैनन् जसले धेरै इम्बेड गर्दछ "अनुप्रयोगहरू/उपकरणहरू" पेलोड मार्फत फैलिने जोखिमहरू. यो देख्न सकिन्छ कि आक्रमणकारीले प्रचार मोड्युललाई स्वतन्त्र कार्यक्रमहरूमा विभाजन गर्दछ, र पीडित होस्टमा सफलतापूर्वक लग इन गरेपछि, उसले शेलकोड कार्यान्वयन गरेर अर्को चरणको लागि सञ्चार नमूना डाउनलोड गर्नेछ, त्यो हो, विश्लेषण नमूना.

शेलकोड उदाहरण कार्यान्वयन गर्नुहोस्

उदाहरणको रूपमा एउटै स्रोतबाट प्राप्त नमूनाहरू लिँदै, आक्रमणकारीले अधिकांश नमूनाहरूको लागि डिबगिङ जानकारी हटायो, केही बाहेक, जस्तै: x86.

आफ्नो माया साझा गर्नुहोस्

सम्बन्धित पोस्टहरू

जवाफ छाड्नुस्

तपाईंको इमेल ठेगाना प्रकाशित गरिने छैन. आवश्यक क्षेत्रहरू चिन्ह लगाइएका छन् *