चीजहरूको इन्टरनेटमा लक्ष्य गर्दै, को नयाँ संस्करण "ग्याफिट" ट्रोजन देखिन्छ
हालै, Huorong सुरक्षा प्रयोगशाला एक भाइरस घुसपैठ घटना पत्ता लाग्यो, जुन अनुसन्धान र विश्लेषण पछि Gafgyt ट्रोजन भाइरसको नयाँ संस्करण भएको पुष्टि भयो.
Gafgyt IRC प्रोटोकलमा आधारित IoT botnet कार्यक्रम हो, जसले मुख्यतया लिनक्स-आधारित संक्रमित गर्दछ IoT उपकरणहरू सेवा आक्रमणको वितरित अस्वीकार सुरु गर्न (DDoS). यो Mirai परिवार बाहेक सबैभन्दा ठूलो सक्रिय IoT बोटनेट परिवार हो.
यसको स्रोत कोड लीक भएपछि GitHub मा अपलोड गरियो 2015, विभिन्न प्रकार र शोषणहरू एकपछि अर्को उभिए, प्रयोगकर्ताहरूको लागि ठूलो सुरक्षा खतरा खडा गर्दै. हाल, Huorong सुरक्षा उत्पादनहरूले माथि उल्लिखित भाइरसहरूलाई रोक्न र मार्न सक्छ. इन्टरप्राइज प्रयोगकर्ताहरूलाई सुरक्षाको लागि समयमै भाइरस डाटाबेस अपडेट गर्न अनुरोध गरिन्छ.
1. नमूना विश्लेषण
भाइरसले पहिले आफ्नो प्रक्रियालाई पुन: नामाकरण गर्दछ "/usr/sbin/dropbear" वा "sshd" आफूलाई लुकाउन:
प्रक्रिया पुन: नामकरण
उनीहरु मध्ये, इन्क्रिप्टेड स्ट्रिङ फेला पर्यो, र डिक्रिप्शन एल्गोरिथ्म 0xDEDEFFBA को बाइट XOR हो. प्रयोग गर्दा, प्रयोग गरिएकाहरू मात्र व्यक्तिगत रूपमा डिक्रिप्ट गरिएका छन्, तर मात्र 4 वास्तवमा सन्दर्भ छन्:
एन्क्रिप्टेड स्ट्रिङ र डिक्रिप्शन एल्गोरिथ्म
पहिलो सन्दर्भ मात्र स्क्रिनमा सम्बन्धित स्ट्रिङ आउटपुट गर्न हो, र मध्य दुई सन्दर्भहरू यन्त्र पुन: सुरु गर्दा नियन्त्रण गुमाउनबाट बच्नको लागि वाचडग प्रक्रियामा सञ्चालन हुन्छन्:
डिक्रिप्ट र उद्धरण
बाँकी कार्यहरू लूपमा गरिन्छ, C2 जडान प्रारम्भ सहित (94.156.161.21:671), प्लेटफर्म उपकरण प्रकार पठाउँदै, फिर्ता आदेश प्राप्त गर्दै र सम्बन्धित मोड्युल अपरेशन कार्यान्वयन गर्दै. र Gafgy द्वारा लीक स्रोत कोड संग तुलना, आदेशको ढाँचा र प्रशोधन धेरै परिवर्तन भएको छैन, र आदेशको ढाँचा अझै छ "!*आदेश [प्यारामिटर]"
पाश सञ्चालन कोड
प्रक्रियामा Cmd प्रकार्य, कुल 14 आदेशहरूलाई प्रतिक्रिया दिइन्छ र सम्बन्धित DDOS आक्रमणहरू सुरू गरिन्छ, सहित: "HTTP", "CUDP विस्तार", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "सबै कुरा", "CNC", "NIGGA"
आदेश स्क्रिनसट - IoT सुरक्षा
उनीहरु मध्ये, CUDP, UDP, JSC, र TCP मोड्युलहरूले सबै निर्दिष्ट IP र पोर्टमा अनियमित स्ट्रिङहरू पठाउन सक्छन्, र स्रोत IP ठेगाना लुकाउन स्व-निर्मित IP हेडरहरूद्वारा TCP र UDP प्याकेटहरू पुन: निर्माण गर्न सक्छ।.
सन्देश संरचना
उपसर्ग C लाई अनुकूलनको संक्षिप्त रूप हो भनेर अनुमान गरिएको छ. उदाहरणका रूपमा CUDP र UDP लिँदै, Gafgyt को मूल संस्करण मा, जारी आदेश मा प्यारामिटरहरू समावेश छन्: ip, पोर्ट, समय, नक्कली, प्याकेट आकार, pollinterval र अन्य फिल्ड मानहरू र फ्ल्याग बिटहरू UDP प्याकेटहरूको निर्माणको लागि. यस नमूनामा, यद्यपि, अवलोकन परिणामहरूले देखाउँदछ कि यो प्रतिबन्धको विभिन्न डिग्रीहरूमा यी प्यारामिटरहरूको अनुप्रयोग हो, जसले विशेष प्रकारका DDOS आक्रमणहरूको लचिलोपन बढाउन सक्छ.
