اي ميل: anwenqq2690502116@gmail.com

ٽينڊر ڳولڻ ۽ مارڻ

شين جي انٽرنيٽ تي مقصد, جو هڪ نئون قسم "گفٽ" ٽرجن ظاهر ٿئي ٿو

شين جي انٽرنيٽ تي مقصد, جو هڪ نئون قسم "گفٽ" ٽرجن ظاهر ٿئي ٿو. تازو, هوورونگ سيڪيورٽي ليب هڪ وائرس جي مداخلت جو واقعو دريافت ڪيو, جنهن جي تحقيق ۽ تجزيي کان پوءِ گفگيٽ ٽروجن وائرس جي نئين قسم جي تصديق ڪئي وئي.

شين جي انٽرنيٽ تي مقصد, جو هڪ نئون قسم "گفٽ" ٽرجن ظاهر ٿئي ٿو

تازو, هوورونگ سيڪيورٽي ليب هڪ وائرس جي مداخلت جو واقعو دريافت ڪيو, جنهن جي تحقيق ۽ تجزيي کان پوءِ گفگيٽ ٽروجن وائرس جي نئين قسم جي تصديق ڪئي وئي.

Gafgyt هڪ IoT botnet پروگرام آهي جيڪو IRC پروٽوڪول تي ٻڌل آهي, جيڪو خاص طور تي لينڪس جي بنياد تي متاثر ڪري ٿو IoT ڊوائيسز سروس حملن جي تقسيم رد ڪرڻ شروع ڪرڻ لاء (DDoS). اهو سڀ کان وڏو فعال IoT botnet خاندان آهي ميرائي خاندان کان سواء.

ان کان پوءِ ان جو سورس ڪوڊ لڪي ويو ۽ GitHub ۾ اپ لوڊ ڪيو ويو 2015, مختلف قسم جا ڪارناما ۽ ڪارناما هڪ ٻئي پٺيان سامهون آيا, صارفين لاء هڪ وڏو سيڪيورٽي خطرو پيدا ڪري ٿو. في الحال, هورونگ سيڪيورٽي پراڊڪٽس مٿي بيان ڪيل وائرس کي روڪي ۽ ماري سگهن ٿيون. انٽرپرائز استعمال ڪندڙن کي گذارش آهي ته حفاظت لاءِ وقت ۾ وائرس ڊيٽابيس کي اپڊيٽ ڪن.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. نموني جو تجزيو
وائرس پهريون ڀيرو پنهنجي عمل کي تبديل ڪري ٿو "/usr/sbin/dropbear" يا "sshd" پاڻ کي لڪائڻ لاء:

process rename
عمل جو نالو تبديل ڪرڻ

انهن مان, مرڪوز ٿيل تار ملي ٿو, ۽ ڊيڪرپشن الگورٿم 0xDEDEFFBA جو بائيٽ XOR آهي. جڏهن استعمال ڪيو, صرف استعمال ٿيل آھن انفرادي طور تي ڊريڪٽ ٿيل آھن, پر صرف 4 اصل ۾ حوالو ڏنو ويو آهي:

Encrypted string and decryption algorithm
انڪرپٽ ٿيل اسٽرنگ ۽ ڊيڪرپشن الگورٿم

 

پهريون حوالو صرف اسڪرين تي لاڳاپيل اسٽرنگ کي ڪڍڻ لاء آهي, ۽ وچين ٻه حوالا واچ ڊاگ جي عمل تي آپريشن آهن ته جيئن ڊوائيس ٻيهر شروع ٿيڻ جي ڪري ڪنٽرول وڃائڻ کان بچڻ لاءِ:

decrypt and quote

ڊيڪرپٽ ۽ اقتباس

 

باقي آپريشن هڪ لوپ ۾ ڪيا ويا آهن, C2 ڪنيڪشن شروع ڪرڻ سميت (94.156.161.21:671), پليٽ فارم ڊوائيس جو قسم موڪلڻ, واپسي جو حڪم حاصل ڪرڻ ۽ لاڳاپيل ماڊل آپريشن کي انجام ڏيڻ. ۽ گفگي طرفان ليڪ ڪيل سورس ڪوڊ سان مقابلو ڪيو ويو, حڪم جي فارميٽ ۽ پروسيسنگ گهڻو تبديل نه ڪيو آهي, ۽ حڪم جي شڪل اڃا تائين آهي "!*حڪم [پيرا ميٽر]"

loop operation code

لوپ آپريشن ڪوڊ

 

پروسيس ۾ Cmd فنڪشن, مجموعي جو 14 حڪمن جو جواب ڏنو ويو آهي ۽ لاڳاپيل DDOS حملا شروع ڪيا ويا آهن, سميت: "HTTP", "CUDP توسيع", "يو ڊي پي", "ايس ٽي ڊي", "جي ايس سي", "ٽي سي پي", "SYN" , "ACK", "CXMAS", "ايڪس ايم ايس", "CVSE", "سڀ ڪجھ", "سي اين سي", "نينگا"

command screenshot - IoT security
حڪم اسڪرين شاٽ - IoT سيڪيورٽي

 

انهن مان, CUDP, يو ڊي پي, جي ايس سي, ۽ TCP ماڊيول سڀ موڪلي سگھن ٿا بي ترتيب اسٽرنگ کي مخصوص IP ۽ پورٽ ڏانھن, ۽ ماخذ IP پتي کي لڪائڻ لاءِ خود تعمير ٿيل IP هيڊرز ذريعي TCP ۽ UDP پيڪن کي ٻيهر ٺاهي سگھي ٿو.

