විද්යුත් තැපෑල: anwenqq2690502116@gmail.com

ටින්ඩර් හඳුනා ගැනීම සහ ඝාතනය කිරීම

අන්තර්ජාලයේ දේවල් ඉලක්ක කර ගනිමින්, හි නව ප්‍රභේදයකි "ගැෆිට්" ට්‍රෝජන් පෙනී යයි

අන්තර්ජාලයේ දේවල් ඉලක්ක කර ගනිමින්, හි නව ප්‍රභේදයකි "ගැෆිට්" ට්‍රෝජන් පෙනී යයි. මෑතකදී, Huorong Security Lab විසින් වෛරස් ආක්‍රමණයේ සිදුවීමක් සොයා ගන්නා ලදී, එය ගෆ්ගිට් ට්‍රෝජන් වෛරසයේ නව ප්‍රභේදයක් බව විමර්ශනයෙන් හා විශ්ලේෂණයෙන් පසුව තහවුරු විය.

අන්තර්ජාලයේ දේවල් ඉලක්ක කර ගනිමින්, හි නව ප්‍රභේදයකි "ගැෆිට්" ට්‍රෝජන් පෙනී යයි

මෑතකදී, Huorong Security Lab විසින් වෛරස් ආක්‍රමණයේ සිදුවීමක් සොයා ගන්නා ලදී, එය ගෆ්ගිට් ට්‍රෝජන් වෛරසයේ නව ප්‍රභේදයක් බව විමර්ශනයෙන් හා විශ්ලේෂණයෙන් පසුව තහවුරු විය.

Gafgyt යනු IRC ප්‍රොටෝකෝලය මත පදනම් වූ IoT botnet වැඩසටහනකි, එය ප්‍රධාන වශයෙන් ලිනක්ස් පදනම් කරගෙන ආසාදනය කරයි IoT උපාංග බෙදා හරින ලද සේවා ප්‍රතික්ෂේප කිරීමේ ප්‍රහාර දියත් කිරීමට (DDoS). එය Mirai පවුල හැර විශාලතම ක්රියාකාරී IoT botnet පවුල වේ.

එහි මූල කේතය කාන්දු වී GitHub වෙත උඩුගත කිරීමෙන් පසුව 2015, විවිධ ප්‍රභේද සහ සූරාකෑම් එකින් එක මතු විය, පරිශීලකයින්ට විශාල ආරක්ෂක තර්ජනයක් එල්ල කරයි. වාර්තමානයේ දී, Huorong ආරක්ෂණ නිෂ්පාදන වලට ඉහත සඳහන් වෛරස් වලට බාධා කර මරා දැමිය හැක. ආරක්‍ෂාව සඳහා නියමිත වේලාවට වෛරස් දත්ත සමුදාය යාවත්කාලීන කරන ලෙස ව්‍යවසාය පරිශීලකයින්ගෙන් ඉල්ලා සිටී.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. නියැදි විශ්ලේෂණය
වෛරසය මුලින්ම තමන්ගේම ක්‍රියාවලිය ලෙස නම් කරයි "/usr/sbin/dropbear" හෝ "sshd" සැඟවීමට:

process rename
ක්රියාවලිය නැවත නම් කිරීම

ඒ අය අතරින්, සංකේතනය කළ තන්තුව හමු වේ, සහ විකේතන ඇල්ගොරිතම 0xDEDEFFBA හි බයිට් XOR වේ. භාවිතා කරන විට, භාවිතා කරන ඒවා පමණක් තනි තනිව විකේතනය වේ, නමුත් පමණි 4 ඇත්ත වශයෙන්ම යොමු කර ඇත:

Encrypted string and decryption algorithm
සංකේතනය කළ තන්තු සහ විකේතන ඇල්ගොරිතම

 

පළමු යොමුව වන්නේ අනුරූප තන්තුව තිරයට ප්‍රතිදානය කිරීම පමණි, සහ මැද යොමු දෙක උපාංගය නැවත ආරම්භ කිරීම නිසා පාලනය අහිමි වීම වැළැක්වීම සඳහා මුරකරු ක්‍රියාවලියේ මෙහෙයුම් වේ:

decrypt and quote

විකේතනය සහ උපුටා දැක්වීම

 

