Циљање на Интернет ствари, нова варијанта „Гафгит" Појављује се тројанац

Циљање на Интернет ствари, нова варијанта "Гаффит" Појављује се тројанац

Циљање на Интернет ствари, нова варијанта "Гаффит" Појављује се тројанац. Недавно, Хуоронг Сецурити Лаб је открио инцидент са упадом вируса, за који је након истраге и анализе потврђено да је нова варијанта тројанског вируса Гафгит.

Циљање на Интернет ствари, нова варијанта "Гаффит" Појављује се тројанац

Недавно, Хуоронг Сецурити Лаб је открио инцидент са упадом вируса, за који је након истраге и анализе потврђено да је нова варијанта тројанског вируса Гафгит.

Гафгит је ИоТ ботнет програм заснован на ИРЦ протоколу, који углавном инфицира Линук засноване ИоТ уређаји да покрене дистрибуиране нападе ускраћивања услуге (ДДоС). То је највећа активна ИоТ ботнет породица осим Мираи породице.

Након што је његов изворни код процурио и постављен на ГитХуб 2015, низале су се једна за другом разне варијанте и подвизи, представља већу претњу по безбедност корисника. Сада, Хуоронг безбедносни производи могу пресрести и убити горе поменуте вирусе. Од пословних корисника се тражи да ажурирају базу вируса на време за одбрану.

1. Анализа узорка
Вирус прво преименује свој процес у "/уср/сбин/дропбеар" или "ссхд" да се сакрије:

преименовати процес

Међу њима, шифровани стринг је пронађен, а алгоритам за дешифровање је бајт КСОР од 0кДЕДЕФФБА. Када се користи, само коришћени се дешифрују појединачно, али само 4 су заправо референцирани:

Шифровани стринг и алгоритам за дешифровање

Прва референца је само да се прикаже одговарајући стринг на екрану, а средње две референце су операције надзорног процеса како би се избегло губљење контроле услед поновног покретања уређаја:

дешифрујте и цитирајте

Преостале операције се изводе у петљи, укључујући иницијализацију Ц2 везе (94.156.161.21:671), слање типа уређаја платформе, примање команде за повратак и извршавање одговарајуће операције модула. И у поређењу са изворним кодом који је процурио Гафги, формат и обрада команде нису се много променили, а формат команде је и даље "!*Цомманд [Параметар]"

код операције петље

У функцији процессЦмд, укупно 14 реагује се на команде и покрећу се одговарајући ДДОС напади, укључујући: "ХТТП", "ЦУДП екстензија", "УДП", "СТД", "ЈСЦ", "ТЦП", "СИН" , "АЦК", "ЦКСМАС", "КСМАС", "ЦВСЕ", "СВЕ", "ЦНЦ", "НИГГА"

снимак екрана команде - ИоТ безбедност

Међу њима, тхе ЦУДП, УДП, ЈСЦ, и ТЦП модули могу сви слати насумичне стрингове на наведени ИП и порт, и може да реконструише ТЦП и УДП пакете помоћу сопствених ИП заглавља да би сакрио изворну ИП адресу.

структура поруке

Претпоставља се да је префикс Ц скраћеница од обичаја. Узимајући ЦУДП и УДП као примере, у оригиналној верзији Гафгита, параметри у издатој команди укључују: ип, Лука, време, лажиран, величина пакета, поллинтервал и друге вредности поља и битови заставице За конструкцију УДП пакета. У овом узорку, Међутим, посматрани резултати показују да је примена ових параметара на различите степене ограничења, што може побољшати флексибилност специфичних типова ДДОС напада.

Поређење ЦУДП и УДП

Функције других модула укључују додавање великог броја стрингова Усер-Агент, који се користе за покретање ХТТП команди за ЦЦ нападе:

ЦЦ напад

Укључено за нападе на Валвеове Соурце Енгине сервере: ("Соурце Енгине" упити су део свакодневне комуникације између клијената и сервери за игре користећи софтверски протокол Валве)

Напади на индустрију игара

Укључујући ЦНЦ команде које могу да промене ИП везе:

ИП веза прекидача

Укључује СИН и АЦК нападе:

СИН и АЦК напади

Укључујући УДП СТД флоод нападе:

Напад сполно преносивих болести

Укључујући КСМАС напад: (то је, Напад на јелку, постављањем свих битова заставице ТЦП-а на 1, чиме се троши више ресурса за обраду одговора циљног система)

КСМАС напад

Модул НИГГА је еквивалентан команди КИЛЛАТТК у оригиналној верзији, који зауставља ДоСС нападе тако што убија све подређене процесе осим главног процеса

НИГГА модул

Компаративна анализа
Функција процессЦмд која чува главну логику у изворном коду укључује ПИНГ, ГЕЛТОЦАЛИП, СЦЕНЕР, ЕМАИЛ, ЂУБРЕ, УДП, ТЦП, ДРЖАТИ, КИЛЛАТТК, и ЛОЛНОГТФО модули. Само поједностављене верзије УДП и ТЦП модула коегзистирају у варијанти експлоатације која је ухваћена овог пута. .

И у операцији добијања локалног ИП-а, оригинална верзија добија локални ИП преко /проц/нет/роуте и враћа га преко ГЕТЛОЦАЛИП модула. Иста операција добијања се примећује и у овој варијанти, али нема ГЕТЛОЦАЛИП модула нити се уочавају референце.

Набавите локални ИП

Вреди напоменути да не постоји оригинална верзија СЦЕНЕРА модула који се користи за разбијање ССХ-а (Лука 22) у овој врсти узорка, и нема других варијанти које уграђују вишеструке "апликације/уређај" рањивости за ширење кроз Паилоад. Може се видети да нападач дели модул за пропагацију у независне програме, и након успешног пријављивања на хост жртве, он ће преузети узорак комуникације за следећу фазу извршавањем схелл кода, то је, узорак за анализу.

Изврши пример схеллцоде-а

Узимајући за пример узорке добијене из истог извора, нападач је уклонио информације о отклањању грешака за већину узорака, осим неколико, као такав: к86.