Surélék: anwenqq2690502116@gmail.com

deteksi Tinder sarta pembunuhan

Tujuan dina Internet of Things, varian anyar tina "Gaffyt" Trojan mucunghul

Tujuan dina Internet of Things, varian anyar tina "Gaffyt" Trojan mucunghul. Nembe, Huorong Security Lab mendakan kajadian intrusi virus, nu dikonfirmasi janten varian anyar tina virus Gafgyt Trojan sanggeus panalungtikan sarta analisis.

Tujuan dina Internet of Things, varian anyar tina "Gaffyt" Trojan mucunghul

Nembe, Huorong Security Lab mendakan kajadian intrusi virus, nu dikonfirmasi janten varian anyar tina virus Gafgyt Trojan sanggeus panalungtikan sarta analisis.

Gafgyt mangrupikeun program botnet IoT dumasar kana protokol IRC, nu utamana infects basis Linux alat-alat IoT pikeun ngaluncurkeun serangan panolakan jasa anu disebarkeun (DDoS). Éta mangrupikeun kulawarga botnet IoT aktip panggedéna sanés ti kulawarga Mirai.

Saatos kode sumberna bocor sareng diunggah ka GitHub 2015, rupa-rupa varian jeung eksploitasi mecenghul hiji sanggeus sejen, posing ancaman kaamanan gede pikeun pamaké. Ayeuna, Produk kaamanan Huorong tiasa nyegat sareng maéhan virus anu disebatkeun di luhur. Pangguna perusahaan dipénta pikeun ngapdet pangkalan data virus dina waktosna pikeun pertahanan.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. Analisis sampel
Virus mimiti ngaganti ngaran prosés sorangan jadi "/usr / sbin / dropbear" atawa "sshd" pikeun nyumputkeun diri:

process rename
prosés ngaganti ngaran

Diantara aranjeunna, string énkripsi kapanggih, sareng algoritma dekripsi nyaéta bait XOR tina 0xDEDEFFBA. Lamun dipaké, ngan anu dipaké didékripsi masing-masing, tapi ngan 4 sabenerna referenced:

Encrypted string and decryption algorithm
String énkripsi sareng algoritma dekripsi

 

Rujukan kahiji ngan ukur kaluaran senar anu aya dina layar, jeung dua rujukan tengah nyaéta operasi dina prosés watchdog pikeun nyegah kaleungitan kontrol alatan balikan deui alat:

decrypt and quote

ngadekrip jeung cutatan

 

Operasi sésana dilaksanakeun dina loop a, kaasup initializing sambungan C2 (94.156.161.21:671), ngirim tipe alat platform, narima paréntah balik sarta executing operasi modul pakait. Sareng dibandingkeun sareng kode sumber anu bocor ku Gafgy, format jeung ngolah paréntah teu robah teuing, jeung format paréntah masih "!*Paréntah [Parameter]"

loop operation code

kode operasi loop

 

Dina fungsi processCmd, jumlahna 14 paréntah direspon jeung serangan DDOS pakait dibuka, kaasup: "HTTP", "perpanjangan CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "SADAYANA", "CNC", "NIGGA"

command screenshot - IoT security
paréntah screenshot - kaamanan IoT

 

Diantara aranjeunna, éta CUDP, UDP, JSC, sarta modul TCP sadayana tiasa ngirim string acak ka IP dieusian tur port, sareng tiasa ngarekonstruksikeun pakét TCP sareng UDP ku header IP anu diwangun nyalira pikeun nyumputkeun alamat IP sumber..

 

message structure
struktur pesen

 

Awalan C ditebak minangka singketan tina adat. Nyandak CUDP sareng UDP sabagé conto, dina versi aslina tina Gafgyt, parameter dina paréntah dikaluarkeun ngawengku: ip, palabuhan, waktos, dibobodo, ukuran pakét, pollinterval sarta nilai widang sejen tur bit bandéra Pikeun pangwangunan pakét UDP. Dina sampel ieu, kumaha oge, hasil observasi némbongkeun yén éta téh aplikasi tina parameter ieu ka derajat béda tina pangwatesan, nu bisa ningkatkeun kalenturan tipe husus tina serangan DDOS.

Babandingan CUDP na UDP

Pungsi modul séjén kaasup nambahkeun angka nu gede ngarupakeun string pamaké-Agen, nu dipaké pikeun ngajalankeun paréntah HTTP pikeun serangan CC:

serangan CC

Kaasup pikeun serangan ngalawan server Source Engine klep urang: ("Sumber Engine" queries mangrupakeun bagian tina komunikasi poean antara klien tur server kaulinan ngagunakeun protokol software Valve)

Serangan ngalawan industri kaulinan

Kaasup paréntah CNC nu bisa pindah IP sambungan:

switch sambungan IP

Ngawengku serangan SYN sareng ACK:

SYN jeung serangan ACK

Kaasup serangan caah UDP STD:

serangan STD

Kaasup serangan XMAS: (nyaeta, serangan tangkal Natal, ku netepkeun sadaya bit bandéra tina TCP ka 1, sahingga consuming sumberdaya processing respon leuwih sistem target)

serangan XMAS

Modul NIGGA sarua jeung paréntah KILLATTK dina versi aslina, nu ngeureunkeun serangan DoSS ku maéhan sakabéh prosés anak iwal prosés utama

modul NIGGA

Analisis komparatif
Fungsi processCmd nu nyimpen logika utama dina kode sumber ngawengku PING, GETLOCALIP, SCANNER, EMAIL, RUNTAH, UDP, TCP, TAHAN, KILLATTK, sarta modul LOLNOGTFO. Ngan ukur versi saderhana tina modul UDP sareng TCP anu hirup babarengan dina eksploitasi varian anu dicandak ayeuna.. .

Sarta dina operasi meunangkeun IP lokal, versi aslina meunangkeun IP lokal ngaliwatan / proc / net / rute sarta balik deui ngaliwatan modul GETLOCALIP. Operasi get sarua dititénan dina varian ieu, tapi teu aya modul GETLOCALIP sareng henteu aya rujukan anu dititénan.

Kéngingkeun IP lokal

Eta sia noting yén euweuh versi aslina tina modul SCANNER dipaké pikeun blast SSH (palabuhan 22) dina tipe ieu sampel, tur euweuh varian séjén nu embed sababaraha "aplikasi / alat" kerentanan nyebarkeun ngaliwatan Payload. Éta tiasa katingali yén panyerang ngabagi modul rambatan kana program mandiri, sarta sanggeus hasil login ka host korban, anjeunna bakal ngundeur sampel komunikasi pikeun tahap salajengna ku executing shellcode nu, nyaeta, sampel analisis.

Jalankeun conto shellcode

Nyandak conto anu dicandak tina sumber anu sami sareng conto, panyerang ngaleungitkeun inpormasi debugging pikeun kalolobaan conto, iwal sababaraha, sapertos: x86.

Bagikeun cinta anjeun

Tulisan patali

Ninggalkeun Balasan

alamat surélék anjeun moal diterbitkeun. Widang diperlukeun ditandaan *