ਈ - ਮੇਲ: anwenqq2690502116@gmail.com

ਟਿੰਡਰ ਖੋਜ ਅਤੇ ਕਤਲ

ਚੀਜ਼ਾਂ ਦੇ ਇੰਟਰਨੈਟ 'ਤੇ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ, ਦਾ ਇੱਕ ਨਵਾਂ ਰੂਪ "ਗੈਫੀਟ" ਟਰੋਜਨ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ

ਚੀਜ਼ਾਂ ਦੇ ਇੰਟਰਨੈਟ 'ਤੇ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ, ਦਾ ਇੱਕ ਨਵਾਂ ਰੂਪ "ਗੈਫੀਟ" ਟਰੋਜਨ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ. ਹਾਲ ਹੀ ਵਿੱਚ, Huorong ਸੁਰੱਖਿਆ ਲੈਬ ਨੇ ਇੱਕ ਵਾਇਰਸ ਘੁਸਪੈਠ ਘਟਨਾ ਦੀ ਖੋਜ ਕੀਤੀ, ਜਿਸ ਦੀ ਜਾਂਚ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਬਾਅਦ ਗੈਫਗੀਟ ਟ੍ਰੋਜਨ ਵਾਇਰਸ ਦਾ ਨਵਾਂ ਰੂਪ ਹੋਣ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ ਸੀ.

ਚੀਜ਼ਾਂ ਦੇ ਇੰਟਰਨੈਟ 'ਤੇ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ, ਦਾ ਇੱਕ ਨਵਾਂ ਰੂਪ "ਗੈਫੀਟ" ਟਰੋਜਨ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ

ਹਾਲ ਹੀ ਵਿੱਚ, Huorong ਸੁਰੱਖਿਆ ਲੈਬ ਨੇ ਇੱਕ ਵਾਇਰਸ ਘੁਸਪੈਠ ਘਟਨਾ ਦੀ ਖੋਜ ਕੀਤੀ, ਜਿਸ ਦੀ ਜਾਂਚ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਬਾਅਦ ਗੈਫਗੀਟ ਟ੍ਰੋਜਨ ਵਾਇਰਸ ਦਾ ਨਵਾਂ ਰੂਪ ਹੋਣ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ ਸੀ.

Gafgyt ਇੱਕ IoT ਬੋਟਨੈੱਟ ਪ੍ਰੋਗਰਾਮ ਹੈ ਜੋ IRC ਪ੍ਰੋਟੋਕੋਲ 'ਤੇ ਅਧਾਰਤ ਹੈ, ਜੋ ਮੁੱਖ ਤੌਰ 'ਤੇ ਲੀਨਕਸ-ਅਧਾਰਤ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਦਾ ਹੈ IoT ਡਿਵਾਈਸਾਂ ਸੇਵਾ ਹਮਲਿਆਂ ਦੇ ਵੰਡੇ ਇਨਕਾਰ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਲਈ (DDoS). ਇਹ ਮੀਰਾਈ ਪਰਿਵਾਰ ਤੋਂ ਇਲਾਵਾ ਸਭ ਤੋਂ ਵੱਡਾ ਸਰਗਰਮ IoT ਬੋਟਨੈੱਟ ਪਰਿਵਾਰ ਹੈ.

ਇਸ ਦੇ ਸੋਰਸ ਕੋਡ ਨੂੰ ਲੀਕ ਕਰਨ ਅਤੇ ਗਿਟਹੱਬ 'ਤੇ ਅਪਲੋਡ ਕਰਨ ਤੋਂ ਬਾਅਦ 2015, ਇੱਕ ਤੋਂ ਬਾਅਦ ਇੱਕ ਵੱਖ-ਵੱਖ ਰੂਪ ਅਤੇ ਕਾਰਨਾਮੇ ਸਾਹਮਣੇ ਆਏ, ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਇੱਕ ਵੱਡਾ ਸੁਰੱਖਿਆ ਖਤਰਾ ਹੈ. ਵਰਤਮਾਨ ਵਿੱਚ, Huorong ਸੁਰੱਖਿਆ ਉਤਪਾਦ ਉੱਪਰ ਦੱਸੇ ਗਏ ਵਾਇਰਸਾਂ ਨੂੰ ਰੋਕ ਸਕਦੇ ਹਨ ਅਤੇ ਮਾਰ ਸਕਦੇ ਹਨ. ਐਂਟਰਪ੍ਰਾਈਜ਼ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਬਚਾਅ ਲਈ ਸਮੇਂ ਸਿਰ ਵਾਇਰਸ ਡੇਟਾਬੇਸ ਨੂੰ ਅਪਡੇਟ ਕਰਨ ਦੀ ਬੇਨਤੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. ਨਮੂਨਾ ਵਿਸ਼ਲੇਸ਼ਣ
ਵਾਇਰਸ ਪਹਿਲਾਂ ਆਪਣੀ ਪ੍ਰਕਿਰਿਆ ਦਾ ਨਾਮ ਬਦਲਦਾ ਹੈ "/usr/sbin/dropbear" ਜਾਂ "sshd" ਆਪਣੇ ਆਪ ਨੂੰ ਛੁਪਾਉਣ ਲਈ:

