மின்னஞ்சல்: anwenqq2690502116@gmail.com
இன்டர்நெட் ஆஃப் திங்ஸை நோக்கமாகக் கொண்டது, ஒரு புதிய மாறுபாடு "காஃபிட்" ட்ரோஜன் தோன்றுகிறது
சமீபத்தில், Huorong Security Lab வைரஸ் ஊடுருவல் சம்பவத்தை கண்டுபிடித்தது, விசாரணை மற்றும் பகுப்பாய்விற்குப் பிறகு காஃப்கிட் ட்ரோஜன் வைரஸின் புதிய மாறுபாடு என உறுதிப்படுத்தப்பட்டது.
Gafgyt என்பது IRC நெறிமுறையின் அடிப்படையில் ஒரு IoT பாட்நெட் நிரலாகும், இது முக்கியமாக லினக்ஸ் அடிப்படையிலான பாதிப்பை ஏற்படுத்துகிறது IoT சாதனங்கள் விநியோகிக்கப்பட்ட சேவை மறுப்பு தாக்குதல்களைத் தொடங்க (DDoS). இது மிராய் குடும்பத்தைத் தவிர மிகப்பெரிய செயலில் உள்ள IoT பாட்நெட் குடும்பமாகும்.
அதன் மூலக் குறியீடு கசிந்து கிட்ஹப்பில் பதிவேற்றப்பட்ட பிறகு 2015, பல்வேறு மாறுபாடுகள் மற்றும் சுரண்டல்கள் ஒன்றன் பின் ஒன்றாக வெளிப்பட்டன, பயனர்களுக்கு அதிக பாதுகாப்பு அச்சுறுத்தலை ஏற்படுத்துகிறது. தற்போது, Huorong பாதுகாப்பு தயாரிப்புகள் மேலே குறிப்பிட்ட வைரஸ்களை இடைமறித்து அழிக்க முடியும். எண்டர்பிரைஸ் பயனர்கள் பாதுகாப்புக்காக வைரஸ் தரவுத்தளத்தை சரியான நேரத்தில் புதுப்பிக்குமாறு கேட்டுக் கொள்ளப்படுகிறார்கள்.
1. மாதிரி பகுப்பாய்வு
வைரஸ் முதலில் அதன் சொந்த செயல்முறையை மறுபெயரிடுகிறது "/usr/sbin/dropbear" அல்லது "sshd" தன்னை மறைக்க:
செயல்முறை மறுபெயரிடுதல்
அவர்களில், மறைகுறியாக்கப்பட்ட சரம் காணப்படுகிறது, மற்றும் டிக்ரிப்ஷன் அல்காரிதம் என்பது 0xDEDEFFBA இன் பைட் XOR ஆகும். பயன்படுத்தும் போது, பயன்படுத்தப்பட்டவை மட்டுமே தனித்தனியாக டிக்ரிப்ட் செய்யப்படுகின்றன, ஆனால் மட்டும் 4 உண்மையில் குறிப்பிடப்படுகின்றன:
மறைகுறியாக்கப்பட்ட சரம் மற்றும் மறைகுறியாக்க அல்காரிதம்
முதல் குறிப்பு திரையில் தொடர்புடைய சரத்தை வெளியிடுவது மட்டுமே, மற்றும் நடுத்தர இரண்டு குறிப்புகள், சாதனத்தை மறுதொடக்கம் செய்வதால் கட்டுப்பாட்டை இழப்பதைத் தவிர்ப்பதற்காக கண்காணிப்பு செயல்முறையின் செயல்பாடுகளாகும்:
