E-mail: anwenqq2690502116@gmail.com
Zameranie na internet vecí, nový variant "Gaffyt" Objaví sa trójsky kôň
Nedávno, Bezpečnostné laboratórium Huorong objavilo incident s vniknutím vírusu, ktorý bol po vyšetrení a analýze potvrdený ako nový variant vírusu Gafgyt Trojan.
Gafgyt je IoT botnetový program založený na protokole IRC, ktorý infikuje hlavne Linux IoT zariadenia spustiť distribuované útoky odmietnutia služby (DDoS). Ide o najväčšiu aktívnu rodinu botnetov IoT okrem rodiny Mirai.
Po úniku jeho zdrojového kódu a jeho nahraní na GitHub 2015, rôzne varianty a exploity sa objavovali jeden po druhom, predstavuje väčšiu bezpečnostnú hrozbu pre používateľov. V súčasnosti, Bezpečnostné produkty Huorong dokážu zachytiť a zabiť vyššie uvedené vírusy. Od podnikových používateľov sa vyžaduje, aby z dôvodu ochrany včas aktualizovali vírusovú databázu.
1. Analýza vzorky
Vírus najprv premenuje svoj vlastný proces na "/usr/sbin/dropbear" alebo "sshd" skryť sa:
proces premenovať
Medzi nimi, nájde sa zašifrovaný reťazec, a dešifrovací algoritmus je bajt XOR 0xDEDEFFBA. Pri použití, len tie použité sa dešifrujú jednotlivo, ale len 4 sú skutočne odkazované:
Šifrovaný reťazec a dešifrovací algoritmus
Prvý odkaz je len na výstup zodpovedajúceho reťazca na obrazovku, a prostredné dva odkazy sú operácie s procesom watchdog, aby sa predišlo strate kontroly v dôsledku reštartovania zariadenia:
dešifrovať a citovať
Zostávajúce operácie sa vykonávajú v slučke, vrátane inicializácie pripojenia C2 (94.156.161.21:671), odosielanie typu zariadenia platformy, prijatie príkazu návratu a vykonanie zodpovedajúcej operácie modulu. A v porovnaní so zdrojovým kódom, ktorý unikol Gafgy, formát a spracovanie príkazu sa príliš nezmenili, a formát príkazu je stále "!*Príkaz [Parameter]"
kód operácie slučky
Vo funkcii processCmd, celkom 14 na príkazy sa odpovie a spustia sa príslušné útoky DDOS, počítajúc do toho: "HTTP", "rozšírenie CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "VŠETKO", "CNC", "NIGGA"
snímka obrazovky príkazu - IoT bezpečnosť
Medzi nimi, CUDP, UDP, JSC, a TCP moduly môžu posielať náhodné reťazce na zadanú IP a port, a dokáže rekonštruovať pakety TCP a UDP pomocou vlastných IP hlavičiek, aby skryla zdrojovú IP adresu.
štruktúra správy
Predpokladá sa, že predpona C je skratkou zvyku. Vezmime si príklady CUDP a UDP, v pôvodnej verzii Gafgyt, parametre vo vydanom príkaze zahŕňajú: IP, prístav, čas, sfalšovaný, veľkosť paketov, pollinterval a iné hodnoty polí a návestné bity Na konštrukciu UDP paketov. V tejto vzorke, však, pozorované výsledky ukazujú, že ide o aplikáciu týchto parametrov na rôzne stupne obmedzenia, čo môže zvýšiť flexibilitu špecifických typov DDOS útokov.
Porovnanie CUDP a UDP
Funkcie ostatných modulov zahŕňajú pridávanie veľkého počtu reťazcov User-Agent, ktoré sa používajú na spúšťanie HTTP príkazov pre CC útoky:
CC útok
Zahrnuté pre útoky proti serverom Valve Source Engine: ("Zdrojový stroj" otázky sú súčasťou každodennej komunikácie medzi klientmi a herné servery pomocou softvérového protokolu Valve)
Útoky proti hernému priemyslu
Vrátane CNC príkazov, ktoré dokážu prepínať IP pripojenia:
prepínač IP pripojenia
Zahŕňa útoky SYN a ACK:
Útoky SYN a ACK
Vrátane záplavových útokov UDP STD:
STD útok
Vrátane XMAS útoku: (to jest, Útok na vianočný stromček, nastavením všetkých vlajkových bitov TCP na 1, čím sa spotrebuje viac zdrojov na spracovanie odozvy cieľového systému)
VIANOČNÝ útok
Modul NIGGA je ekvivalentný príkazu KILLATTK v pôvodnej verzii, ktorý zastaví DoSS útoky tým, že zabije všetky podriadené procesy okrem hlavného procesu
modul NIGGA
Porovnávacia analýza
Funkcia processCmd, ktorá ukladá hlavnú logiku v zdrojovom kóde, obsahuje PING, GETLOCALIP, SKENER, EMAIL, JUNK, UDP, TCP, HOLD, KILLATTK, a moduly LOLNOGTFO. Vo variante exploit zachytenom tentoraz koexistujú len zjednodušené verzie modulov UDP a TCP. .
A v prevádzke získania miestnej IP, pôvodná verzia získa lokálnu IP cez /proc/net/route a vráti ju cez modul GETLOCALIP. Rovnaká operácia get je pozorovaná v tomto variante, ale neexistuje modul GETLOCALIP a nie sú dodržané žiadne referencie.
Získajte lokálnu IP
Stojí za zmienku, že neexistuje žiadna originálna verzia modulu SCANNER používaného na odpálenie SSH (prístav 22) v tomto type vzorky, a neexistujú žiadne iné varianty, ktoré by vložili viacero "aplikácie/zariadenie" zraniteľnosti šíriace sa cez Payload. Je vidieť, že útočník rozdeľuje modul šírenia na nezávislé programy, a po úspešnom prihlásení do hostiteľa obete, stiahne si vzorku komunikácie pre ďalšiu fázu spustením shell kódu, to jest, analytickú vzorku.
Spustite príklad shell kódu
Ako príklad sa použijú vzorky získané z rovnakého zdroja, útočník odobral ladiace informácie pre väčšinu vzoriek, okrem niekoľkých, ako napr: x86.