ඉතිරි මෙහෙයුම් ලූපයක් තුළ සිදු කරනු ලැබේ, C2 සම්බන්ධතාවය ආරම්භ කිරීම ඇතුළුව (94.156.161.21:671), වේදිකා උපාංග වර්ගය යැවීම, ආපසු විධානය ලබා ගැනීම සහ අනුරූප මොඩියුල මෙහෙයුම ක්රියාත්මක කිරීම. සහ Gafgy විසින් කාන්දු කරන ලද මූල කේතය සමඟ සසඳන විට, විධානයේ ආකෘතිය සහ සැකසුම් බොහෝ වෙනස් වී නැත, සහ විධානයේ ආකෘතිය තවමත් පවතී "!*විධානය [පරාමිතිය]"

loop operation code

ලූප් මෙහෙයුම් කේතය

 

processCmd ශ්‍රිතයේ, එකතුවක් 14 විධාන වලට ප්‍රතිචාර දක්වන අතර අනුරූප DDOS ප්‍රහාර දියත් කෙරේ, ඇතුළුව: "HTTP", "CUDP දිගුව", "UDP", "ලිංගාශ්‍රිත රෝග", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "නත්තල්", "CVSE", "සියල්ල", "සීඑන්සී", "NIGGA"

command screenshot - IoT security
විධාන තිර රුවක් - IoT ආරක්ෂාව

 

ඒ අය අතරින්, CUDP, UDP, JSC, සහ TCP මොඩියුල සියල්ලටම නියමිත IP සහ port වෙත අහඹු නූල් යැවිය හැක, මූලාශ්‍ර IP ලිපිනය සැඟවීමට ස්වයං-සාදන ලද IP ශීර්ෂයන් මගින් TCP සහ UDP පැකට් ප්‍රතිනිර්මාණය කළ හැක..

 

message structure
පණිවිඩ ව්යුහය

 

C උපසර්ගය අභිරුචියේ කෙටි යෙදුම ලෙස අනුමාන කෙරේ. CUDP සහ UDP උදාහරණ ලෙස ගනිමු, Gafgyt හි මුල් පිටපතෙහි, නිකුත් කරන ලද විධානයේ පරාමිතීන් ඇතුළත් වේ: ip, වරාය, කාලය, වංචා කළා, packetsize, UDP පැකට් තැනීම සඳහා pollinterval සහ අනෙකුත් ක්ෂේත්‍ර අගයන් සහ ධජ බිටු. මෙම සාම්පලයේ, කෙසේ වුවද, නිරීක්ෂණය කරන ලද ප්රතිඵල පෙන්නුම් කරන්නේ මෙම පරාමිතීන් විවිධ සීමාවන් සඳහා යෙදීමයි, විශේෂිත DDOS ප්‍රහාරවල නම්‍යශීලී බව වැඩි දියුණු කළ හැක.

CUDP සහ UDP සංසන්දනය කිරීම

අනෙකුත් මොඩියුලවල කාර්යයන් අතර පරිශීලක නියෝජිත තන්තු විශාල සංඛ්‍යාවක් එකතු කිරීම ඇතුළත් වේ, CC ප්‍රහාර සඳහා HTTP විධාන දියත් කිරීමට භාවිතා කරයි:

CC ප්රහාරය

Valve's Source Engine servers වලට එරෙහි ප්‍රහාර සඳහා ඇතුලත් කර ඇත: ("මූලාශ්ර එන්ජිම" විමසුම් ගනුදෙනුකරුවන් අතර දෛනික සන්නිවේදනයේ කොටසකි ක්රීඩා සේවාදායකයන් Valve මෘදුකාංග ප්‍රොටෝකෝලය භාවිතයෙන්)

ක්‍රීඩා කර්මාන්තයට එරෙහිව ප්‍රහාර

සම්බන්ධතා IP මාරු කළ හැකි CNC විධාන ඇතුළුව:

