Vizând Internetul lucrurilor, o nouă variantă a „Gafgyt" Apare troianul

Vizând Internetul lucrurilor, o nouă variantă a "Gaffyt" Apare troianul

Vizând Internetul lucrurilor, o nouă variantă a "Gaffyt" Apare troianul. Recent, Huorong Security Lab a descoperit un incident de intruziune a virusului, care s-a confirmat a fi o nouă variantă a virusului troian Gafgyt după investigații și analize.

Vizând Internetul lucrurilor, o nouă variantă a "Gaffyt" Apare troianul

Recent, Huorong Security Lab a descoperit un incident de intruziune a virusului, care s-a confirmat a fi o nouă variantă a virusului troian Gafgyt după investigații și analize.

Gafgyt este un program botnet IoT bazat pe protocolul IRC, care infectează în principal bazate pe Linux Dispozitive IoT pentru a lansa atacuri distribuite de refuz de serviciu (DDoS). Este cea mai mare familie de botnet IoT activă, cu excepția familiei Mirai.

După ce codul său sursă a fost scurs și încărcat în GitHub în 2015, diverse variante și exploatații au apărut una după alta, reprezentând o amenințare mai mare de securitate pentru utilizatori. În prezent, Produsele de securitate Huorong pot intercepta și ucide virușii menționați mai sus. Utilizatorii întreprinderilor sunt rugați să actualizeze baza de date cu viruși la timp pentru apărare.

1. Analiza probei
Virusul își redenumește mai întâi propriul proces în "/usr/sbin/dropbear" sau "sshd" să se ascundă:

redenumirea procesului

Printre ei, se găsește șirul criptat, iar algoritmul de decriptare este octetul XOR al lui 0xDEDEFFBA. Când este folosit, doar cele folosite sunt decriptate individual, doar daca 4 sunt de fapt referite:

Șir criptat și algoritm de decriptare

Prima referință este doar pentru a scoate șirul corespunzător pe ecran, iar cele două referințe din mijloc sunt operațiuni ale procesului de supraveghere pentru a evita pierderea controlului din cauza repornirii dispozitivului:

decriptați și citați

Operațiunile rămase sunt efectuate într-o buclă, inclusiv inițializarea conexiunii C2 (94.156.161.21:671), trimiterea tipului de dispozitiv al platformei, primirea comenzii de returnare și executarea operației de modul corespunzătoare. Și în comparație cu codul sursă scurs de Gafgy, formatul și procesarea comenzii nu s-au schimbat prea mult, iar formatul comenzii este încă "!*Comanda [Parametru]"

codul de operare în buclă

În funcția processCmd, un total de 14 se răspunde la comenzi și se lansează atacurile DDOS corespunzătoare, inclusiv: "HTTP", "Extensie CUDP", "UDP", "STD", "SA", "TCP", "SYN" , "ACK", "CXMAS", "CRĂCIUN", "CVSE", "TOT", "CNC", "NIGGA"

captură de ecran de comandă - Securitate IoT

Printre ei, CUDP, UDP, SA, și modulele TCP pot trimite toate șiruri aleatorii către IP-ul și portul specificat, și poate reconstrui pachetele TCP și UDP prin anteturi IP auto-construite pentru a ascunde adresa IP sursă.

structura mesajului

Se presupune că prefixul C este abrevierea obiceiului. Luând ca exemple CUDP și UDP, în versiunea originală a lui Gafgyt, parametrii din comanda emisă includ: ip, port, timp, falsificat, dimensiunea pachetelor, pollinterval și alte valori de câmp și biți flag Pentru construirea pachetelor UDP. În această probă, in orice caz, rezultatele observate arată că este vorba de aplicarea acestor parametri la diferite grade de restricție, care poate spori flexibilitatea unor tipuri specifice de atacuri DDOS.

Comparație între CUDP și UDP

Funcțiile altor module includ adăugarea unui număr mare de șiruri User-Agent, care sunt folosite pentru a lansa comenzi HTTP pentru atacurile CC:

Atacul CC

Inclus pentru atacurile împotriva serverelor Valve Source Engine: ("Motor sursă" interogările fac parte din comunicarea zilnică dintre clienți și servere de jocuri folosind protocolul software Valve)

Atacurile împotriva industriei jocurilor de noroc

Inclusiv comenzi CNC care pot comuta IP-ul conexiunii:

comutați IP conexiune

Include atacuri SYN și ACK:

Atacurile SYN și ACK

Inclusiv atacurile de inundații UDP STD:

Atacul cu BTS

Inclusiv atacul de XMAS: (acesta este, Atacul pomului de Crăciun, setând toți biții de steag ai TCP la 1, consumând astfel mai multe resurse de procesare a răspunsului ale sistemului țintă)

Atacul de Crăciun

Modulul NIGGA este echivalent cu comanda KILLATTK din versiunea originală, care oprește atacurile DoSS prin uciderea tuturor proceselor copil, cu excepția procesului principal

Modulul NIGGA

Analiza comparativa
Funcția processCmd care stochează logica principală în codul sursă include PING, GETLOCALIP, SCANNER, E-MAIL, DEȘEURI, UDP, TCP, ȚINE, KILLATTK, și modulele LOLNOGTFO. Doar versiunile simplificate ale modulelor UDP și TCP coexistă în varianta exploit capturată de data aceasta. .

Și în operațiunea de obținere a IP-ului local, versiunea originală obține IP-ul local prin /proc/net/route și îl returnează prin modulul GETLOCALIP. Aceeași operație get se observă în această variantă, dar nu există un modul GETLOCALIP și nu se observă referințe.

Obțineți IP local

Este demn de remarcat faptul că nu există o versiune originală a modulului SCANNER utilizat pentru a exploda SSH (port 22) în acest tip de probă, și nu există alte variante care încorporează multiple "aplicații/dispozitiv" vulnerabilități să se răspândească prin Payload. Se poate observa că atacatorul împarte modulul de propagare în programe independente, și după conectarea cu succes la gazda victimei, el va descărca eșantionul de comunicare pentru etapa următoare executând codul shell, acesta este, proba de analiză.

Executați exemplu de cod shell

Luând ca exemplu probele obținute din aceeași sursă, atacatorul a eliminat informațiile de depanare pentru majoritatea mostrelor, cu excepția câtorva, ca: x86.