 

message structure
پيغام جي جوڙجڪ

 

اڳياڙي C جو اندازو لڳايو ويو آهي رواج جو مخفف. مثال طور CUDP ۽ UDP کڻڻ, Gafgyt جي اصل نسخي ۾, جاري ڪيل حڪم ۾ پيراگراف شامل آهن: ip, بندرگاهه, وقت, ٺڳي ڪيل, packetsize, pollinterval ۽ ٻيا فيلڊ قدر ۽ پرچم بٽ UDP پيڪٽ جي تعمير لاء. هن نموني ۾, تنهن هوندي به, مشاهدو ڪيل نتيجن مان ظاهر ٿئي ٿو ته اهو انهن پيرا ميٽرز جي پابندي جي مختلف درجي تي لاڳو ٿئي ٿو, جيڪو خاص قسم جي DDOS حملن جي لچڪ کي وڌائي سگھي ٿو.

CUDP ۽ UDP جو مقابلو

ٻين ماڊلز جي ڪمن ۾ شامل ڪرڻ شامل آھي وڏي تعداد ۾ استعمال ڪندڙ-ايجنٽ اسٽرنگ, جيڪي سي سي حملن لاءِ HTTP حڪمن کي لانچ ڪرڻ لاءِ استعمال ٿين ٿيون:

سي سي حملو

والو جي سورس انجڻ سرورز جي خلاف حملن لاءِ شامل: ("ذريعو انجڻ" سوالن ۽ گراهڪن جي وچ ۾ روزاني رابطي جو حصو آهن راند سرور والو سافٽ ويئر پروٽوڪول استعمال ڪندي)

گیمنگ انڊسٽري جي خلاف حملا

سي اين سي حڪمن سميت جيڪي ڪنيڪشن IP کي تبديل ڪري سگھن ٿا:

سوئچ ڪنيڪشن IP

SYN ۽ ACK حملا شامل آهن:

SYN ۽ ACK حملا

UDP STD سيلاب حملن سميت:

STD حملو

XMAS حملي سميت: (اهو آهي, ڪرسمس وڻ جو حملو, TCP جي سڀني پرچم بٽ کي ترتيب ڏيڻ سان 1, اهڙيء طرح ٽارگيٽ سسٽم جي وڌيڪ ردعمل پروسيسنگ وسيلن کي استعمال ڪندي)

XMAS حملو

NIGGA ماڊل اصل نسخي ۾ KILLATTK حڪم جي برابر آهي, جيڪو DoSS حملن کي روڪي ٿو سڀني ٻارن جي عملن کي مارڻ کان سواءِ مکيه عمل

NIGGA ماڊل

تقابلي تجزيو
فنڪشن پروسيس سي ايم ڊي جيڪو مکيه منطق کي ماخذ ڪوڊ ۾ محفوظ ڪري ٿو PING شامل آهي, GETLOCALIP, اسڪينر, اي ميل, جهرڪ, يو ڊي پي, ٽي سي پي, رکو, KILLATTK, ۽ LOLNOGTFO ماڊلز. يو ڊي پي ۽ ٽي سي پي ماڊلز جا صرف آسان نسخا هن وقت قبضو ڪيل مختلف استحصال ۾ گڏ آهن. .

۽ مقامي IP حاصل ڪرڻ جي آپريشن ۾, اصل ورزن مقامي IP حاصل ڪري ٿو /proc/net/route ذريعي ۽ ان کي واپس ڪري ٿو GETLOCALIP ماڊل ذريعي. ساڳيو حاصل آپريشن هن قسم ۾ مشاهدو ڪيو ويو آهي, پر ڪو به GETLOCALIP ماڊل ناهي ۽ ڪوبه حوالو نه ڏٺو ويو آهي.

مقامي IP حاصل ڪريو

اهو نوٽ ڪرڻ جي قابل آهي ته SSH کي ڌماڪي ڪرڻ لاء استعمال ٿيل اسڪينر ماڊل جو ڪو به اصل نسخو ناهي. (بندرگاهه 22) هن قسم جي نموني ۾, ۽ ٻيا ڪي به قسم نه آھن جيڪي گھڻن کي شامل ڪن "ايپليڪيشنون/ڊوائيس" پائيلوڊ ذريعي پکڙجڻ جا خطرا. اهو ڏسي سگھجي ٿو ته حملو ڪندڙ پروپيگنڊا ماڊل کي آزاد پروگرامن ۾ ورهائي ٿو, ۽ قرباني جي ميزبان ۾ ڪاميابي سان لاگ ان ٿيڻ کان پوء, هو شيل ڪوڊ تي عمل ڪندي ايندڙ اسٽيج لاءِ رابطي جو نمونو ڊائون لوڊ ڪندو, اهو آهي, تجزيو جو نمونو.

شيل ڪوڊ جو مثال عمل ڪريو

مثال طور ساڳئي ذريعن مان حاصل ڪيل نمونن کي کڻڻ, حملي آور ڪيترن ئي نمونن جي ڊيبگنگ معلومات کي ختم ڪري ڇڏيو, ٿورن کان سواء, جيئن ته: x86.

پنهنجو پيار ورهايو

لاڳاپيل پوسٽون

جواب ڇڏي وڃو

توهان جو اي ميل پتو شايع نه ڪيو ويندو. گهربل فيلڊ نشان لڳل آهن *