Hiigsiga Internetka Waxyaabaha, nooc cusub oo ah "Gafgyt" Trojan ayaa soo muuqda

Hiigsiga Internetka Waxyaabaha, nooc cusub oo ah "Gaaffit" Trojan ayaa soo muuqda

Hiigsiga Internetka Waxyaabaha, nooc cusub oo ah "Gaaffit" Trojan ayaa soo muuqda. Dhawaan, Huorong Security Lab waxa uu helay dhacdo galmo fayras ah, kaas oo la xaqiijiyay inuu yahay nooc cusub oo fayraska Gafgyt Trojan ka dib baaritaan iyo falanqayn.

Hiigsiga Internetka Waxyaabaha, nooc cusub oo ah "Gaaffit" Trojan ayaa soo muuqda

Dhawaan, Huorong Security Lab waxa uu helay dhacdo galmo fayras ah, kaas oo la xaqiijiyay inuu yahay nooc cusub oo fayraska Gafgyt Trojan ka dib baaritaan iyo falanqayn.

Gafgyt waa barnaamij botnet IoT ah oo ku salaysan nidaamka IRC, kaas oo inta badan ku dhaca Linux-based Qalabka IoT si loo bilaabo diidmada qaybsan ee weerarrada adeegga (DDoS). Waa qoyska botnet ee ugu firfircoon ee IoT marka laga reebo qoyska Mirai.

Ka dib markii koodka isha uu soo daatay oo la soo galiyay GitHub gudaha 2015, Kala duwanaansho iyo faa'iidooyin kala duwan ayaa soo baxay midba midka kale, taasoo khatar weyn ku ah isticmaalayaasha. Hadda, Alaabta amniga ee Huorong waxay dhexda u noqon kartaa oo dili kartaa fayrasyada kor lagu soo sheegay. Isticmaalayaasha shirkadaha waxaa laga codsanayaa inay cusboonaysiiyaan xogta fayraska wakhtiga difaaca.

1. Tusaalaha falanqaynta
Fayrasku wuxuu marka hore u magacaabay hab-raaciisa "/usr/sbin/dropbear" ama "sshd" inuu is qariyo:

habka beddelka

Iyaga ka mid ah, xadhig sir ah ayaa la helay, algorithmamka decryption waa byte XOR ee 0xDEDEFFBA. Marka la isticmaalo, Kaliya kuwa la isticmaalo ayaa si gaar ah loo kala saaraa, laakiin kaliya 4 dhab ahaantii waa tixraac:

Xarig sir ah iyo algorithm-ka-dejinta

Tixraaca koowaad waa kaliya in lagu soo saaro xadhigga u dhigma shaashadda, iyo labada tixraacood ee dhexe waa hawlgallada habka ilaalinta si looga fogaado luminta xakamaynta sababtoo ah dib-u-bilawga qalabka:

fur oo xigasho

Hawlgallada soo haray waxaa lagu fuliyaa si wareeg ah, oo ay ku jirto bilawga xidhiidhka C2 (94.156.161.21:671), diraya nooca qalabka madal, Helitaanka amarka soo celinta iyo fulinta hawlgalka cutubka u dhigma. Oo marka la barbar dhigo koodhka isha ee uu sii daayay Gafgy, qaabka iyo habaynta amarka wax badan iskamay bedelin, qaabka amarkuna waa wali "!*Taliska [Halbeegga]"

code hawlgalka loop

HabkaCmd shaqada, wadar ahaan 14 amarrada waa laga jawaabaa waxaana la bilaabay weerarrada DDOS ee u dhigma, oo ay ku jiraan: "HTTP", "kordhinta CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "WAX WALBA", "CNC", "NIGGA"

shaashadda amarka - Amniga IoT

Iyaga ka mid ah, CUDP, UDP, JSC, iyo modules-yada TCP dhamaantood waxay u diri karaan xadhkaha random IP-ga iyo dekedda, waxayna dib u dhisi karaan baakadaha TCP iyo UDP ee madaxa IP-ga ee iskood u dhisan si ay u qariyaan ciwaanka IP-ga isha.

