imeli: anwenqq2690502116@gmail.com
Fa'atatau ile Initaneti o Mea, se suiga fou o le "Gaffyt" Ua aliali mai Trojan
Talu ai nei, Na maua e le Huorong Security Lab se faʻalavelave faʻalavelave faʻafuaseʻi, lea na faʻamaonia o se suiga fou o le Gafgyt Trojan virus ina ua maeʻa suʻesuʻega ma auʻiliʻiliga.
Gafgyt o se polokalame IoT botnet e faʻavae i luga o le IRC protocol, lea e masani ona afaina ai Linux-faavae IoT masini e fa'alauiloa fa'asoa fa'afitiga osofa'iga (DDoS). Ole aiga pito sili ona to'aga IoT botnet nai lo le aiga Mirai.
Ina ua maeʻa ona faʻasalalau lona faʻailoga ma tuʻuina atu i GitHub i totonu 2015, 'ese'ese ese'esega ma fa'aogaga na alia'e tasi ma le isi, o lo'o fa'atupuina se fa'amata'u fa'amata'u tele i tagata fa'aoga. I le taimi nei, O oloa saogalemu a Huorong e mafai ona faʻalavelave ma faʻaumatia siama o loʻo taʻua i luga. O lo'o talosagaina tagata fa'aoga pisinisi e fa'afou le virus database i le taimi mo le puipuiga.
1. Fa'ata'ita'iga su'esu'ega
O le virusi e fa'aigoa muamua lana lava fa'agasologa i "/usr/sbin/dropbear" pe "sshd" e lafi ai:
fa'agasologa toe fa'aigoa
Faatasi ai ma i latou, ua maua le manoa fa'ailoga, ma o le decryption algorithm o le byte XOR o le 0xDEDEFFBA. Pe a faʻaaogaina, na'o mea fa'aoga e fa'amama ta'itasi, ae na o 4 o loo faasino tonu lava:
Fa'aigoaina manoa ma fa'a'ese'ese algorithm
O le fa'amatalaga muamua e na'o le fa'auluina o le manoa fetaui i le lau, ma o fa'asinomaga e lua o lo'o fa'agaoioia i luga o le fa'agasologa o le leoleo e aloese ai mai le leiloa o le pule ona o le toe amataina o le masini:
decrypt ma upusii
O fa'agaioiga o lo'o totoe o lo'o fa'atinoina i totonu o se matasele, e aofia ai le amataina o le fesoʻotaʻiga C2 (94.156.161.21:671), auina atu le ituaiga masini tulaga, mauaina o le toe fo'i mai ma le fa'atinoina o le fa'agaioiga o le module. Ma faʻatusatusa i le source code lea na liki e Gafgy, o le faatulagaga ma le faagasologa o le poloaiga e lei suia tele, ma o le faatulagaga o le poloaiga o loo tumau pea "!*Poloaiga [Parameter]"
ta'amilosaga ta'avale code
I le galuega processCmd, atoa o 14 e tali atu poloaiga ma fa'alauiloa osofa'iga a le DDOS, e aofia ai: "HTTP", "fa'aopoopoga CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "MEA UMA", "CNC", "NIGGA"
fa'atonuga fa'amalama - IoT saogalemu
Faatasi ai ma i latou, le CUDP, UDP, JSC, ma TCP modules e mafai uma ona lafo laina faʻafuaseʻi i le IP faʻamaonia ma le taulaga, ma e mafai ona toe fausia TCP ma UDP paʻu e ala i ulutala IP na fausia e le tagata lava ia e nana ai le tuatusi IP puna..
fausaga savali
O le prefix C ua mateina o le faapuupuuga o le aganuu. Ave le CUDP ma le UDP e fai ma faʻataʻitaʻiga, i le uluai lomiga a Gafgyt, o tapula'a i le poloaiga na tu'uina atu e aofia ai: ip, uafu, taimi, pepelo, lapo'a, pollinterval ma isi tulaga tau fanua ma fu'a fasi Mo le fausiaina o pusa UDP. I lenei faʻataʻitaʻiga, peita'i, o fa'ai'uga ua matauina o lo'o fa'aalia ai o le fa'aogaina o nei ta'otoga i tikeri eseese o fa'atapula'aina, lea e mafai ona faʻaleleia le fetuutuunai o ituaiga faʻapitoa o osofaʻiga DDOS.
