اي ميل: anwenqq2690502116@gmail.com
شين جي انٽرنيٽ تي مقصد, جو هڪ نئون قسم "گفٽ" ٽرجن ظاهر ٿئي ٿو
تازو, هوورونگ سيڪيورٽي ليب هڪ وائرس جي مداخلت جو واقعو دريافت ڪيو, جنهن جي تحقيق ۽ تجزيي کان پوءِ گفگيٽ ٽروجن وائرس جي نئين قسم جي تصديق ڪئي وئي.
Gafgyt هڪ IoT botnet پروگرام آهي جيڪو IRC پروٽوڪول تي ٻڌل آهي, جيڪو خاص طور تي لينڪس جي بنياد تي متاثر ڪري ٿو IoT ڊوائيسز سروس حملن جي تقسيم رد ڪرڻ شروع ڪرڻ لاء (DDoS). اهو سڀ کان وڏو فعال IoT botnet خاندان آهي ميرائي خاندان کان سواء.
ان کان پوءِ ان جو سورس ڪوڊ لڪي ويو ۽ GitHub ۾ اپ لوڊ ڪيو ويو 2015, مختلف قسم جا ڪارناما ۽ ڪارناما هڪ ٻئي پٺيان سامهون آيا, صارفين لاء هڪ وڏو سيڪيورٽي خطرو پيدا ڪري ٿو. في الحال, هورونگ سيڪيورٽي پراڊڪٽس مٿي بيان ڪيل وائرس کي روڪي ۽ ماري سگهن ٿيون. انٽرپرائز استعمال ڪندڙن کي گذارش آهي ته حفاظت لاءِ وقت ۾ وائرس ڊيٽابيس کي اپڊيٽ ڪن.
1. نموني جو تجزيو
وائرس پهريون ڀيرو پنهنجي عمل کي تبديل ڪري ٿو "/usr/sbin/dropbear" يا "sshd" پاڻ کي لڪائڻ لاء:
عمل جو نالو تبديل ڪرڻ
انهن مان, مرڪوز ٿيل تار ملي ٿو, ۽ ڊيڪرپشن الگورٿم 0xDEDEFFBA جو بائيٽ XOR آهي. جڏهن استعمال ڪيو, صرف استعمال ٿيل آھن انفرادي طور تي ڊريڪٽ ٿيل آھن, پر صرف 4 اصل ۾ حوالو ڏنو ويو آهي:
انڪرپٽ ٿيل اسٽرنگ ۽ ڊيڪرپشن الگورٿم
پهريون حوالو صرف اسڪرين تي لاڳاپيل اسٽرنگ کي ڪڍڻ لاء آهي, ۽ وچين ٻه حوالا واچ ڊاگ جي عمل تي آپريشن آهن ته جيئن ڊوائيس ٻيهر شروع ٿيڻ جي ڪري ڪنٽرول وڃائڻ کان بچڻ لاءِ:
ڊيڪرپٽ ۽ اقتباس
باقي آپريشن هڪ لوپ ۾ ڪيا ويا آهن, C2 ڪنيڪشن شروع ڪرڻ سميت (94.156.161.21:671), پليٽ فارم ڊوائيس جو قسم موڪلڻ, واپسي جو حڪم حاصل ڪرڻ ۽ لاڳاپيل ماڊل آپريشن کي انجام ڏيڻ. ۽ گفگي طرفان ليڪ ڪيل سورس ڪوڊ سان مقابلو ڪيو ويو, حڪم جي فارميٽ ۽ پروسيسنگ گهڻو تبديل نه ڪيو آهي, ۽ حڪم جي شڪل اڃا تائين آهي "!*حڪم [پيرا ميٽر]"
لوپ آپريشن ڪوڊ
پروسيس ۾ Cmd فنڪشن, مجموعي جو 14 حڪمن جو جواب ڏنو ويو آهي ۽ لاڳاپيل DDOS حملا شروع ڪيا ويا آهن, سميت: "HTTP", "CUDP توسيع", "يو ڊي پي", "ايس ٽي ڊي", "جي ايس سي", "ٽي سي پي", "SYN" , "ACK", "CXMAS", "ايڪس ايم ايس", "CVSE", "سڀ ڪجھ", "سي اين سي", "نينگا"
حڪم اسڪرين شاٽ - IoT سيڪيورٽي
انهن مان, CUDP, يو ڊي پي, جي ايس سي, ۽ TCP ماڊيول سڀ موڪلي سگھن ٿا بي ترتيب اسٽرنگ کي مخصوص IP ۽ پورٽ ڏانھن, ۽ ماخذ IP پتي کي لڪائڻ لاءِ خود تعمير ٿيل IP هيڊرز ذريعي TCP ۽ UDP پيڪن کي ٻيهر ٺاهي سگھي ٿو.
