විද්යුත් තැපෑල: anwenqq2690502116@gmail.com
අන්තර්ජාලයේ දේවල් ඉලක්ක කර ගනිමින්, හි නව ප්රභේදයකි "ගැෆිට්" ට්රෝජන් පෙනී යයි
මෑතකදී, Huorong Security Lab විසින් වෛරස් ආක්රමණයේ සිදුවීමක් සොයා ගන්නා ලදී, එය ගෆ්ගිට් ට්රෝජන් වෛරසයේ නව ප්රභේදයක් බව විමර්ශනයෙන් හා විශ්ලේෂණයෙන් පසුව තහවුරු විය.
Gafgyt යනු IRC ප්රොටෝකෝලය මත පදනම් වූ IoT botnet වැඩසටහනකි, එය ප්රධාන වශයෙන් ලිනක්ස් පදනම් කරගෙන ආසාදනය කරයි IoT උපාංග බෙදා හරින ලද සේවා ප්රතික්ෂේප කිරීමේ ප්රහාර දියත් කිරීමට (DDoS). එය Mirai පවුල හැර විශාලතම ක්රියාකාරී IoT botnet පවුල වේ.
එහි මූල කේතය කාන්දු වී GitHub වෙත උඩුගත කිරීමෙන් පසුව 2015, විවිධ ප්රභේද සහ සූරාකෑම් එකින් එක මතු විය, පරිශීලකයින්ට විශාල ආරක්ෂක තර්ජනයක් එල්ල කරයි. වාර්තමානයේ දී, Huorong ආරක්ෂණ නිෂ්පාදන වලට ඉහත සඳහන් වෛරස් වලට බාධා කර මරා දැමිය හැක. ආරක්ෂාව සඳහා නියමිත වේලාවට වෛරස් දත්ත සමුදාය යාවත්කාලීන කරන ලෙස ව්යවසාය පරිශීලකයින්ගෙන් ඉල්ලා සිටී.
1. නියැදි විශ්ලේෂණය
වෛරසය මුලින්ම තමන්ගේම ක්රියාවලිය ලෙස නම් කරයි "/usr/sbin/dropbear" හෝ "sshd" සැඟවීමට:
ක්රියාවලිය නැවත නම් කිරීම
ඒ අය අතරින්, සංකේතනය කළ තන්තුව හමු වේ, සහ විකේතන ඇල්ගොරිතම 0xDEDEFFBA හි බයිට් XOR වේ. භාවිතා කරන විට, භාවිතා කරන ඒවා පමණක් තනි තනිව විකේතනය වේ, නමුත් පමණි 4 ඇත්ත වශයෙන්ම යොමු කර ඇත:
සංකේතනය කළ තන්තු සහ විකේතන ඇල්ගොරිතම
පළමු යොමුව වන්නේ අනුරූප තන්තුව තිරයට ප්රතිදානය කිරීම පමණි, සහ මැද යොමු දෙක උපාංගය නැවත ආරම්භ කිරීම නිසා පාලනය අහිමි වීම වැළැක්වීම සඳහා මුරකරු ක්රියාවලියේ මෙහෙයුම් වේ:
විකේතනය සහ උපුටා දැක්වීම
ඉතිරි මෙහෙයුම් ලූපයක් තුළ සිදු කරනු ලැබේ, C2 සම්බන්ධතාවය ආරම්භ කිරීම ඇතුළුව (94.156.161.21:671), වේදිකා උපාංග වර්ගය යැවීම, ආපසු විධානය ලබා ගැනීම සහ අනුරූප මොඩියුල මෙහෙයුම ක්රියාත්මක කිරීම. සහ Gafgy විසින් කාන්දු කරන ලද මූල කේතය සමඟ සසඳන විට, විධානයේ ආකෘතිය සහ සැකසුම් බොහෝ වෙනස් වී නැත, සහ විධානයේ ආකෘතිය තවමත් පවතී "!*විධානය [පරාමිතිය]"
ලූප් මෙහෙයුම් කේතය
processCmd ශ්රිතයේ, එකතුවක් 14 විධාන වලට ප්රතිචාර දක්වන අතර අනුරූප DDOS ප්රහාර දියත් කෙරේ, ඇතුළුව: "HTTP", "CUDP දිගුව", "UDP", "ලිංගාශ්රිත රෝග", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "නත්තල්", "CVSE", "සියල්ල", "සීඑන්සී", "NIGGA"
විධාන තිර රුවක් - IoT ආරක්ෂාව
ඒ අය අතරින්, CUDP, UDP, JSC, සහ TCP මොඩියුල සියල්ලටම නියමිත IP සහ port වෙත අහඹු නූල් යැවිය හැක, මූලාශ්ර IP ලිපිනය සැඟවීමට ස්වයං-සාදන ලද IP ශීර්ෂයන් මගින් TCP සහ UDP පැකට් ප්රතිනිර්මාණය කළ හැක..