process rename
ਪ੍ਰਕਿਰਿਆ ਦਾ ਨਾਮ ਬਦਲੋ

ਉਨ੍ਹਾਂ ਦੇ ਵਿੱਚ, ਇਨਕ੍ਰਿਪਟਡ ਸਤਰ ਲੱਭੀ ਹੈ, ਅਤੇ ਡੀਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ 0xDEDEFFBA ਦਾ ਬਾਈਟ XOR ਹੈ. ਜਦੋਂ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ, ਸਿਰਫ਼ ਵਰਤੇ ਗਏ ਨੂੰ ਵੱਖਰੇ ਤੌਰ 'ਤੇ ਡੀਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਪਰ ਸਿਰਫ 4 ਅਸਲ ਵਿੱਚ ਹਵਾਲਾ ਦਿੱਤਾ ਗਿਆ ਹੈ:

Encrypted string and decryption algorithm
ਐਨਕ੍ਰਿਪਟਡ ਸਟ੍ਰਿੰਗ ਅਤੇ ਡੀਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ

 

ਪਹਿਲਾ ਹਵਾਲਾ ਸਿਰਫ ਸਕ੍ਰੀਨ ਤੇ ਸੰਬੰਧਿਤ ਸਤਰ ਨੂੰ ਆਉਟਪੁੱਟ ਕਰਨ ਲਈ ਹੈ, ਅਤੇ ਵਿਚਕਾਰਲੇ ਦੋ ਹਵਾਲੇ ਡਿਵਾਈਸ ਰੀਸਟਾਰਟ ਹੋਣ ਕਾਰਨ ਨਿਯੰਤਰਣ ਗੁਆਉਣ ਤੋਂ ਬਚਣ ਲਈ ਵਾਚਡੌਗ ਪ੍ਰਕਿਰਿਆ 'ਤੇ ਕੰਮ ਕਰਦੇ ਹਨ:

decrypt and quote

ਡਿਕ੍ਰਿਪਟ ਅਤੇ ਹਵਾਲਾ

 

ਬਾਕੀ ਦੇ ਓਪਰੇਸ਼ਨ ਇੱਕ ਲੂਪ ਵਿੱਚ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, C2 ਕੁਨੈਕਸ਼ਨ ਸ਼ੁਰੂ ਕਰਨ ਸਮੇਤ (94.156.161.21:671), ਪਲੇਟਫਾਰਮ ਡਿਵਾਈਸ ਦੀ ਕਿਸਮ ਭੇਜ ਰਿਹਾ ਹੈ, ਵਾਪਸੀ ਕਮਾਂਡ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਤੇ ਅਨੁਸਾਰੀ ਮੋਡੀਊਲ ਕਾਰਵਾਈ ਨੂੰ ਚਲਾਉਣਾ. ਅਤੇ ਗਫਗੀ ਦੁਆਰਾ ਲੀਕ ਕੀਤੇ ਸਰੋਤ ਕੋਡ ਨਾਲ ਤੁਲਨਾ ਕੀਤੀ ਗਈ, ਕਮਾਂਡ ਦਾ ਫਾਰਮੈਟ ਅਤੇ ਪ੍ਰੋਸੈਸਿੰਗ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਹੀਂ ਬਦਲੀ ਹੈ, ਅਤੇ ਕਮਾਂਡ ਦਾ ਫਾਰਮੈਟ ਅਜੇ ਵੀ ਹੈ "!*ਹੁਕਮ [ਪੈਰਾਮੀਟਰ]"

loop operation code

ਲੂਪ ਓਪਰੇਸ਼ਨ ਕੋਡ

 