මාරු සම්බන්ධතා IP

SYN සහ ACK ප්‍රහාර ඇතුළත් වේ:

SYN සහ ACK ප්‍රහාර

UDP STD ගංවතුර ප්‍රහාර ඇතුළුව:

ලිංගාශ්‍රිත රෝග ප්‍රහාරය

XMAS ප්‍රහාරය ඇතුළුව: (එනම්, නත්තල් ගස් ප්රහාරය, TCP හි සියලුම ධජ බිටු සැකසීමෙන් 1, එබැවින් ඉලක්ක පද්ධතියේ වැඩි ප්රතිචාර සැකසුම් සම්පත් පරිභෝජනය කරයි)

XMAS ප්රහාරය

NIGGA මොඩියුලය මුල් පිටපතේ KILLATTK විධානයට සමාන වේ, ප්‍රධාන ක්‍රියාවලිය හැර අනෙකුත් සියලුම ළමා ක්‍රියාවලීන් විනාශ කිරීමෙන් DoSS ප්‍රහාර නවත්වයි

NIGGA මොඩියුලය

සංසන්දනාත්මක විශ්ලේෂණය
මූල කේතයේ ප්‍රධාන තර්කනය ගබඩා කරන processCmd ශ්‍රිතයට PING ඇතුළත් වේ, GETLOCALIP, ස්කෑනර්, විද්යුත් තැපෑල, JUNK, UDP, TCP, අල්ලා ගන්න, කිලට්ක්, සහ LOLNOGTFO මොඩියුල. UDP සහ TCP මොඩියුලවල සරල කළ අනුවාද පමණක් මෙවර ග්‍රහණය කර ගන්නා ලද ප්‍රභේදනයෙහි සහජීවනය වේ. .

සහ දේශීය IP ලබා ගැනීමේ මෙහෙයුමේදී, මුල් පිටපත /proc/net/route හරහා දේශීය IP ලබාගෙන GETLOCALIP මොඩියුලය හරහා ආපසු ලබා දෙයි. මෙම ප්‍රභේදය තුළ එකම ලබා ගැනීමේ ක්‍රියාකාරිත්වය නිරීක්ෂණය කෙරේ, නමුත් GETLOCALIP මොඩියුලයක් නොමැති අතර කිසිදු යොමුවක් නිරීක්ෂණය නොකෙරේ.

දේශීය IP ලබා ගන්න

SSH පිපිරවීමට භාවිතා කරන SCANNER මොඩියුලයේ මුල් පිටපතක් නොමැති බව සඳහන් කිරීම වටී (වරාය 22) මෙම වර්ගයේ සාම්පලයක් තුළ, සහ බහු කාවැද්දූ වෙනත් ප්‍රභේද නොමැත "යෙදුම්/උපාංගය" Payload හරහා පැතිරීමට ඇති අවදානම්. ප්‍රහාරකයා විසින් ප්‍රචාරණ මොඩියුලය ස්වාධීන වැඩසටහන් වලට බෙදන බව දැකිය හැක, සහ වින්දිත සත්කාරක වෙත සාර්ථකව පුරනය වීමෙන් පසුව, ඔහු shellcode ක්‍රියාත්මක කිරීමෙන් ඊළඟ අදියර සඳහා සන්නිවේදන නියැදිය බාගත කරනු ඇත, එනම්, විශ්ලේෂණ නියැදිය.

shellcode උදාහරණය ක්‍රියාත්මක කරන්න

එකම මූලාශ්‍රයෙන් ලබාගත් සාම්පල උදාහරණයක් ලෙස ගැනීම, ප්‍රහාරකයා බොහෝ සාම්පල සඳහා නිදොස් කිරීමේ තොරතුරු ඉවත් කළේය, කිහිපයක් හැර, ආදි: x86.

ඔබේ ආදරය බෙදාගන්න

අදාළ පළ කිරීම්

පිළිතුරක් දෙන්න

ඔබගේ විද්‍යුත් තැපැල් ලිපිනය ප්‍රකාශනය නොකෙරේ. අවශ්‍ය ක්ෂේත්‍ර සලකුණු කර ඇත *