Zameranie na internet vecí, nový variant „Gafgyt" Objaví sa trójsky kôň

Zameranie na internet vecí, nový variant "Gaffyt" Objaví sa trójsky kôň

Zameranie na internet vecí, nový variant "Gaffyt" Objaví sa trójsky kôň. Nedávno, Bezpečnostné laboratórium Huorong objavilo incident s vniknutím vírusu, ktorý bol po vyšetrení a analýze potvrdený ako nový variant vírusu Gafgyt Trojan.

Zameranie na internet vecí, nový variant "Gaffyt" Objaví sa trójsky kôň

Nedávno, Bezpečnostné laboratórium Huorong objavilo incident s vniknutím vírusu, ktorý bol po vyšetrení a analýze potvrdený ako nový variant vírusu Gafgyt Trojan.

Gafgyt je IoT botnetový program založený na protokole IRC, ktorý infikuje hlavne Linux IoT zariadenia spustiť distribuované útoky odmietnutia služby (DDoS). Ide o najväčšiu aktívnu rodinu botnetov IoT okrem rodiny Mirai.

Po úniku jeho zdrojového kódu a jeho nahraní na GitHub 2015, rôzne varianty a exploity sa objavovali jeden po druhom, predstavuje väčšiu bezpečnostnú hrozbu pre používateľov. V súčasnosti, Bezpečnostné produkty Huorong dokážu zachytiť a zabiť vyššie uvedené vírusy. Od podnikových používateľov sa vyžaduje, aby z dôvodu ochrany včas aktualizovali vírusovú databázu.

1. Analýza vzorky
Vírus najprv premenuje svoj vlastný proces na "/usr/sbin/dropbear" alebo "sshd" skryť sa:

proces premenovať

Medzi nimi, nájde sa zašifrovaný reťazec, a dešifrovací algoritmus je bajt XOR 0xDEDEFFBA. Pri použití, len tie použité sa dešifrujú jednotlivo, ale len 4 sú skutočne odkazované:

Šifrovaný reťazec a dešifrovací algoritmus

Prvý odkaz je len na výstup zodpovedajúceho reťazca na obrazovku, a prostredné dva odkazy sú operácie s procesom watchdog, aby sa predišlo strate kontroly v dôsledku reštartovania zariadenia:

dešifrovať a citovať

Zostávajúce operácie sa vykonávajú v slučke, vrátane inicializácie pripojenia C2 (94.156.161.21:671), odosielanie typu zariadenia platformy, prijatie príkazu návratu a vykonanie zodpovedajúcej operácie modulu. A v porovnaní so zdrojovým kódom, ktorý unikol Gafgy, formát a spracovanie príkazu sa príliš nezmenili, a formát príkazu je stále "!*Príkaz [Parameter]"

kód operácie slučky

Vo funkcii processCmd, celkom 14 na príkazy sa odpovie a spustia sa príslušné útoky DDOS, počítajúc do toho: "HTTP", "rozšírenie CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "VŠETKO", "CNC", "NIGGA"

snímka obrazovky príkazu - IoT bezpečnosť

Medzi nimi, CUDP, UDP, JSC, a TCP moduly môžu posielať náhodné reťazce na zadanú IP a port, a dokáže rekonštruovať pakety TCP a UDP pomocou vlastných IP hlavičiek, aby skryla zdrojovú IP adresu.

štruktúra správy

Predpokladá sa, že predpona C je skratkou zvyku. Vezmime si príklady CUDP a UDP, v pôvodnej verzii Gafgyt, parametre vo vydanom príkaze zahŕňajú: IP, prístav, čas, sfalšovaný, veľkosť paketov, pollinterval a iné hodnoty polí a návestné bity Na konštrukciu UDP paketov. V tejto vzorke, však, pozorované výsledky ukazujú, že ide o aplikáciu týchto parametrov na rôzne stupne obmedzenia, čo môže zvýšiť flexibilitu špecifických typov DDOS útokov.

Porovnanie CUDP a UDP

Funkcie ostatných modulov zahŕňajú pridávanie veľkého počtu reťazcov User-Agent, ktoré sa používajú na spúšťanie HTTP príkazov pre CC útoky:

CC útok

Zahrnuté pre útoky proti serverom Valve Source Engine: ("Zdrojový stroj" otázky sú súčasťou každodennej komunikácie medzi klientmi a herné servery pomocou softvérového protokolu Valve)

Útoky proti hernému priemyslu

Vrátane CNC príkazov, ktoré dokážu prepínať IP pripojenia:

prepínač IP pripojenia

Zahŕňa útoky SYN a ACK:

Útoky SYN a ACK

Vrátane záplavových útokov UDP STD:

STD útok

Vrátane XMAS útoku: (to jest, Útok na vianočný stromček, nastavením všetkých vlajkových bitov TCP na 1, čím sa spotrebuje viac zdrojov na spracovanie odozvy cieľového systému)

VIANOČNÝ útok

Modul NIGGA je ekvivalentný príkazu KILLATTK v pôvodnej verzii, ktorý zastaví DoSS útoky tým, že zabije všetky podriadené procesy okrem hlavného procesu

modul NIGGA

Porovnávacia analýza
Funkcia processCmd, ktorá ukladá hlavnú logiku v zdrojovom kóde, obsahuje PING, GETLOCALIP, SKENER, EMAIL, JUNK, UDP, TCP, HOLD, KILLATTK, a moduly LOLNOGTFO. Vo variante exploit zachytenom tentoraz koexistujú len zjednodušené verzie modulov UDP a TCP. .

A v prevádzke získania miestnej IP, pôvodná verzia získa lokálnu IP cez /proc/net/route a vráti ju cez modul GETLOCALIP. Rovnaká operácia get je pozorovaná v tomto variante, ale neexistuje modul GETLOCALIP a nie sú dodržané žiadne referencie.

Získajte lokálnu IP

Stojí za zmienku, že neexistuje žiadna originálna verzia modulu SCANNER používaného na odpálenie SSH (prístav 22) v tomto type vzorky, a neexistujú žiadne iné varianty, ktoré by vložili viacero "aplikácie/zariadenie" zraniteľnosti šíriace sa cez Payload. Je vidieť, že útočník rozdeľuje modul šírenia na nezávislé programy, a po úspešnom prihlásení do hostiteľa obete, stiahne si vzorku komunikácie pre ďalšiu fázu spustením shell kódu, to jest, analytickú vzorku.

Spustite príklad shell kódu

Ako príklad sa použijú vzorky získané z rovnakého zdroja, útočník odobral ladiace informácie pre väčšinu vzoriek, okrem niekoľkých, ako napr: x86.