processCmd ਫੰਕਸ਼ਨ ਵਿੱਚ, ਦੀ ਕੁੱਲ 14 ਕਮਾਂਡਾਂ ਦਾ ਜਵਾਬ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਸੰਬੰਧਿਤ DDOS ਹਮਲੇ ਸ਼ੁਰੂ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਸਮੇਤ: "HTTP", "CUDP ਐਕਸਟੈਂਸ਼ਨ", "UDP", "ਐਸ.ਟੀ.ਡੀ", "ਜੇ.ਐਸ.ਸੀ", "ਟੀ.ਸੀ.ਪੀ", "SYN" , "ਏ.ਸੀ.ਕੇ", "CXMAS", "XMAS", "CVSE", "ਸਭ ਕੁਝ", "ਸੀ.ਐਨ.ਸੀ", "ਨਿਗਾ"

command screenshot - IoT security
ਕਮਾਂਡ ਸਕਰੀਨਸ਼ਾਟ - IoT ਸੁਰੱਖਿਆ

 

ਉਨ੍ਹਾਂ ਦੇ ਵਿੱਚ, CUDP, UDP, ਜੇ.ਐਸ.ਸੀ, ਅਤੇ TCP ਮੋਡੀਊਲ ਸਾਰੇ ਨਿਰਧਾਰਿਤ IP ਅਤੇ ਪੋਰਟ 'ਤੇ ਬੇਤਰਤੀਬ ਸਤਰ ਭੇਜ ਸਕਦੇ ਹਨ, ਅਤੇ ਸਰੋਤ IP ਐਡਰੈੱਸ ਨੂੰ ਲੁਕਾਉਣ ਲਈ ਸਵੈ-ਨਿਰਮਿਤ IP ਸਿਰਲੇਖਾਂ ਦੁਆਰਾ TCP ਅਤੇ UDP ਪੈਕੇਟਾਂ ਦਾ ਪੁਨਰਗਠਨ ਕਰ ਸਕਦਾ ਹੈ.

 

message structure
ਸੁਨੇਹਾ ਬਣਤਰ

 

ਅਗੇਤਰ C ਨੂੰ ਕਸਟਮ ਦਾ ਸੰਖੇਪ ਰੂਪ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ. CUDP ਅਤੇ UDP ਨੂੰ ਉਦਾਹਰਣ ਵਜੋਂ ਲੈਣਾ, Gafgyt ਦੇ ਅਸਲ ਸੰਸਕਰਣ ਵਿੱਚ, ਜਾਰੀ ਕੀਤੀ ਕਮਾਂਡ ਵਿੱਚ ਪੈਰਾਮੀਟਰ ਸ਼ਾਮਲ ਹਨ: ਆਈਪੀ, ਪੋਰਟ, ਸਮਾਂ, ਧੋਖਾ ਕੀਤਾ, ਪੈਕੇਟ ਦਾ ਆਕਾਰ, pollinterval ਅਤੇ ਹੋਰ ਫੀਲਡ ਮੁੱਲ ਅਤੇ ਫਲੈਗ ਬਿੱਟ UDP ਪੈਕੇਟ ਦੇ ਨਿਰਮਾਣ ਲਈ. ਇਸ ਨਮੂਨੇ ਵਿੱਚ, ਹਾਲਾਂਕਿ, ਦੇਖੇ ਗਏ ਨਤੀਜੇ ਦਰਸਾਉਂਦੇ ਹਨ ਕਿ ਇਹ ਇਹਨਾਂ ਮਾਪਦੰਡਾਂ ਨੂੰ ਪਾਬੰਦੀ ਦੀਆਂ ਵੱਖ-ਵੱਖ ਡਿਗਰੀਆਂ ਲਈ ਲਾਗੂ ਕਰਨਾ ਹੈ, ਜੋ ਕਿ ਖਾਸ ਕਿਸਮ ਦੇ DDOS ਹਮਲਿਆਂ ਦੀ ਲਚਕਤਾ ਨੂੰ ਵਧਾ ਸਕਦਾ ਹੈ.

