Ho tsepamisa maikutlo ho Marang-rang a Lintho, mofuta o mocha oa "Gafgyt" Trojan e hlaha

Ho tsepamisa maikutlo ho Marang-rang a Lintho, mofuta o mocha oa "Gaffyt" Trojan e hlaha

Ho tsepamisa maikutlo ho Marang-rang a Lintho, mofuta o mocha oa "Gaffyt" Trojan e hlaha. Haufinyane tjena, Huorong Security Lab e sibollotse ketsahalo ea ho kenella ha vaerase, e ileng ea netefatsoa hore ke mofuta o mocha oa kokoana-hloko ea Gafgyt Trojan ka mor'a lipatlisiso le tlhahlobo.

Ho tsepamisa maikutlo ho Marang-rang a Lintho, mofuta o mocha oa "Gaffyt" Trojan e hlaha

Haufinyane tjena, Huorong Security Lab e sibollotse ketsahalo ea ho kenella ha vaerase, e ileng ea netefatsoa hore ke mofuta o mocha oa kokoana-hloko ea Gafgyt Trojan ka mor'a lipatlisiso le tlhahlobo.

Gafgyt ke lenaneo la botnet la IoT le ipapisitseng le protocol ea IRC, e tšoaetsang haholo Linux-based Lisebelisoa tsa IoT ho qala litlhaselo tsa ho hana litšebeletso (DDoS). Ke lelapa le leholo le sebetsang la IoT botnet ntle le lelapa la Mirai.

Kamora hore khoutu ea eona ea mohloli e luloe mme e kenngoe ho GitHub ho 2015, mefuta e fapaneng le mesebetsi e ile ea hlaha ka mor'a e 'ngoe, ho beha ts'okelo e kholo ho basebelisi. Hajoale, Lihlahisoa tsa ts'ireletso tsa Huorong li ka thibela le ho bolaea likokoana-hloko tse boletsoeng ka holimo. Basebelisi ba likhoebo ba kopuoa ho nchafatsa database ea vaerase ka nako bakeng sa ts'ireletso.

1. Tlhahlobo ea mohlala
Kokoana-hloko ea pele e reha mokhoa oa eona ho "/usr/sbin/dropbear" kapa "sshd" ho ipata:

tshebetso rename

Har'a bona, khoele e patiloeng e fumanoa, 'me algorithm ea decryption ke byte XOR ea 0xDEDEFFBA. Ha e sebelisoa, ke tse sebelisitsoeng feela tse hlakotsoeng ka bonngoe, empa feela 4 li hlile li boletsoe:

Khoele e kentsoeng le algorithm ea decryption

Tšupiso ea pele ke feela ho hlahisa khoele e lumellanang le skrineng, 'me litšupiso tse peli tse bohareng ke ts'ebetso ea ts'ebetso ea balebeli ho qoba ho lahleheloa ke taolo ka lebaka la ho qala sesebelisoa bocha:

decrypt le qotsa

Liketso tse setseng li etsoa ka loop, ho kenyelletsa ho qala khokahano ea C2 (94.156.161.21:671), ho romella mofuta oa sesebelisoa sa sethala, ho amohela taelo ea ho khutlisa le ho etsa ts'ebetso e ts'oanang ea module. Mme ha e bapisoa le khoutu ea mohloli e lutsitsoeng ke Gafgy, sebopeho le ts'ebetso ea taelo ha lia fetoha haholo, mme sebopeho sa taelo se ntse se le teng "!*Taelo [Paramethara]"

khoutu ea ts'ebetso ea loop

Ts'ebetsong ea processCmd, kakaretso ea 14 litaelo li arajoa 'me litlhaselo tse tsamaellanang tsa DDOS lia qalisoa, ho kenyeletsa: "HTTP", "Katoloso ea CUDP", "UDP", "STD", "JSC", "TCP", "SYNNE" , "ACK", "CXMAS", "XMAS", "CVSE", "TSOHLE", "CNC", "NGIGA"

laela screenshot - Tšireletso ea IoT

Har'a bona, CUDP, UDP, JSC, 'me li-module tsa TCP kaofela li ka romela likhoele tse sa reroang ho IP le port e boletsoeng, 'me e ka tsosolosa lipakete tsa TCP le UDP ka lihlooho tsa IP tse iketselitseng ho pata aterese ea IP ea mohloli.