qaab dhismeedka fariinta

Horgalayaasha C waxaa lagu qiyaasaa inuu yahay soo gaabinta caadada. Tusaale ahaan CUDP iyo UDP, ee nooca asalka ah ee Gafgyt, Halbeegyada ku jira taliska la soo saaray waxaa ka mid ah: ip, dekedda, waqti, maraqsan, xirmo, pollinterval iyo qiyamka goobta kale iyo qaniinyada calanka ee dhismaha baakadaha UDP. Tusaalahan, si kastaba ha ahaatee, Natiijooyinka la arkay waxay muujinayaan in ay tahay ku-dhaqanka cabbirradan heerar kala duwan oo xaddidid ah, kuwaas oo kor u qaadi kara dabacsanaanta noocyada gaarka ah ee weerarrada DDOS.

Isbarbardhigga CUDP iyo UDP

Shaqooyinka cutubyada kale waxaa ka mid ah ku darida tiro badan oo ah xargaha Wakiilka Isticmaalaha, kuwaas oo loo isticmaalo in lagu bilaabo amarrada HTTP ee weerarada CC:

CC weerar

Waxaa ku jira weerarrada ka dhanka ah server-yada Matoorka Isha ee Valve: ("Source Engine" Weydiimaha waa qayb ka mid ah xidhiidhka maalinlaha ah ee u dhexeeya macaamiisha iyo adeegayaasha ciyaarta iyadoo la isticmaalayo borotokoolka software Valve)

Weerarada ka dhanka ah warshadaha ciyaaraha

Oo ay ku jiraan amarada CNC ee bedeli kara xidhiidhka IP:

beddel xiriirka IP

Waxaa ku jira SYN iyo weerarrada ACK:

SYN iyo ACK weerarrada

Oo ay ku jiraan UDP STD werarada daadka:

Weerarka STD

Oo uu ku jiro weerarka XMAS: (taasi waa, Weerar geedka kirismaska, adoo dejinaya dhammaan qaybaha calanka ee TCP 1, sidaas darteedna u cunaya agabka habaynta wax-ka-qabashada ee nidaamka bartilmaameedka)

XMAS weerar

Qaybta NIGGA waxay u dhigantaa amarka KILLATTK ee nooca asalka ah, Kaas oo joojiya weerarrada DoSS iyadoo dila dhammaan hababka carruurta marka laga reebo habka ugu muhiimsan

NIGGA module

Falanqaynta isbarbardhigga
Habka shaqadaCmd ee kaydiya macquulka ugu weyn ee koodhka isha waxa ku jira PING, GETLOCALIP, Scanner, EMAILKA, JANK, UDP, TCP, HAYSO, KILLATTK, iyo modules LOLNOGTFO. Kaliya noocyada la fududeeyay ee UDP iyo qaybaha TCP ayaa ku wada nool kala duwanaanshaha ka faa'iidaysiga wakhtigan. .

Iyo hawlgalka helitaanka IP-ga maxalliga ah, Nooca asalka ah wuxuu helayaa IP-ga maxalliga ah iyada oo loo marayo /proc/net/route oo ku soo celiyaa moduleka GETLOCALIP. Qalliin isku mid ah ayaa lagu arkay kala duwanaanshahan, laakiin ma jiro module GETLOCALIP iyo tixraacyo lama arkin.

Hel IP maxaliga ah

Waxaa xusid mudan in aanu jirin nooc asal ah oo ka mid ah moduleka SCANNER ee loo adeegsaday qarxinta SSH (dekedda 22) muunad noocaan ah, mana jiraan noocyo kale oo isku dhafan "codsiyada/qalabka" baylahda lagu faafiyo Payload. Waxaa la arki karaa in weeraryahanku u kala qaybiyo moduleka faafinta barnaamijyo madaxbannaan, iyo ka dib markaad si guul leh u gasho martigeliyaha dhibbanaha, wuxuu soo dejin doonaa muunada isgaadhsiinta ee marxaladda xigta isaga oo fulinaya sanduuqa shellcode, taasi waa, muunada falanqaynta.

Fulin tusaalaha shellcode

Qaadashada muunado laga helay isla isha tusaale ahaan, Weeraryahanku wuxuu ka xayuubiyay macluumaadka cilladaha inta badan muunadaha, in yar mooyee, sida: x86.