மறைகுறியாக்கம் மற்றும் மேற்கோள்
மீதமுள்ள செயல்பாடுகள் ஒரு வளையத்தில் மேற்கொள்ளப்படுகின்றன, C2 இணைப்பை துவக்குவது உட்பட (94.156.161.21:671), இயங்குதள சாதன வகையை அனுப்புகிறது, திரும்பும் கட்டளையைப் பெற்று, தொடர்புடைய தொகுதி செயல்பாட்டைச் செயல்படுத்துகிறது. மேலும் காஃப்ஜியால் கசிந்த மூலக் குறியீட்டுடன் ஒப்பிடும்போது, கட்டளையின் வடிவம் மற்றும் செயலாக்கம் பெரிதாக மாறவில்லை, மற்றும் கட்டளையின் வடிவம் இன்னும் உள்ளது "!*கட்டளை [அளவுரு]"
லூப் செயல்பாட்டுக் குறியீடு
processCmd செயல்பாட்டில், மொத்தம் 14 கட்டளைகள் பதிலளிக்கப்படுகின்றன மற்றும் தொடர்புடைய DDOS தாக்குதல்கள் தொடங்கப்படுகின்றன, உட்பட: "HTTP", "CUDP நீட்டிப்பு", "UDP", "எஸ்.டி.டி", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "கிறிஸ்துமஸ்", "CVSE", "எல்லாம்", "CNC", "NIGGA"
கட்டளை ஸ்கிரீன்ஷாட் - IoT பாதுகாப்பு
அவர்களில், CUDP, UDP, JSC, மற்றும் TCP தொகுதிகள் அனைத்தும் குறிப்பிட்ட IP மற்றும் போர்ட்டுக்கு சீரற்ற சரங்களை அனுப்பலாம், மற்றும் மூல IP முகவரியை மறைக்க சுய-கட்டமைக்கப்பட்ட IP தலைப்புகள் மூலம் TCP மற்றும் UDP பாக்கெட்டுகளை மறுகட்டமைக்கலாம்.
செய்தி அமைப்பு
C என்ற முன்னொட்டு வழக்கத்தின் சுருக்கமாக யூகிக்கப்படுகிறது. CUDP மற்றும் UDP ஆகியவற்றை உதாரணங்களாக எடுத்துக் கொள்ளுங்கள், காஃப்கிட்டின் அசல் பதிப்பில், வழங்கப்பட்ட கட்டளையில் உள்ள அளவுருக்கள் அடங்கும்: ip, துறைமுகம், நேரம், ஏமாற்றினார், பாக்கெட்டைஸ், மகரந்த இடைவெளி மற்றும் பிற புல மதிப்புகள் மற்றும் கொடி பிட்கள் UDP பாக்கெட்டுகளை உருவாக்குவதற்கு. இந்த மாதிரியில், எனினும், கவனிக்கப்பட்ட முடிவுகள், இந்த அளவுருக்களை வெவ்வேறு அளவிலான கட்டுப்பாடுகளுக்குப் பயன்படுத்துவதாகக் காட்டுகின்றன, குறிப்பிட்ட வகை DDOS தாக்குதல்களின் நெகிழ்வுத்தன்மையை மேம்படுத்தும்.