Fa'atusatusaga o le CUDP ma le UDP
O galuega a isi modules e aofia ai le faʻaopoopoina o se numera tele o manoa User-Agent, lea e faʻaaogaina e faʻalauiloa ai tulafono HTTP mo osofaʻiga CC:
osofaiga CC
Fa'aaofia mo osofa'iga fa'asaga ia Valve's Source Engine servers: ("Source Engine" fesili o se vaega o fesootaiga i aso taitasi i le va o tagata faatau ma 'au'aunaga ta'aloga fa'aogaina le polokalame fa'akomepiuta Valve)
Osofaiga e faasaga i pisinisi tau taaloga
E aofia ai fa'atonuga CNC e mafai ona fesuia'i feso'ota'iga IP:
sui feso'ota'iga IP
E aofia ai osofa'iga SYN ma ACK:
SYN ma ACK osofaʻiga
E aofia ai osofa'iga lologa UDP STD:
osofa'iga STD
E aofia ai le osofaʻiga XMAS: (o lena lava, osofaiga o laau Kerisimasi, e ala i le setiina o fasi fu'a uma o le TCP i 1, fa'apea le fa'aaogaina o le tele o punaoa fa'agaoioiga tali a le faiga fa'atatau)
osofa'iga XMAS
O le NIGGA module e tutusa ma le KILLATTK poloaiga i le uluai kopi, lea e taofia ai osofa'iga a le DoSS e ala i le fasiotia uma o faiga a tamaiti se'i vagana ai le faiga autu
NIGGA module
Iloiloga fa'atusatusa
O le gaioiga o le processCmd o loʻo teuina le faʻamatalaga autu i le faʻailoga autu e aofia ai le PING, GETLOCALIP, FA'ATAU, EMAIL, VAEGA, UDP, TCP, TUMAU, KILLATTK, ma LOLNOGTFO modules. Na'o fa'afaigofie fa'aliliuga o le UDP ma le TCP modules o lo'o ola fa'atasi i le fa'aogaina o suiga na pu'eina i lenei taimi.. .
Ma i le gaioiga o le mauaina o le IP i le lotoifale, o le uluai lomiga e maua ai le IP i le lotoifale e ala i / proc / net / auala ma toe faafoi mai i le GETLOCALIP module. O le fa'agaioiga maua lava e tasi o lo'o matauina i lenei fesuiaiga, ae leai se GETLOCALIP module ma e leai ni faʻamatalaga e matauina.
Maua IP i le lotoifale
E taua le matauina e leai se uluai kopi o le SCANNER module na faʻaaogaina e faʻafefe ai le SSH (uafu 22) i lenei ituaiga faʻataʻitaʻiga, ma e leai ni isi suiga e fa'apipi'i tele "talosaga / masini" fa'aletonu e sosolo atu ile Payload. E mafai ona vaʻaia o le tagata osofaʻi e vaeluaina le faʻasalalauga faʻasalalau i polokalame tutoatasi, ma ina ua uma ona sao i totonu i le tagata na aafia, o le a ia sii maia le faʻataʻitaʻiga fesoʻotaʻiga mo le isi laasaga e ala i le faʻatinoina o le shellcode, o lena lava, le fa'ata'ita'iga fa'ata'ita'iga.
Fa'atino fa'ata'ita'iga shellcode
Aveina o faʻataʻitaʻiga na maua mai le puna e tasi e fai ma faʻataʻitaʻiga, na aveese e le osofaʻi faʻamatalaga faʻamatalaga mo le tele o faʻataʻitaʻiga, vagana ai ni nai tagata, pei o le: x86.