پيغام جي جوڙجڪ
اڳياڙي C جو اندازو لڳايو ويو آهي رواج جو مخفف. مثال طور CUDP ۽ UDP کڻڻ, Gafgyt جي اصل نسخي ۾, جاري ڪيل حڪم ۾ پيراگراف شامل آهن: ip, بندرگاهه, وقت, ٺڳي ڪيل, packetsize, pollinterval ۽ ٻيا فيلڊ قدر ۽ پرچم بٽ UDP پيڪٽ جي تعمير لاء. هن نموني ۾, تنهن هوندي به, مشاهدو ڪيل نتيجن مان ظاهر ٿئي ٿو ته اهو انهن پيرا ميٽرز جي پابندي جي مختلف درجي تي لاڳو ٿئي ٿو, جيڪو خاص قسم جي DDOS حملن جي لچڪ کي وڌائي سگھي ٿو.
CUDP ۽ UDP جو مقابلو
ٻين ماڊلز جي ڪمن ۾ شامل ڪرڻ شامل آھي وڏي تعداد ۾ استعمال ڪندڙ-ايجنٽ اسٽرنگ, جيڪي سي سي حملن لاءِ HTTP حڪمن کي لانچ ڪرڻ لاءِ استعمال ٿين ٿيون:
سي سي حملو
والو جي سورس انجڻ سرورز جي خلاف حملن لاءِ شامل: ("ذريعو انجڻ" سوالن ۽ گراهڪن جي وچ ۾ روزاني رابطي جو حصو آهن راند سرور والو سافٽ ويئر پروٽوڪول استعمال ڪندي)
گیمنگ انڊسٽري جي خلاف حملا
سي اين سي حڪمن سميت جيڪي ڪنيڪشن IP کي تبديل ڪري سگھن ٿا:
سوئچ ڪنيڪشن IP
SYN ۽ ACK حملا شامل آهن:
SYN ۽ ACK حملا
UDP STD سيلاب حملن سميت:
STD حملو
XMAS حملي سميت: (اهو آهي, ڪرسمس وڻ جو حملو, TCP جي سڀني پرچم بٽ کي ترتيب ڏيڻ سان 1, اهڙيء طرح ٽارگيٽ سسٽم جي وڌيڪ ردعمل پروسيسنگ وسيلن کي استعمال ڪندي)
XMAS حملو
NIGGA ماڊل اصل نسخي ۾ KILLATTK حڪم جي برابر آهي, جيڪو DoSS حملن کي روڪي ٿو سڀني ٻارن جي عملن کي مارڻ کان سواءِ مکيه عمل
NIGGA ماڊل
تقابلي تجزيو
فنڪشن پروسيس سي ايم ڊي جيڪو مکيه منطق کي ماخذ ڪوڊ ۾ محفوظ ڪري ٿو PING شامل آهي, GETLOCALIP, اسڪينر, اي ميل, جهرڪ, يو ڊي پي, ٽي سي پي, رکو, KILLATTK, ۽ LOLNOGTFO ماڊلز. يو ڊي پي ۽ ٽي سي پي ماڊلز جا صرف آسان نسخا هن وقت قبضو ڪيل مختلف استحصال ۾ گڏ آهن. .
۽ مقامي IP حاصل ڪرڻ جي آپريشن ۾, اصل ورزن مقامي IP حاصل ڪري ٿو /proc/net/route ذريعي ۽ ان کي واپس ڪري ٿو GETLOCALIP ماڊل ذريعي. ساڳيو حاصل آپريشن هن قسم ۾ مشاهدو ڪيو ويو آهي, پر ڪو به GETLOCALIP ماڊل ناهي ۽ ڪوبه حوالو نه ڏٺو ويو آهي.
مقامي IP حاصل ڪريو
اهو نوٽ ڪرڻ جي قابل آهي ته SSH کي ڌماڪي ڪرڻ لاء استعمال ٿيل اسڪينر ماڊل جو ڪو به اصل نسخو ناهي. (بندرگاهه 22) هن قسم جي نموني ۾, ۽ ٻيا ڪي به قسم نه آھن جيڪي گھڻن کي شامل ڪن "ايپليڪيشنون/ڊوائيس" پائيلوڊ ذريعي پکڙجڻ جا خطرا. اهو ڏسي سگھجي ٿو ته حملو ڪندڙ پروپيگنڊا ماڊل کي آزاد پروگرامن ۾ ورهائي ٿو, ۽ قرباني جي ميزبان ۾ ڪاميابي سان لاگ ان ٿيڻ کان پوء, هو شيل ڪوڊ تي عمل ڪندي ايندڙ اسٽيج لاءِ رابطي جو نمونو ڊائون لوڊ ڪندو, اهو آهي, تجزيو جو نمونو.
شيل ڪوڊ جو مثال عمل ڪريو
مثال طور ساڳئي ذريعن مان حاصل ڪيل نمونن کي کڻڻ, حملي آور ڪيترن ئي نمونن جي ڊيبگنگ معلومات کي ختم ڪري ڇڏيو, ٿورن کان سواء, جيئن ته: x86.