CUDP மற்றும் UDP ஆகியவற்றின் ஒப்பீடு
பிற தொகுதிகளின் செயல்பாடுகளில் அதிக எண்ணிக்கையிலான பயனர்-ஏஜெண்ட் சரங்களைச் சேர்ப்பது அடங்கும், CC தாக்குதல்களுக்கு HTTP கட்டளைகளை துவக்க பயன்படுகிறது:
சிசி தாக்குதல்
வால்வின் மூல இயந்திர சேவையகங்களுக்கு எதிரான தாக்குதல்களுக்காக சேர்க்கப்பட்டுள்ளது: ("மூல இயந்திரம்" வினவல்கள் வாடிக்கையாளர்களுக்கு இடையிலான தினசரி தகவல்தொடர்புகளின் ஒரு பகுதியாகும் விளையாட்டு சேவையகங்கள் வால்வு மென்பொருள் நெறிமுறையைப் பயன்படுத்தி)
கேமிங் துறைக்கு எதிரான தாக்குதல்கள்
இணைப்பு ஐபியை மாற்றக்கூடிய CNC கட்டளைகள் உட்பட:
சுவிட்ச் இணைப்பு ஐபி
SYN மற்றும் ACK தாக்குதல்கள் அடங்கும்:
SYN மற்றும் ACK தாக்குதல்கள்
UDP STD வெள்ளத் தாக்குதல்கள் உட்பட:
STD தாக்குதல்
XMAS தாக்குதல் உட்பட: (அது, கிறிஸ்துமஸ் மரம் தாக்குதல், TCP இன் அனைத்து கொடி பிட்களையும் அமைப்பதன் மூலம் 1, இதனால் இலக்கு அமைப்பின் அதிக பதில் செயலாக்க வளங்களை உட்கொள்ளும்)
XMAS தாக்குதல்
NIGGA தொகுதி அசல் பதிப்பில் KILLATTK கட்டளைக்கு சமம், முக்கிய செயல்முறையைத் தவிர அனைத்து குழந்தை செயல்முறைகளையும் அழிப்பதன் மூலம் DoSS தாக்குதல்களை நிறுத்துகிறது
NIGGA தொகுதி
ஒப்பீட்டு பகுப்பாய்வு
மூலக் குறியீட்டில் முக்கிய தர்க்கத்தை சேமிக்கும் செயல்பாடு processCmd ஆனது PING ஐ உள்ளடக்கியது, GETLOCALIP, ஸ்கேனர், மின்னஞ்சல், குப்பை, UDP, TCP, பிடி, கில்லாட்க், மற்றும் LOLNOGTFO தொகுதிகள். UDP மற்றும் TCP தொகுதிகளின் எளிமைப்படுத்தப்பட்ட பதிப்புகள் மட்டுமே இந்த முறை கைப்பற்றப்பட்ட மாறுபாடு சுரண்டலில் இணைந்துள்ளன. .
மற்றும் உள்ளூர் ஐபி பெறுவதற்கான செயல்பாட்டில், அசல் பதிப்பு /proc/net/route மூலம் உள்ளூர் IP ஐப் பெறுகிறது மற்றும் GETLOCALIP தொகுதி மூலம் திருப்பியளிக்கிறது. அதே கெட் ஆபரேஷன் இந்த மாறுபாட்டிலும் காணப்படுகிறது, ஆனால் GETLOCALIP தொகுதி எதுவும் இல்லை மற்றும் எந்த குறிப்பும் காணப்படவில்லை.
உள்ளூர் ஐபியைப் பெறுங்கள்
SSH ஐ வெடிக்கப் பயன்படுத்தப்படும் SCANNER தொகுதியின் அசல் பதிப்பு எதுவும் இல்லை என்பது கவனிக்கத்தக்கது (துறைமுகம் 22) இந்த வகை மாதிரியில், மேலும் பல உட்பொதிக்கப்பட்ட வேறு வகைகள் எதுவும் இல்லை "பயன்பாடுகள்/சாதனம்" பேலோட் மூலம் பரவக்கூடிய பாதிப்புகள். தாக்குபவர் பரப்புதல் தொகுதியை சுயாதீன நிரல்களாகப் பிரிப்பதைக் காணலாம், பாதிக்கப்பட்ட ஹோஸ்டில் வெற்றிகரமாக உள்நுழைந்த பிறகு, ஷெல்கோடை இயக்குவதன் மூலம் அடுத்த கட்டத்திற்கான தகவல்தொடர்பு மாதிரியை அவர் பதிவிறக்குவார், அது, பகுப்பாய்வு மாதிரி.
ஷெல்கோட் உதாரணத்தை இயக்கவும்
அதே மூலத்திலிருந்து பெறப்பட்ட மாதிரிகளை உதாரணமாக எடுத்துக் கொள்ளுங்கள், தாக்குபவர் பெரும்பாலான மாதிரிகளின் பிழைத்திருத்தத் தகவலை அகற்றினார், ஒரு சிலரைத் தவிர, போன்றவை: x86.