Duke synuar internetin e gjërave, një variant i ri i "Gafgyt" Trojan shfaqet

Duke synuar internetin e gjërave, një variant i ri i "Gaffyt" Trojan shfaqet

Duke synuar internetin e gjërave, një variant i ri i "Gaffyt" Trojan shfaqet. Kohët e fundit, Huorong Security Lab zbuloi një incident të ndërhyrjes së virusit, i cili u konfirmua si një variant i ri i virusit Gafgyt Trojan pas hetimeve dhe analizave.

Duke synuar internetin e gjërave, një variant i ri i "Gaffyt" Trojan shfaqet

Kohët e fundit, Huorong Security Lab zbuloi një incident të ndërhyrjes së virusit, i cili u konfirmua si një variant i ri i virusit Gafgyt Trojan pas hetimeve dhe analizave.

Gafgyt është një program botnet IoT i bazuar në protokollin IRC, i cili kryesisht infekton me bazë Linux Pajisjet IoT për të nisur sulmet e shpërndara të mohimit të shërbimit (DDoS). Është familja më e madhe aktive botnet IoT përveç familjes Mirai.

Pasi kodi i tij burim u zbulua dhe u ngarkua në GitHub në 2015, dolën njëra pas tjetrës variante dhe shfrytëzime të ndryshme, duke paraqitur një kërcënim më të madh të sigurisë për përdoruesit. Aktualisht, Produktet e sigurisë Huorong mund të përgjojnë dhe vrasin viruset e lartpërmendura. Përdoruesit e ndërmarrjeve u kërkohet të përditësojnë bazën e të dhënave të viruseve në kohë për mbrojtje.

1. Analiza e mostrës
Virusi fillimisht riemëron procesin e tij në "/usr/sbin/dropbear" ose "sshd" për të fshehur veten:

riemërtimi i procesit

Midis tyre, gjendet vargu i koduar, dhe algoritmi i deshifrimit është bajt XOR i 0xDEDEFFBA. Kur përdoret, vetëm ato të përdorura deshifrohen individualisht, por vetem 4 në fakt janë të referuara:

Vargu i koduar dhe algoritmi i deshifrimit

Referenca e parë është vetëm nxjerrja e vargut përkatës në ekran, dhe dy referencat e mesme janë operacione në procesin e mbikëqyrjes për të shmangur humbjen e kontrollit për shkak të rinisjes së pajisjes:

deshifrojnë dhe citojnë

Operacionet e mbetura kryhen në një lak, duke përfshirë inicializimin e lidhjes C2 (94.156.161.21:671), dërgimi i llojit të pajisjes së platformës, marrjen e komandës kthyese dhe ekzekutimin e operacionit përkatës të modulit. Dhe krahasuar me kodin burimor të zbuluar nga Gafgy, formati dhe përpunimi i komandës nuk kanë ndryshuar shumë, dhe formati i komandës është ende "!*Komanda [Parametri]"

kodi i funksionimit të ciklit

Në funksionin processCmd, nje total prej 14 komandave u përgjigjen dhe nisen sulmet përkatëse DDOS, duke përfshirë: "HTTP", "Zgjatja e CUDP", "PZHU", "STD", "SHA", "TCP", "SYN" , "ACK", "CXMAS", "Krishtlindjet", "CVSE", "GJITHÇKA", "CNC", "NIGGA"

pamje nga ekrani i komandës - Siguria IoT

Midis tyre, CUDP, PZHU, SHA, dhe modulet TCP mund të dërgojnë të gjithë vargje të rastësishme në IP dhe portin e specifikuar, dhe mund të rindërtojë paketat TCP dhe UDP nga titujt IP të krijuar vetë për të fshehur adresën IP të burimit.

struktura e mesazhit

Parashtesa C mendohet të jetë shkurtesa e zakonit. Duke marrë CUDP dhe UDP si shembuj, në versionin origjinal të Gafgyt, parametrat në komandën e lëshuar përfshijnë: ip, port, koha, i mashtruar, madhësia e paketave, pollinterval dhe vlera të tjera të fushës dhe bit flamuri Për ndërtimin e paketave UDP. Në këtë mostër, megjithatë, rezultatet e vëzhguara tregojnë se është zbatimi i këtyre parametrave në shkallë të ndryshme kufizimi, të cilat mund të rrisin fleksibilitetin e llojeve specifike të sulmeve DDOS.

Krahasimi i CUDP dhe UDP

Funksionet e moduleve të tjera përfshijnë shtimin e një numri të madh të vargjeve të Agjentit të Përdoruesit, të cilat përdoren për të nisur komandat HTTP për sulmet CC:

Sulmi i CC

Përfshirë për sulme kundër serverëve të motorit burimor të Valve: ("Motori burimor" pyetjet janë pjesë e komunikimit të përditshëm ndërmjet klientëve dhe serverët e lojërave duke përdorur protokollin e softuerit Valve)

Sulmet kundër industrisë së lojrave

Përfshirë komandat CNC që mund të ndërrojnë IP të lidhjes:

IP lidhjen e ndërprerësit

Përfshin sulmet SYN dhe ACK:

Sulmet SYN dhe ACK

Përfshirë sulmet e përmbytjeve të UDP STD:

Sulmi STD

Përfshirë sulmin XMAS: (kjo eshte, Sulmi i pemës së Krishtlindjes, duke vendosur të gjitha pjesët e flamurit të TCP në 1, duke konsumuar kështu më shumë burime të përpunimit të përgjigjeve të sistemit të synuar)

Sulmi i Krishtlindjeve

Moduli NIGGA është ekuivalent me komandën KILLATTK në versionin origjinal, i cili ndalon sulmet DoSS duke vrarë të gjitha proceset e fëmijëve përveç procesit kryesor

Moduli NIGGA

Analiza krahasuese
Funksioni processCmd që ruan logjikën kryesore në kodin burim përfshin PING, GETLOCALIP, SKANERI, EMAIL, VJETURINA, PZHU, TCP, MBAJ, KILLATTK, dhe modulet LOLNOGTFO. Vetëm versionet e thjeshtuara të moduleve UDP dhe TCP bashkëjetojnë në shfrytëzimin e variantit të kapur këtë herë. .

Dhe në operacionin e marrjes së IP-së lokale, versioni origjinal merr IP-në lokale përmes /proc/net/route dhe e kthen atë përmes modulit GETLOCALIP. I njëjti operacion i marrjes vërehet në këtë variant, por nuk ka modul GETLOCALIP dhe nuk vërehen referenca.

Merrni IP lokale

Vlen të përmendet se nuk ka asnjë version origjinal të modulit SCANNER që përdoret për të shpërthyer SSH (port 22) në këtë lloj kampioni, dhe nuk ka variante të tjera që përfshijnë shumëfish "aplikacione/pajisje" dobësitë për t'u përhapur përmes Payload. Mund të shihet se sulmuesi e ndan modulin e përhapjes në programe të pavarura, dhe pas hyrjes me sukses në hostin e viktimës, ai do të shkarkojë mostrën e komunikimit për fazën tjetër duke ekzekutuar shellcode, kjo eshte, mostrën e analizës.

Ekzekutoni shembullin e shellcode

Marrja e mostrave të marra nga i njëjti burim si shembull, sulmuesi hoqi informacionin e korrigjimit për shumicën e mostrave, përveç disave, të tilla si: x86.