Ciljanje na internet stvari, nova različica "Gaffyt" Pojavi se Trojan

Ciljanje na internet stvari, nova različica "Gaffyt" Pojavi se Trojan

Pred kratkim, Varnostni laboratorij Huorong je odkril incident z vdorom virusa, za katerega je bilo po preiskavi in ​​analizi potrjeno, da je nova različica trojanskega virusa Gafgyt.

Gafgyt je IoT botnetni program, ki temelji na protokolu IRC, ki v glavnem okuži Linux IoT naprave za zagon porazdeljenih napadov z zavrnitvijo storitve (DDoS). Je največja aktivna družina botnetov IoT razen družine Mirai.

Potem ko je njegova izvorna koda pricurljala in naložena na GitHub v 2015, druga za drugo so se pojavljale različne variante in podvigi, predstavlja večjo varnostno grožnjo uporabnikom. Trenutno, Varnostni izdelki Huorong lahko prestrežejo in ubijejo zgoraj omenjene viruse. Podjetniške uporabnike prosimo, da pravočasno posodobijo bazo virusov za obrambo.

1. Analiza vzorcev
Virus svoj proces najprej preimenuje v "/usr/sbin/dropbear" oz "sshd" da se skrije:

preimenovati postopek

Med njimi, šifriran niz je najden, in algoritem za dešifriranje je bajt XOR od 0xDEDEFFBA. Pri uporabi, posamično se dešifrirajo le uporabljeni, ampak le 4 se dejansko sklicujejo:

Šifrirani niz in algoritem za dešifriranje

Prva referenca je samo za izpis ustreznega niza na zaslon, srednji dve referenci pa sta operaciji v procesu čuvaja, da se prepreči izguba nadzora zaradi ponovnega zagona naprave:

dešifrirati in citirati

Preostale operacije se izvajajo v zanki, vključno z inicializacijo povezave C2 (94.156.161.21:671), pošiljanje vrste naprave platforme, sprejem ukaza za vrnitev in izvajanje ustrezne operacije modula. In v primerjavi z izvorno kodo, ki jo je razkril Gafgy, format in obdelava ukaza se nista veliko spremenila, in oblika ukaza je še vedno "!*Ukaz [Parameter]"

koda delovanja zanke

V funkciji processCmd, skupaj 14 se odzovejo na ukaze in sprožijo se ustrezni napadi DDOS, vključno z: "HTTP", "Razširitev CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "POTRDI", "BOŽIČ", "BOŽIČ", "CVSE", "VSE", "CNC", "črnuh"

posnetek zaslona ukaza - IoT varnost

Med njimi, CUDP, UDP, JSC, in TCP moduli lahko pošiljajo naključne nize na podani IP in vrata, in lahko rekonstruira pakete TCP in UDP s samozgrajenimi glavami IP, da skrije izvorni naslov IP.

strukturo sporočila

Predpona C naj bi bila okrajšava za custom. Kot primera vzamemo CUDP in UDP, v izvirni različici Gafgyt, parametri v izdanem ukazu vključujejo: ip, pristanišče, čas, ponarejen, velikost paketov, pollinterval in druge vrednosti polj ter biti zastavic Za izdelavo paketov UDP. V tem vzorcu, vendar, opazovani rezultati kažejo, da gre za uporabo teh parametrov v različnih stopnjah omejitve, ki lahko poveča prilagodljivost določenih vrst napadov DDOS.

Primerjava CUDP in UDP

Funkcije drugih modulov vključujejo dodajanje velikega števila nizov User-Agent, ki se uporabljajo za zagon ukazov HTTP za napade CC:

CC napad

Vključeno za napade na strežnike Valve Source Engine: ("Izvorni motor" poizvedbe so del dnevne komunikacije med strankami in igralni strežniki z uporabo protokola programske opreme Valve)

Napadi na igralniško industrijo

Vključno s CNC ukazi, ki lahko preklopijo IP povezave:

preklopna povezava IP

Vključuje napade SYN in ACK:

Napadi SYN in ACK

Vključno s poplavnimi napadi UDP STD:

Napad STD

Vključno z napadom XMAS: (to je, Napad božičnega drevesa, z nastavitvijo vseh zastavic TCP na 1, tako porabi več sredstev za obdelavo odgovorov ciljnega sistema)

božični napad

Modul NIGGA je enakovreden ukazu KILLATTK v izvirni različici, ki ustavi napade DoSS tako, da ubije vse podrejene procese razen glavnega procesa

NIGGA modul

Primerjalna analiza
Funkcija processCmd, ki shranjuje glavno logiko v izvorni kodi, vključuje PING, GETLOCALIP, SKENER, E-NASLOV, SMETI, UDP, TCP, PRIDRŽI, KILLATTK, in moduli LOLNOGTFO. Samo poenostavljene različice modulov UDP in TCP soobstajajo v tokrat zajeti različici izkoriščanja. .

In v operaciji pridobivanja lokalnega IP-ja, izvirna različica pridobi lokalni IP prek /proc/net/route in ga vrne prek modula GETLOCALIP. V tej različici opazimo isto operacijo pridobivanja, vendar ni modula GETLOCALIP in ni opaziti nobenih referenc.

Pridobite lokalni IP

Omeniti velja, da ne obstaja izvirna različica modula SCANNER, ki se uporablja za razstreljevanje SSH (pristanišče 22) v tej vrsti vzorca, in ni nobenih drugih različic, ki bi vdelale več "aplikacije/naprava" ranljivosti za širjenje prek tovora. Vidimo lahko, da napadalec razdeli propagacijski modul na neodvisne programe, in po uspešni prijavi v gostitelja žrtve, prenesel bo komunikacijski vzorec za naslednjo stopnjo z izvedbo ukazne kode, to je, vzorec za analizo.

Izvedite primer lupinske kode

Za primer vzamemo vzorce, pridobljene iz istega vira, napadalec je odstranil informacije o odpravljanju napak za večino vzorcev, razen nekaj, kot naprimer: x86.