CUDP ਅਤੇ UDP ਦੀ ਤੁਲਨਾ

ਹੋਰ ਮੋਡੀਊਲਾਂ ਦੇ ਫੰਕਸ਼ਨਾਂ ਵਿੱਚ ਵੱਡੀ ਗਿਣਤੀ ਵਿੱਚ ਉਪਭੋਗਤਾ-ਏਜੰਟ ਸਤਰ ਸ਼ਾਮਲ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ, ਜੋ ਕਿ CC ਹਮਲਿਆਂ ਲਈ HTTP ਕਮਾਂਡਾਂ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਵਰਤੇ ਜਾਂਦੇ ਹਨ:

ਸੀਸੀ ਹਮਲਾ

ਵਾਲਵ ਦੇ ਸਰੋਤ ਇੰਜਨ ਸਰਵਰਾਂ ਦੇ ਵਿਰੁੱਧ ਹਮਲਿਆਂ ਲਈ ਸ਼ਾਮਲ ਕੀਤਾ ਗਿਆ ਹੈ: ("ਸਰੋਤ ਇੰਜਣ" ਸਵਾਲ ਗਾਹਕਾਂ ਅਤੇ ਵਿਚਕਾਰ ਰੋਜ਼ਾਨਾ ਸੰਚਾਰ ਦਾ ਹਿੱਸਾ ਹਨ ਖੇਡ ਸਰਵਰ ਵਾਲਵ ਸਾਫਟਵੇਅਰ ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ)

ਗੇਮਿੰਗ ਉਦਯੋਗ ਦੇ ਖਿਲਾਫ ਹਮਲੇ

CNC ਕਮਾਂਡਾਂ ਸਮੇਤ ਜੋ ਕਨੈਕਸ਼ਨ IP ਨੂੰ ਬਦਲ ਸਕਦੇ ਹਨ:

ਸਵਿੱਚ ਕੁਨੈਕਸ਼ਨ IP

SYN ਅਤੇ ACK ਹਮਲੇ ਸ਼ਾਮਲ ਹਨ:

SYN ਅਤੇ ACK ਹਮਲੇ

UDP STD ਹੜ੍ਹ ਹਮਲਿਆਂ ਸਮੇਤ:

STD ਹਮਲਾ

XMAS ਹਮਲੇ ਸਮੇਤ: (ਜੋ ਕਿ ਹੈ, ਕ੍ਰਿਸਮਸ ਟ੍ਰੀ ਹਮਲਾ, TCP ਦੇ ਸਾਰੇ ਫਲੈਗ ਬਿਟਸ ਨੂੰ ਸੈੱਟ ਕਰਕੇ 1, ਇਸ ਤਰ੍ਹਾਂ ਟਾਰਗੇਟ ਸਿਸਟਮ ਦੇ ਵਧੇਰੇ ਜਵਾਬ ਪ੍ਰੋਸੈਸਿੰਗ ਸਰੋਤਾਂ ਦੀ ਖਪਤ ਹੁੰਦੀ ਹੈ)

XMAS ਹਮਲਾ

NIGGA ਮੋਡੀਊਲ ਅਸਲੀ ਸੰਸਕਰਣ ਵਿੱਚ KILLATTK ਕਮਾਂਡ ਦੇ ਬਰਾਬਰ ਹੈ, ਜੋ ਮੁੱਖ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਛੱਡ ਕੇ ਸਾਰੀਆਂ ਬਾਲ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਖਤਮ ਕਰਕੇ DoSS ਹਮਲਿਆਂ ਨੂੰ ਰੋਕਦਾ ਹੈ

NIGGA ਮੋਡੀਊਲ

ਤੁਲਨਾਤਮਕ ਵਿਸ਼ਲੇਸ਼ਣ
ਫੰਕਸ਼ਨ processCmd ਜੋ ਸਰੋਤ ਕੋਡ ਵਿੱਚ ਮੁੱਖ ਤਰਕ ਨੂੰ ਸਟੋਰ ਕਰਦਾ ਹੈ ਵਿੱਚ PING ਸ਼ਾਮਲ ਹੈ, ਗੇਟਲੋਕਲਿਪ, ਸਕੈਨਰ, ਈ - ਮੇਲ, ਜੰਕ, UDP, ਟੀ.ਸੀ.ਪੀ, ਹੋਲਡ, KILLATTK, ਅਤੇ LOLNOGTFO ਮੋਡੀਊਲ. ਇਸ ਵਾਰ ਕੈਪਚਰ ਕੀਤੇ ਵੇਰੀਐਂਟ ਸ਼ੋਸ਼ਣ ਵਿੱਚ UDP ਅਤੇ TCP ਮੋਡੀਊਲ ਦੇ ਸਿਰਫ਼ ਸਰਲ ਵਰਜਨ ਹੀ ਮੌਜੂਦ ਹਨ. .