sebopeho sa molaetsa

Sehlongoapele C ho hakanngoa hore ke khutsufatso ea tloaelo. Ho nka CUDP le UDP e le mehlala, phetolelong ea pele ea Gafgyt, mekhahlelo ea taelo e fanoeng e kenyelletsa: ip, boemakepe, nako, spoofed, packetsize, pollinterval le tse ling tsa masimo a boleng le likotoana tsa folakha Bakeng sa kaho ea lipakete tsa UDP. Mohlala ona, leha ho le joalo, liphetho tse hlokometsoeng li bonts'a hore ke ts'ebeliso ea li-parameter tsena ho maemo a fapaneng a thibelo, e ka ntlafatsang ho tenyetseha ha mefuta e itseng ea litlhaselo tsa DDOS.

Papiso ea CUDP le UDP

Mesebetsi ea li-module tse ling e kenyelletsa ho eketsa palo e kholo ea likhoele tsa Moemeli oa Mosebelisi, tse sebelisetsoang ho hlahisa litaelo tsa HTTP bakeng sa litlhaselo tsa CC:

CC tlhaselo

E kenyelelitsoe bakeng sa litlhaselo tse khahlano le li-server tsa Mohloli oa Mohloli oa Valve: ("Mohloli oa Mohloli" lipotso ke karolo ea puisano ea letsatsi le letsatsi pakeng tsa bareki le li-server tsa papali ho sebelisa protocol ea Valve software)

Litlhaselo khahlanong le indasteri ea lipapali

Ho kenyeletsoa litaelo tsa CNC tse ka fetolang khokahano ea IP:

fetola khokahano ea IP

E kenyelletsa litlhaselo tsa SYN le ACK:

Litlhaselo tsa SYN le ACK

Ho kenyeletsoa litlhaselo tsa likhohola tsa UDP STD:

Tlhaselo ea STD

Ho kenyelletsa tlhaselo ea XMAS: (ke hore, Tlhaselo ea sefate sa Keresemese, ka ho beha likotoana tsohle tsa folakha ea TCP ho 1, kahoo ho ja lisebelisoa tse ngata tsa ho sebetsana le likarabo tsa tsamaiso e lebisitsoeng)

Tlhaselo ea XMAS

Mojule oa NIGGA o lekana le taelo ea KILLATTK mofuteng oa pele, e emisang litlhaselo tsa DoSS ka ho bolaea lits'ebetso tsohle tsa bana ntle le ts'ebetso e kholo

Setšoantšo sa NIGGA

Tlhahlobo ea ho bapisa
Ts'ebetso ea ts'ebetsoCmd e bolokang mohopolo oa mantlha khoutu ea mohloli o kenyelletsa PING, GETLOCALIP, SEKAKANYANE, EMAIL, HLOKO, UDP, TCP, TS'EPA, KILLATTK, le LOLNOGTFO modules. Ke mefuta e nolofalitsoeng feela ea li-module tsa UDP le TCP tse teng ka har'a mefuta e fapaneng e sebelisoang nakong ena.. .

Le ts'ebetsong ea ho fumana IP ea lehae, mofuta oa mantlha o fumana IP ea lehae ka /proc/net/route ebe e e khutlisa ka module ea GETLOCALIP. Ts'ebetso e ts'oanang ea ho fumana e bonoa mofuteng ona, empa ha ho na module ea GETLOCALIP mme ha ho litšupiso tse hlokometsoeng.

Fumana IP ea lehae

Ho bohlokoa ho hlokomela hore ha ho na mofuta oa mantlha oa mojule oa SCANNER o sebelisetsoang ho phatlola SSH (boemakepe 22) mofuteng ona oa mohlala, 'me ha ho na mefuta e meng e kenyelletsang tse ngata "lisebelisoa/sesebelisoa" bofokoli ba ho hasana ka Payload. Ho ka bonoa hore mohlaseli o arola module ea phatlalatso ka mananeo a ikemetseng, le ka mor'a ho kena ka katleho ho moamoheli oa phofu, o tla khoasolla sampole ea puisano bakeng sa sethala se latelang ka ho etsa shellcode, ke hore, mohlala oa tlhahlobo.

Etsa mohlala oa shellcode

Ho nka mehlala e fumanoeng mohloling o le mong e le mohlala, mohlaseli o ile a hlobola boitsebiso ba ho lokisa liphoso bakeng sa boholo ba lisampole, haese ba mmalwa feela, joalo ka: x86.