Apuntando ar Internet ja ya 'bede, 'nar 'ra'yo variante jar hmä "Gafgyt"" Neki ar troyano

Apuntando ar Internet ja ya 'bede, 'Nar 'ra'yo variante ar ar "Gafgyt" Neki ar troyano

Apuntando ar Internet ja ya 'bede, 'Nar 'ra'yo variante ar ar "Gafgyt" Neki ar troyano. Recientemente, Huorong Security Lab bí dini 'nar incidente intrusión virus, ne ar confirmó nä'ä mí ge 'nar 'ra'yo variante ar virus troyano Gafgyt 'mefa ár nthoni ne ar análisis.

Apuntando ar Internet ja ya 'bede, 'Nar 'ra'yo variante ar ar "Gafgyt" Neki ar troyano

Recientemente, Huorong Security Lab bí dini 'nar incidente intrusión virus, ne ar confirmó nä'ä mí ge 'nar 'ra'yo variante ar virus troyano Gafgyt 'mefa ár nthoni ne ar análisis.

Gafgyt ge 'nar programa botnet IoT basado ar Nthuts'i nkohi IRC, da infecta principalmente ma Linux Dispositivos IoT Pa lanzar ataques distribuidos denegación hontho (DDoS). Ge ya dätä mengu botnets IoT activa aparte de ar mengu Mirai..

Después ja da ár código fuente ar filtró ne ar dot'i jar GitHub jar 2015, Ndunthe ya pa ne exploits surgieron 'na ir ma'na, 'Yot'e 'mai mfats'i ir 'nar dätä NTS'UI pa ár ntsuni ya usuarios. 'Bu̲'bya, Ya productos ntsuni Huorong xi interceptar ne hyo ya virus mencionados ma 'met'o mi. Ar solicita ja ya usuarios empresariales da actualicen ar base ar datos ar virus tso̲ngar ora pa ar mfats'i.

1. Análisis muestras
Ar virus 'me̲t'o cambia thuuhu ár propio proceso ma "/usr/sbin/dropbear" o "SSHD" pa ar esconder:

Cambio thuhuu ar proceso

Entre nu'u̲, O ar cadena cifrada, ne ar algoritmo ar descifrado ge ar byte XOR ar 0xDEDEFFBA. Nu'bu̲ gi ar japu̲'be̲, Ho̲ntho ya usados ar descifran individualmente, pe ho̲ntho 4 ya realmente referenciados:

Cadena cifrada ne algoritmo ar descifrado

Ar ndui referencia ar ho̲ntho pa pe̲hni ar cadena correspondiente ja ar pantalla, Ne ya yoho referencias intermedias ya ja jar proceso ja pa nu'bu perder control nu'bya reinicio ar dispositivo:

descifrar ne cotizar

Ya ja ya restantes ar da duts'i da t'ot'e xi hño jar 'nar bucle, incluida ar inicialización ar conexión C2 (94.156.161.21:671), Envío ar klase ar dispositivo plataforma, Ga hä ts'edi retorno ne ejecutar ar operación ar módulo correspondiente. Ne comparado ko ar código fuente filtrado ya Gafgy, Ar formato ne ar procesamiento ya ts'edi hingi xi cambiado xingu, ne ar formato ya ts'edi te̲ni komongu "!*Mandar [Parámetro]"

Código operación bucle

Ja ar función processCmd, 'nar Nxoge ar 14 ar thädi ya comandos ne da lanzan ya ataques DDOS 'bui, Incluido: "HTTP", "CUDP", "UDP", "ETS", "CTCP", "TCP", "SYN" , "ACK", "CXMAS", "PA 'MU̲I", "CVSE", "VSE", "CNC", "NIGGA"

Captura pantalla ya ts'edi - Ntsuni IoT

Entre nu'u̲, ar CUDP, UDP, CTCP, ne ya módulos TCP xi pe̲hni cadenas aleatorias ar IP ne ar puerto especificados, ne ar tsa̲ da reconstruir paquetes TCP ne UDP ir nge ya encabezados IP autoconstruidos pa ocultar jar 'mui IP ya ndu'mi.

