Kulenga Mtandao wa Mambo, lahaja mpya ya "Gafgyt" Trojan inaonekana

Kulenga Mtandao wa Mambo, lahaja mpya ya "Gaffyt" Trojan inaonekana

Kulenga Mtandao wa Mambo, lahaja mpya ya "Gaffyt" Trojan inaonekana. Hivi majuzi, Maabara ya Usalama ya Huorong iligundua tukio la uvamizi wa virusi, ambayo ilithibitishwa kuwa lahaja mpya ya virusi vya Gafgyt Trojan baada ya uchunguzi na uchambuzi.

Kulenga Mtandao wa Mambo, lahaja mpya ya "Gaffyt" Trojan inaonekana

Hivi majuzi, Maabara ya Usalama ya Huorong iligundua tukio la uvamizi wa virusi, ambayo ilithibitishwa kuwa lahaja mpya ya virusi vya Gafgyt Trojan baada ya uchunguzi na uchambuzi.

Gafgyt ni mpango wa botnet wa IoT kulingana na itifaki ya IRC, ambayo huambukiza msingi wa Linux Vifaa vya IoT kuzindua mashambulizi ya kunyimwa huduma (DDoS). Ni familia kubwa zaidi ya botnet ya IoT zaidi ya familia ya Mirai.

Baada ya msimbo wake wa chanzo kuvuja na kupakiwa kwa GitHub in 2015, lahaja mbalimbali na ushujaa ziliibuka moja baada ya nyingine, kusababisha tishio kubwa la usalama kwa watumiaji. Wakati huu, Bidhaa za usalama za Huorong zinaweza kuzuia na kuua virusi vilivyotajwa hapo juu. Watumiaji wa biashara wanaombwa kusasisha hifadhidata ya virusi kwa wakati kwa ajili ya ulinzi.

1. Uchambuzi wa sampuli
Virusi hubadilisha jina kwanza mchakato wake kuwa "/usr/sbin/dropbear" au "sshd" kujificha:

mchakato wa kubadilisha jina

Kati yao, kamba iliyosimbwa hupatikana, na algorithm ya usimbuaji ni XOR ya 0xDEDEFFBA. Inapotumika, zile tu zilizotumika zimesimbwa kivyake, bali tu 4 zinarejelewa kweli:

Mfuatano uliosimbwa kwa njia fiche na algoriti ya usimbuaji

Rejea ya kwanza ni kutoa tu kamba inayolingana kwenye skrini, na marejeleo mawili ya kati ni shughuli kwenye mchakato wa walinzi ili kuzuia kupoteza udhibiti kwa sababu ya kuwasha tena kifaa:

decrypt na nukuu

Shughuli zilizobaki zinafanywa kwa kitanzi, ikiwa ni pamoja na kuanzisha muunganisho wa C2 (94.156.161.21:671), kutuma aina ya kifaa cha jukwaa, kupokea amri ya kurudi na kutekeleza operesheni ya moduli inayolingana. Na ikilinganishwa na msimbo wa chanzo uliovuja na Gafgy, umbizo na usindikaji wa amri haujabadilika sana, na umbizo la amri bado "!*Amri [Kigezo]"

nambari ya operesheni ya kitanzi

Katika mchakatoCmd kitendakazi, jumla ya 14 amri hujibiwa na mashambulizi yanayolingana ya DDOS yanazinduliwa, ikijumuisha: "HTTP", "Ugani wa CUDP", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "KILA KITU", "CNC", "NIGGA"

amri ya skrini - Usalama wa IoT

Kati yao, CUDP, UDP, JSC, na moduli za TCP zote zinaweza kutuma mifuatano ya nasibu kwa IP na bandari maalum, na inaweza kuunda upya pakiti za TCP na UDP kwa vichwa vya IP vilivyoundwa kibinafsi ili kuficha anwani ya IP ya chanzo.

muundo wa ujumbe

Kiambishi awali C kinakisiwa kuwa ufupisho wa desturi. Tukichukua CUDP na UDP kama mifano, katika toleo asili la Gafgyt, vigezo katika amri iliyotolewa ni pamoja na: ip, bandari, wakati, spoofed, ukubwa wa pakiti, pollinterval na maadili mengine ya shamba na vipande vya bendera Kwa ajili ya ujenzi wa pakiti za UDP. Katika sampuli hii, hata hivyo, matokeo yaliyozingatiwa yanaonyesha kuwa ni matumizi ya vigezo hivi kwa viwango tofauti vya kizuizi, ambayo inaweza kuimarisha unyumbufu wa aina maalum za mashambulizi ya DDOS.

