Почтаи электронӣ: anwenqq2690502116@gmail.com
Ҳадаф ба Интернети чизҳо, варианти нави "Гаффит" Trojan пайдо мешавад
Ба наздикй, Лабораторияи амнияти Huorong як ҳодисаи ҳамлаи вирусро кашф кард, ки пас аз тафтиш ва тахлил як варианти нави вируси троянии Gafgyt аст.
Gafgyt як барномаи ботнети IoT дар асоси протоколи IRC мебошад, ки асосан дар асоси Linux сироят мекунад Дастгоҳҳои IoT барои оғоз кардани ҳамлаҳои паҳншудаи радкунии хидмат (DDoS). Ин бузургтарин оилаи ботнетҳои IoT ба ғайр аз оилаи Мирай мебошад.
Пас аз он ки рамзи сарчашмаи он фош шуд ва ба GitHub бор карда шуд 2015, варианту истисморхои гуногун паи хам ба вучуд омаданд, барои корбарон ба амнияти бештар таҳдид мекунад. Дар айни ҳол, Маҳсулоти амнияти Huorong метавонад вирусҳои дар боло зикршударо боздорад ва бикушад. Аз корбарони корхона дархост карда мешавад, ки маълумотҳои вирусиро сари вақт барои муҳофизат навсозӣ кунанд.
1. Таҳлили намуна
Вирус аввал раванди худро бо номи худ иваз мекунад "/usr/sbin/dropbear" ё "sshd" худро пинҳон кардан:
номгузории раванд
Дар байни онҳо, сатри шифршуда пайдо мешавад, ва алгоритми рамзкушоӣ байт XOR-и 0xDEDEFFBA мебошад. Ҳангоми истифода, танҳо ашхоси истифодашуда алоҳида рамзкушо карда мешаванд, балки танхо 4 воқеан истинод карда мешаванд:
Алгоритми сатри рамзгузорӣ ва рамзкушоӣ
Истиноди аввал танҳо барои баровардани сатри мувофиқ ба экран аст, ва ду истинодҳои мобайнӣ амалиётҳо дар ҷараёни назорати назоратӣ барои пешгирӣ аз аз даст додани назорат аз сабаби бозоғозии дастгоҳ мебошанд:
рамзкушоӣ ва иқтибос
Амалиёти боқимонда дар як ҳалқа анҷом дода мешавад, аз ҷумла оғоз кардани пайвасти C2 (94.156.161.21:671), фиристодани навъи дастгоҳи платформа, гирифтани фармони бозгашт ва иҷрои амалиёти мувофиқи модул. Ва дар муқоиса бо коди сарчашмае, ки аз ҷониби Gafgy фош карда шудааст, формат ва коркарди команда чандон тагьир наёфтааст, ва формати фармон ҳоло ҳам аст "!*Фармон [Параметр]"
рамзи амалиёти даври
Дар функсияи processCmd, умумии 14 фармонҳо ҷавоб медиҳанд ва ҳамлаҳои мувофиқи DDOS оғоз мешаванд, аз чумла: "HTTP", "Тамдиди CUDP", "UDP", "STD", "ЧШС", "TCP", "СИН" , "ACK", "CXMAS", "XMAS", "CVSE", "ХАМА ЧИЗ", "CNC", "НИГГА"
скриншоти фармон - Амнияти IoT
Дар байни онҳо, CUDP, UDP, ЧШС, ва модулҳои TCP метавонанд ҳама сатрҳои тасодуфиро ба IP ва порти муайян фиристанд, ва метавонад бастаҳои TCP ва UDP-ро тавассути сарлавҳаҳои IP-и худсохта аз нав барқарор кунад, то суроғаи IP-ро пинҳон кунад.
сохтори паём
Пешоянди C ихтисораи одат аст. CUDP ва UDP-ро мисол мегирем, дар нусхаи аслии Гафгыт, параметрҳои дар фармони додашуда дохил мешаванд: ip, бандар, вақт, қаллобӣ, андозаи пакет, pollinterval ва дигар арзишҳои саҳроӣ ва битҳои парчам Барои сохтани бастаҳои UDP. Дар ин намуна, аммо, Натиҷаҳои мушоҳидашуда нишон медиҳанд, ки маҳз татбиқи ин параметрҳо ба дараҷаҳои гуногуни маҳдудкунӣ мебошад, ки метавонад чандирии намудҳои мушаххаси ҳамлаҳои DDOS-ро афзоиш диҳад.