CUDP र UDP को तुलना
अन्य मोड्युलका कार्यहरूमा प्रयोगकर्ता-एजेन्ट स्ट्रिङहरूको ठूलो संख्या थप्ने समावेश छ, जुन CC आक्रमणहरूको लागि HTTP आदेशहरू सुरु गर्न प्रयोग गरिन्छ:
सीसी आक्रमण
भल्भको स्रोत इन्जिन सर्भरहरू विरुद्ध आक्रमणहरूको लागि समावेश: ("स्रोत इन्जिन" प्रश्नहरू ग्राहकहरू र बीचको दैनिक सञ्चारको अंश हुन् खेल सर्भरहरू भल्भ सफ्टवेयर प्रोटोकल प्रयोग गर्दै)
गेमिङ उद्योग विरुद्ध आक्रमण
जडान आईपी स्विच गर्न सक्ने CNC आदेशहरू सहित:
जडान आईपी स्विच गर्नुहोस्
SYN र ACK आक्रमणहरू समावेश गर्दछ:
SYN र ACK आक्रमणहरू
UDP STD बाढी आक्रमणहरू सहित:
STD आक्रमण
XMAS आक्रमण सहित: (त्यो हो, क्रिसमस ट्री आक्रमण, TCP को सबै फ्ल्याग बिटहरू सेट गरेर 1, यसरी लक्षित प्रणालीको अधिक प्रतिक्रिया प्रशोधन स्रोतहरू खपत)
XMAS आक्रमण
NIGGA मोड्युल मूल संस्करणमा KILLATTK आदेशको बराबर छ, जसले मुख्य प्रक्रिया बाहेक सबै बाल प्रक्रियाहरूलाई मारेर DoSS आक्रमणहरू रोक्छ
NIGGA मोड्युल
तुलनात्मक विश्लेषण
स्रोत कोडमा मुख्य तर्क भण्डारण गर्ने प्रकार्य प्रक्रिया Cmd मा PING समावेश छ, GETLOCALIP, स्क्यानर, इमेल, जङ्क, UDP, TCP, होल्ड गर्नुहोस्, KILLATTK, र LOLNOGTFO मोड्युलहरू. यस पटक कैद गरिएको भेरियन्ट एक्स्प्लोइटमा UDP र TCP मोड्युलहरूको सरलीकृत संस्करणहरू मात्र सहअस्तित्वमा छन्. .
र स्थानीय आईपी प्राप्त गर्ने कार्यमा, मूल संस्करणले /proc/net/route मार्फत स्थानीय IP प्राप्त गर्छ र GETLOCALIP मोड्युल मार्फत फिर्ता गर्छ।. यस भेरियन्टमा पनि उस्तै गेट अपरेशन अवलोकन गरिएको छ, तर त्यहाँ कुनै GETLOCALIP मोड्युल छैन र कुनै सन्दर्भहरू अवलोकन गरिएको छैन.
स्थानीय आईपी प्राप्त गर्नुहोस्
यो ध्यान दिन लायक छ कि SSH विस्फोट गर्न प्रयोग गरिएको SCANNER मोड्युलको कुनै मौलिक संस्करण छैन। (पोर्ट 22) यस प्रकारको नमूनामा, र त्यहाँ कुनै पनि अन्य भेरियन्टहरू छैनन् जसले धेरै इम्बेड गर्दछ "अनुप्रयोगहरू/उपकरणहरू" पेलोड मार्फत फैलिने जोखिमहरू. यो देख्न सकिन्छ कि आक्रमणकारीले प्रचार मोड्युललाई स्वतन्त्र कार्यक्रमहरूमा विभाजन गर्दछ, र पीडित होस्टमा सफलतापूर्वक लग इन गरेपछि, उसले शेलकोड कार्यान्वयन गरेर अर्को चरणको लागि सञ्चार नमूना डाउनलोड गर्नेछ, त्यो हो, विश्लेषण नमूना.
शेलकोड उदाहरण कार्यान्वयन गर्नुहोस्
उदाहरणको रूपमा एउटै स्रोतबाट प्राप्त नमूनाहरू लिँदै, आक्रमणकारीले अधिकांश नमूनाहरूको लागि डिबगिङ जानकारी हटायो, केही बाहेक, जस्तै: x86.