Estructura ar 'me̲hni pa

Ar supone da prefijo ar C xí abreviatura custom. Tomando CUDP ne UDP komongu ar ejemplos, ja ar versión original Gafgyt, Parámetros ya ts'edi emitido incluyen:: IP, puerto, Ora, Falsificados, tamaño ar paquete, pollinterval ne ma'ra valores hwähi ne bits indicador pa ár nju̲ts'i paquetes UDP. Jar nuna ar ejemplo, 'ñotho ar embargo, Ya resultados observados muestran ke ge ár nt'ot'e nuya parámetros ja ya 'na'ño ya grado ar restricción, Gi tsa̲ da mejorar ar flexibilidad xingu específicos ya ataques DDOS.

Comparación CUDP ne UDP

Ya 'befi ya módulos incluyen agregar Nar dätä hño 'nar 'bede ya cadenas User — Agent, nä'ä bí utilizan pa lanzar comandos HTTP pa ataques CC:

'Na jar CC

Incluido pa ataques kontra ya servidores Source Engine ar Valve: ("Motor 'rini" Ya ja ya nt'ani ya xeni comunicación hyax'bu̲ entre clientes ne Servidores juegos njapu'befi ar Nthuts'i nkohi software Valve)

Ataques kontra ar industria ar 'ñeni

Da 'ñent'i comandos CNC nä'ä xi mpa̲ti ar IP conexión:

IP conexión ar conmutador

Mfa̲ts'i 'bu̲i ataques SYN ne ACK:

Ataques SYN ne ACK

Da 'ñent'i ataques inundación UDP STD:

'Na jar ETS

Da 'ñent'i 'na jar ar pa 'mu̲: (Ar mä, 'Na jar ya zaa ar pa 'mu̲i, estableciendo ga̲tho ya bits indicador TCP jar 1, consumiendo nja'bu̲ mäs recursos procesamiento nthädi ko ar 'mu̲i)

'Na jar ar pa 'mu̲i

Módulo ar NIGGA xí equivalente jar ts'edi KILLATTK ja ar versión original, da detiene ya ataques DoSS matando ga̲tho ya procesos secundarios menu ar proceso principal

Módulo NIGGA

Análisis comparativo
Ar función processCmd da almacena ar lógica principal jar código fuente mfa̲ts'i 'bu̲i PING, GETLOCALIP, ESCÁNER, CORREO ELECTRÓNICO, BASURA, UDP, TCP, SOSTENER, KILLATTK, ne módulos LOLNOGTFO. Ho̲ntho ya versiones simplificadas ja ya módulos UDP ne TCP coexisten jar variante exploit capturada nuna ar pa. .

Ne ar operación obtención ar IP ja, ar versión original obtiene IP ir a través de /proc/net/route ne dá devuelve a través de módulo GETLOCALIP. Ar xkagentho operación get ar gi hyandi jar nuna ar variante, pe otho ningún módulo GETLOCALIP ne hingi ar observan referencias.

Da IP ja

Vale dá dí ntsa̲ señalar ke hingi nuna ar dängo 'nar versión original ar módulo SCANNER utilizado pa explotar SSH (puerto 22) jar nuna ar klase ar muestra, ne otho ma'ra pa incorporen múltiples "Aplicaciones yá Dispositivo" vulnerabilidades pa propagar bí a través de ar carga útil. Ar tsa̲ da ga ke ar atacante divide módulo propagación jar programas independientes., ne 'mefa xta da du'mi sesión correctamente jar host víctima, Descargará ejemplo comunicación pa da ku̲hu̲ etapa ejecutando ar shellcode, Ar mä, Muestra análisis.

Ejemplo nt'eni ja ya shellcode

Tomando komongu ejemplo ya muestras obtenidas xkagentho ar fuente, Ar atacante eliminó ar ungumfädi depuración 'nar dätä xe̲ni ya ejemplos, excepto nge 'ra pocos, ngu: x 86.