ਅਤੇ ਸਥਾਨਕ ਆਈਪੀ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਕਾਰਵਾਈ ਵਿੱਚ, ਅਸਲ ਸੰਸਕਰਣ /proc/net/route ਦੁਆਰਾ ਸਥਾਨਕ IP ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ GETLOCALIP ਮੋਡੀਊਲ ਦੁਆਰਾ ਵਾਪਸ ਕਰਦਾ ਹੈ. ਇਸ ਵੇਰੀਐਂਟ ਵਿੱਚ ਵੀ ਇਹੀ ਗੇਟ ਆਪਰੇਸ਼ਨ ਦੇਖਿਆ ਗਿਆ ਹੈ, ਪਰ ਕੋਈ GETLOCALIP ਮੋਡੀਊਲ ਨਹੀਂ ਹੈ ਅਤੇ ਕੋਈ ਹਵਾਲਾ ਨਹੀਂ ਦੇਖਿਆ ਗਿਆ ਹੈ.

ਸਥਾਨਕ IP ਪ੍ਰਾਪਤ ਕਰੋ

ਇਹ ਧਿਆਨ ਦੇਣ ਯੋਗ ਹੈ ਕਿ SSH ਨੂੰ ਬਲਾਸਟ ਕਰਨ ਲਈ ਵਰਤੇ ਗਏ SCANNER ਮੋਡੀਊਲ ਦਾ ਕੋਈ ਅਸਲੀ ਸੰਸਕਰਣ ਨਹੀਂ ਹੈ। (ਪੋਰਟ 22) ਇਸ ਕਿਸਮ ਦੇ ਨਮੂਨੇ ਵਿੱਚ, ਅਤੇ ਇੱਥੇ ਕੋਈ ਹੋਰ ਰੂਪ ਨਹੀਂ ਹਨ ਜੋ ਮਲਟੀਪਲ ਏਮਬੇਡ ਕਰਦੇ ਹਨ "ਐਪਲੀਕੇਸ਼ਨ/ਡਿਵਾਈਸ" ਪੇਲੋਡ ਰਾਹੀਂ ਫੈਲਣ ਲਈ ਕਮਜ਼ੋਰੀਆਂ. ਇਹ ਦੇਖਿਆ ਜਾ ਸਕਦਾ ਹੈ ਕਿ ਹਮਲਾਵਰ ਪ੍ਰਸਾਰ ਮੋਡੀਊਲ ਨੂੰ ਸੁਤੰਤਰ ਪ੍ਰੋਗਰਾਮਾਂ ਵਿੱਚ ਵੰਡਦਾ ਹੈ, ਅਤੇ ਪੀੜਤ ਹੋਸਟ ਵਿੱਚ ਸਫਲਤਾਪੂਰਵਕ ਲੌਗਇਨ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਉਹ ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਲਾਗੂ ਕਰਕੇ ਅਗਲੇ ਪੜਾਅ ਲਈ ਸੰਚਾਰ ਨਮੂਨੇ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰੇਗਾ, ਜੋ ਕਿ ਹੈ, ਵਿਸ਼ਲੇਸ਼ਣ ਦਾ ਨਮੂਨਾ.

ਸ਼ੈੱਲਕੋਡ ਉਦਾਹਰਨ ਚਲਾਓ

ਉਦਾਹਰਨ ਦੇ ਤੌਰ 'ਤੇ ਉਸੇ ਸਰੋਤ ਤੋਂ ਪ੍ਰਾਪਤ ਕੀਤੇ ਨਮੂਨਿਆਂ ਨੂੰ ਲੈਣਾ, ਹਮਲਾਵਰ ਨੇ ਜ਼ਿਆਦਾਤਰ ਨਮੂਨਿਆਂ ਲਈ ਡੀਬੱਗਿੰਗ ਜਾਣਕਾਰੀ ਨੂੰ ਹਟਾ ਦਿੱਤਾ, ਕੁਝ ਨੂੰ ਛੱਡ ਕੇ, ਜਿਵੇ ਕੀ: x86.

ਆਪਣਾ ਪਿਆਰ ਸਾਂਝਾ ਕਰੋ

ਸੰਬੰਧਿਤ ਪੋਸਟ

ਕੋਈ ਜਵਾਬ ਛੱਡਣਾ

ਤੁਹਾਡਾ ਈਮੇਲ ਪਤਾ ਪ੍ਰਕਾਸ਼ਿਤ ਨਹੀਂ ਕੀਤਾ ਜਾਵੇਗਾ. ਲੋੜੀਂਦੇ ਖੇਤਰਾਂ ਨੂੰ ਚਿੰਨ੍ਹਿਤ ਕੀਤਾ ਗਿਆ ਹੈ *