පණිවිඩ ව්යුහය
C උපසර්ගය අභිරුචියේ කෙටි යෙදුම ලෙස අනුමාන කෙරේ. CUDP සහ UDP උදාහරණ ලෙස ගනිමු, Gafgyt හි මුල් පිටපතෙහි, නිකුත් කරන ලද විධානයේ පරාමිතීන් ඇතුළත් වේ: ip, වරාය, කාලය, වංචා කළා, packetsize, UDP පැකට් තැනීම සඳහා pollinterval සහ අනෙකුත් ක්ෂේත්ර අගයන් සහ ධජ බිටු. මෙම සාම්පලයේ, කෙසේ වුවද, නිරීක්ෂණය කරන ලද ප්රතිඵල පෙන්නුම් කරන්නේ මෙම පරාමිතීන් විවිධ සීමාවන් සඳහා යෙදීමයි, විශේෂිත DDOS ප්රහාරවල නම්යශීලී බව වැඩි දියුණු කළ හැක.
CUDP සහ UDP සංසන්දනය කිරීම
අනෙකුත් මොඩියුලවල කාර්යයන් අතර පරිශීලක නියෝජිත තන්තු විශාල සංඛ්යාවක් එකතු කිරීම ඇතුළත් වේ, CC ප්රහාර සඳහා HTTP විධාන දියත් කිරීමට භාවිතා කරයි:
CC ප්රහාරය
Valve's Source Engine servers වලට එරෙහි ප්රහාර සඳහා ඇතුලත් කර ඇත: ("මූලාශ්ර එන්ජිම" විමසුම් ගනුදෙනුකරුවන් අතර දෛනික සන්නිවේදනයේ කොටසකි ක්රීඩා සේවාදායකයන් Valve මෘදුකාංග ප්රොටෝකෝලය භාවිතයෙන්)
ක්රීඩා කර්මාන්තයට එරෙහිව ප්රහාර
සම්බන්ධතා IP මාරු කළ හැකි CNC විධාන ඇතුළුව:
මාරු සම්බන්ධතා IP
SYN සහ ACK ප්රහාර ඇතුළත් වේ:
SYN සහ ACK ප්රහාර
UDP STD ගංවතුර ප්රහාර ඇතුළුව:
ලිංගාශ්රිත රෝග ප්රහාරය
XMAS ප්රහාරය ඇතුළුව: (එනම්, නත්තල් ගස් ප්රහාරය, TCP හි සියලුම ධජ බිටු සැකසීමෙන් 1, එබැවින් ඉලක්ක පද්ධතියේ වැඩි ප්රතිචාර සැකසුම් සම්පත් පරිභෝජනය කරයි)
XMAS ප්රහාරය
NIGGA මොඩියුලය මුල් පිටපතේ KILLATTK විධානයට සමාන වේ, ප්රධාන ක්රියාවලිය හැර අනෙකුත් සියලුම ළමා ක්රියාවලීන් විනාශ කිරීමෙන් DoSS ප්රහාර නවත්වයි
NIGGA මොඩියුලය
සංසන්දනාත්මක විශ්ලේෂණය
මූල කේතයේ ප්රධාන තර්කනය ගබඩා කරන processCmd ශ්රිතයට PING ඇතුළත් වේ, GETLOCALIP, ස්කෑනර්, විද්යුත් තැපෑල, JUNK, UDP, TCP, අල්ලා ගන්න, කිලට්ක්, සහ LOLNOGTFO මොඩියුල. UDP සහ TCP මොඩියුලවල සරල කළ අනුවාද පමණක් මෙවර ග්රහණය කර ගන්නා ලද ප්රභේදනයෙහි සහජීවනය වේ. .
සහ දේශීය IP ලබා ගැනීමේ මෙහෙයුමේදී, මුල් පිටපත /proc/net/route හරහා දේශීය IP ලබාගෙන GETLOCALIP මොඩියුලය හරහා ආපසු ලබා දෙයි. මෙම ප්රභේදය තුළ එකම ලබා ගැනීමේ ක්රියාකාරිත්වය නිරීක්ෂණය කෙරේ, නමුත් GETLOCALIP මොඩියුලයක් නොමැති අතර කිසිදු යොමුවක් නිරීක්ෂණය නොකෙරේ.
දේශීය IP ලබා ගන්න
SSH පිපිරවීමට භාවිතා කරන SCANNER මොඩියුලයේ මුල් පිටපතක් නොමැති බව සඳහන් කිරීම වටී (වරාය 22) මෙම වර්ගයේ සාම්පලයක් තුළ, සහ බහු කාවැද්දූ වෙනත් ප්රභේද නොමැත "යෙදුම්/උපාංගය" Payload හරහා පැතිරීමට ඇති අවදානම්. ප්රහාරකයා විසින් ප්රචාරණ මොඩියුලය ස්වාධීන වැඩසටහන් වලට බෙදන බව දැකිය හැක, සහ වින්දිත සත්කාරක වෙත සාර්ථකව පුරනය වීමෙන් පසුව, ඔහු shellcode ක්රියාත්මක කිරීමෙන් ඊළඟ අදියර සඳහා සන්නිවේදන නියැදිය බාගත කරනු ඇත, එනම්, විශ්ලේෂණ නියැදිය.
shellcode උදාහරණය ක්රියාත්මක කරන්න
එකම මූලාශ්රයෙන් ලබාගත් සාම්පල උදාහරණයක් ලෙස ගැනීම, ප්රහාරකයා බොහෝ සාම්පල සඳහා නිදොස් කිරීමේ තොරතුරු ඉවත් කළේය, කිහිපයක් හැර, ආදි: x86.