Муқоисаи CUDP ва UDP
Функсияҳои модулҳои дигар илова кардани шумораи зиёди сатрҳои User-Agent -ро дар бар мегиранд, ки барои оғоз кардани фармонҳои HTTP барои ҳамлаҳои CC истифода мешаванд:
Ҳамлаи CC
Барои ҳамлаҳо бар зидди серверҳои Source Engine Valve дохил карда шудааст: ("Муҳаррики манбаъ" дархостҳо қисми муоширати ҳаррӯзаи байни мизоҷон ва серверҳои бозӣ бо истифода аз протоколи нармафзори Valve)
Ҳамлаҳо бар зидди саноати бозӣ
Аз ҷумла фармонҳои CNC, ки метавонанд пайвасти IP-ро иваз кунанд:
гузариши пайвасти IP
Ҳамлаҳои SYN ва ACK-ро дар бар мегирад:
Ҳамлаҳои SYN ва ACK
Аз ҷумла ҳамлаҳои обхезии UDP STD:
Ҳамлаи STD
Аз ҷумла ҳамлаи XMAS: (яъне, Ҳамла ба дарахти Мавлуди Исо, бо гузоштани ҳамаи битҳои парчами TCP ба 1, ҳамин тавр истеъмоли бештари захираҳои коркарди ҷавоби системаи мақсаднок)
Ҳамлаи XMAS
Модули NIGGA ба фармони KILLATTK дар версияи аслӣ баробар аст, ки ҳамлаҳои DoSS-ро бо куштани ҳама равандҳои кӯдакона, ба истиснои раванди асосӣ қатъ мекунад
Модули NIGGA
Таҳлили муқоисавӣ
Функсияи processCmd, ки мантиқи асосиро дар коди сарчашма нигоҳ медорад, PING-ро дар бар мегирад, ГЕТЛОКАЛИП, Сканнер, ПОЧТА, ЗАРБДОР, UDP, TCP, ДОРЕД, КИЛЛАТТК, ва модулҳои LOLNOGTFO. Танҳо версияҳои соддакардашудаи модулҳои UDP ва TCP дар эксплоити варианти ин дафъа гирифташуда якҷоя вуҷуд доранд. .
Ва дар амалиёти ба даст овардани IP маҳаллӣ, версияи аслӣ IP-и маҳаллиро тавассути /proc/net/route мегирад ва онро тавассути модули GETLOCALIP бармегардонад. Дар ин вариант низ ҳамин гуна амалиёти гирифтан мушоҳида мешавад, аммо модули GETLOCALIP вуҷуд надорад ва ягон истинод мушоҳида намешавад.
Гирифтани IP маҳаллӣ
Бояд қайд кард, ки версияи аслии модули SCANNER вуҷуд надорад, ки барои таркиши SSH истифода мешавад (бандар 22) дар ин намуди намуна, ва вариантҳои дигаре вуҷуд надоранд, ки чандкаратаро дарбар мегиранд "барномаҳо/дастгоҳ" осебпазирӣ барои паҳн тавассути Payload. Мумкин аст, ки ҳамлакунанда модули паҳнкуниро ба барномаҳои мустақил тақсим мекунад, ва пас аз бомуваффақият ворид шудан ба мизбони ҷабрдида, ӯ намунаи иртиботро барои марҳилаи навбатӣ тавассути иҷрои рамзи shell зеркашӣ мекунад, яъне, намунаи таҳлил.
Намунаи коди shell-ро иҷро кунед
Гирифтани намунаҳое, ки аз ҳамон манбаъ гирифта шудаанд, ҳамлакунанда маълумоти ислоҳи ислоҳи аксари намунаҳоро нест кард, гайр аз чанде, ба мисли: x86.