Ulinganisho wa CUDP na UDP

Kazi za moduli zingine ni pamoja na kuongeza idadi kubwa ya mifuatano ya Wakala wa Mtumiaji, ambayo hutumiwa kuzindua amri za HTTP kwa mashambulizi ya CC:

Shambulio la CC

Imejumuishwa kwa mashambulizi dhidi ya seva za Injini ya Chanzo cha Valve: ("Injini ya Chanzo" maswali ni sehemu ya mawasiliano ya kila siku kati ya wateja na seva za mchezo kwa kutumia itifaki ya programu ya Valve)

Mashambulizi dhidi ya tasnia ya michezo ya kubahatisha

Ikiwa ni pamoja na amri za CNC zinazoweza kubadili IP ya muunganisho:

badilisha IP ya unganisho

Inajumuisha mashambulizi ya SYN na ACK:

SYN na mashambulizi ya ACK

Ikiwa ni pamoja na mashambulizi ya mafuriko ya UDP STD:

Shambulio la STD

Ikiwa ni pamoja na shambulio la XMAS: (hiyo ni, Shambulio la mti wa Krismasi, kwa kuweka vipande vyote vya bendera ya TCP kuwa 1, hivyo kutumia rasilimali zaidi za usindikaji wa majibu ya mfumo lengwa)

Shambulio la XMAS

Moduli ya NIGGA ni sawa na amri ya KILLATTK katika toleo asili, ambayo inasimamisha mashambulizi ya DoSS kwa kuua michakato yote ya watoto isipokuwa mchakato mkuu

Sehemu ya NIGGA

Uchambuzi wa kulinganisha
Mchakato wa kukokotoa Cmd unaohifadhi mantiki kuu katika msimbo wa chanzo ni pamoja na PING, GETLOCALIP, SAKATA, EMAIL, JUNK, UDP, TCP, SHIKA, KILLATTK, na moduli za LOLNOGTFO. Matoleo yaliyorahisishwa pekee ya moduli za UDP na TCP huishi pamoja katika toleo la ushujaa lililonaswa wakati huu.. .

Na katika uendeshaji wa kupata IP ya ndani, toleo la asili hupata IP ya ndani kupitia /proc/net/route na kuirudisha kupitia moduli ya GETLOCALIP. Uendeshaji sawa wa kupata unazingatiwa katika lahaja hii, lakini hakuna moduli ya GETLOCALIP na hakuna marejeleo yanayozingatiwa.

Pata IP ya ndani

Inafaa kumbuka kuwa hakuna toleo asili la moduli ya SCANNER inayotumika kulipua SSH (bandari 22) katika aina hii ya sampuli, na hakuna vibadala vingine vinavyopachika nyingi "maombi/kifaa" udhaifu kuenea kupitia Payload. Inaweza kuonekana kuwa mshambuliaji hugawanya moduli ya uenezi katika programu za kujitegemea, na baada ya kufanikiwa kuingia kwa mwenyeji wa mwathirika, atapakua sampuli ya mawasiliano kwa hatua inayofuata kwa kutekeleza msimbo wa ganda, hiyo ni, sampuli ya uchambuzi.

Tekeleza mfano wa nambari ya ganda

Kuchukua sampuli zilizopatikana kutoka kwa chanzo sawa kama mfano, mshambuliaji aliondoa maelezo ya utatuzi kwa sampuli nyingi, isipokuwa kwa wachache, kama vile: x86.