Нацеленность на Интернет вещей, новый вариант "Гафгыта"" Появляется троян

Нацеленность на Интернет вещей, новый вариант "Гаффит" Появляется троян

Нацеленность на Интернет вещей, новый вариант "Гаффит" Появляется троян. Недавно, Лаборатория безопасности Huorong обнаружила инцидент с вирусным проникновением, после расследования и анализа было подтверждено, что это новый вариант трояна Gafgyt..

Нацеленность на Интернет вещей, новый вариант "Гаффит" Появляется троян

Недавно, Лаборатория безопасности Huorong обнаружила инцидент с вирусным проникновением, после расследования и анализа было подтверждено, что это новый вариант трояна Gafgyt..

Gafgyt — программа-ботнет IoT, основанная на протоколе IRC., который в основном заражает Linux-системы IoT-устройства для запуска распределенных атак типа «отказ в обслуживании» (DDoS-атаки). Это крупнейшее активное семейство IoT-ботнетов, кроме семейства Mirai..

После того, как его исходный код был опубликован и загружен на GitHub в 2015, различные варианты и эксплойты появлялись один за другим, создавая большую угрозу безопасности для пользователей. В настоящий момент, Продукты безопасности Huorong могут перехватывать и уничтожать вышеупомянутые вирусы.. Корпоративным пользователям предлагается своевременно обновлять вирусную базу данных для обеспечения защиты..

1. Анализ проб
Вирус сначала переименовывает свой процесс в "/usr/sbin/dropbear" или "sshd" спрятаться:

переименование процесса

Среди них, зашифрованная строка найдена, а алгоритм дешифрования — это байтовое исключающее ИЛИ 0xDEDEFFBA.. При использовании, только использованные расшифровываются индивидуально, но только 4 на самом деле ссылаются:

Зашифрованная строка и алгоритм дешифрования

Первая ссылка предназначена только для вывода соответствующей строки на экран., а две средние ссылки — это операции над сторожевым процессом, позволяющие избежать потери управления из-за перезапуска устройства.:

расшифровать и процитировать

Остальные операции выполняются в цикле, включая инициализацию соединения C2 (94.156.161.21:671), отправка типа устройства платформы, получение команды возврата и выполнение соответствующей операции модуля. И по сравнению с исходным кодом, опубликованным Гафги., формат и обработка команды не сильно изменились, и формат команды все еще "!*Команда [Параметр]"

код операции цикла

В функцииprocessCmd, Всего 14 на команды реагируют и запускаются соответствующие DDOS-атаки, включая: "HTTP", "Расширение CUDP", "UDP", "СТД", "АО", "TCP", "СИН" , "ПОДТВЕРЖДЕНИЕ", "Рождество", "Рождество", "CVSE", "ВСЕ", "ЧПУ", "НИГГА"

скриншот команды - Безопасность Интернета вещей

Среди них, CUDP, UDP, АО, и модули TCP могут отправлять случайные строки на указанный IP-адрес и порт., и может реконструировать пакеты TCP и UDP с помощью самостоятельно созданных IP-заголовков, чтобы скрыть исходный IP-адрес..

структура сообщения

Предполагается, что префикс C является аббревиатурой обычая.. Взяв CUDP и UDP в качестве примеров, в оригинальной версии Гафгыта, параметры в выданной команде включают: IP, порт, время, подделанный, размер пакета, pollinterval и другие значения полей и биты флагов. Для построения пакетов UDP.. В этом образце, однако, наблюдаемые результаты показывают, что именно применение этих параметров с разной степенью ограничения, которые могут повысить гибкость конкретных типов DDOS-атак..

Сравнение CUDP и UDP

В функции других модулей входит добавление большого количества строк User-Agent., которые используются для запуска HTTP-команд для атак CC:

CC-атака

Включено для атак на серверы Valve Source Engine.: ("Исходный движок" запросы являются частью ежедневного общения между клиентами и игровые серверы с использованием протокола программного обеспечения Valve)

Атаки на игровую индустрию

Включая команды ЧПУ, которые могут переключать IP-адрес соединения.:

IP-адрес переключения соединения

Включает атаки SYN и ACK.:

Атаки SYN и ACK

Включая флуд-атаки UDP STD.:

ЗППП атака

Включая рождественскую атаку: (то есть, нападение на рождественскую елку, установив все биты флагов TCP в 1, тем самым потребляя больше ресурсов обработки ответов целевой системы)

Рождественская атака

Модуль NIGGA эквивалентен команде KILLATTK в исходной версии., который останавливает DoSS-атаки, убивая все дочерние процессы, кроме основного процесса.

модуль НИГГА

Сравнительный анализ
ФункцияprocessCmd, хранящая основную логику в исходном коде, включает PING., ГЕТЛОКАЛИП, СКАНЕР, ЭЛЕКТРОННАЯ ПОЧТА, ХЛАМ, UDP, TCP, ДЕРЖАТЬ, КИЛЛАТТК, и модули ЛОЛНОГТФО. В варианте эксплойта, зафиксированном на этот раз, сосуществуют только упрощенные версии модулей UDP и TCP.. .

И в операции получения локального IP, исходная версия получает локальный IP-адрес через /proc/net/route и возвращает его через модуль GETLOCALIP. В этом варианте наблюдается та же операция get., но модуля GETLOCALIP нет и ссылок не наблюдается.

Получить локальный IP

Стоит отметить, что оригинальной версии модуля SCANNER, используемого для взлома SSH, не существует. (порт 22) в этом типе выборки, и нет других вариантов, включающих несколько "приложения/устройство" уязвимости для распространения через полезную нагрузку. Видно, что злоумышленник разбивает модуль распространения на независимые программы., и после успешного входа на хост-жертву, он загрузит образец сообщения для следующего этапа, выполнив шеллкод, то есть, образец анализа.

Выполнить пример шеллкода

В качестве примера взяты образцы, полученные из одного и того же источника., злоумышленник удалил отладочную информацию для большинства образцов, за исключением нескольких, такой как: х86.