Почтаи электронӣ: anwenqq2690502116@gmail.com

Муайян кардани Tinder ва куштор

Ҳадаф ба Интернети чизҳо, варианти нави "Гаффит" Trojan пайдо мешавад

Ҳадаф ба Интернети чизҳо, варианти нави "Гаффит" Trojan пайдо мешавад. Ба наздикй, Лабораторияи амнияти Huorong як ҳодисаи ҳамлаи вирусро кашф кард, ки пас аз тафтиш ва тахлил як варианти нави вируси троянии Gafgyt аст.

Ҳадаф ба Интернети чизҳо, варианти нави "Гаффит" Trojan пайдо мешавад

Ба наздикй, Лабораторияи амнияти Huorong як ҳодисаи ҳамлаи вирусро кашф кард, ки пас аз тафтиш ва тахлил як варианти нави вируси троянии Gafgyt аст.

Gafgyt як барномаи ботнети IoT дар асоси протоколи IRC мебошад, ки асосан дар асоси Linux сироят мекунад Дастгоҳҳои IoT барои оғоз кардани ҳамлаҳои паҳншудаи радкунии хидмат (DDoS). Ин бузургтарин оилаи ботнетҳои IoT ба ғайр аз оилаи Мирай мебошад.

Пас аз он ки рамзи сарчашмаи он фош шуд ва ба GitHub бор карда шуд 2015, варианту истисморхои гуногун паи хам ба вучуд омаданд, барои корбарон ба амнияти бештар таҳдид мекунад. Дар айни ҳол, Маҳсулоти амнияти Huorong метавонад вирусҳои дар боло зикршударо боздорад ва бикушад. Аз корбарони корхона дархост карда мешавад, ки маълумотҳои вирусиро сари вақт барои муҳофизат навсозӣ кунанд.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. Таҳлили намуна
Вирус аввал раванди худро бо номи худ иваз мекунад "/usr/sbin/dropbear" ё "sshd" худро пинҳон кардан:

process rename
номгузории раванд

Дар байни онҳо, сатри шифршуда пайдо мешавад, ва алгоритми рамзкушоӣ байт XOR-и 0xDEDEFFBA мебошад. Ҳангоми истифода, танҳо ашхоси истифодашуда алоҳида рамзкушо карда мешаванд, балки танхо 4 воқеан истинод карда мешаванд:

Encrypted string and decryption algorithm
Алгоритми сатри рамзгузорӣ ва рамзкушоӣ

 

Истиноди аввал танҳо барои баровардани сатри мувофиқ ба экран аст, ва ду истинодҳои мобайнӣ амалиётҳо дар ҷараёни назорати назоратӣ барои пешгирӣ аз аз даст додани назорат аз сабаби бозоғозии дастгоҳ мебошанд:

decrypt and quote

рамзкушоӣ ва иқтибос

 

Амалиёти боқимонда дар як ҳалқа анҷом дода мешавад, аз ҷумла оғоз кардани пайвасти C2 (94.156.161.21:671), фиристодани навъи дастгоҳи платформа, гирифтани фармони бозгашт ва иҷрои амалиёти мувофиқи модул. Ва дар муқоиса бо коди сарчашмае, ки аз ҷониби Gafgy фош карда шудааст, формат ва коркарди команда чандон тагьир наёфтааст, ва формати фармон ҳоло ҳам аст "!*Фармон [Параметр]"

loop operation code

рамзи амалиёти даври

 

Дар функсияи processCmd, умумии 14 фармонҳо ҷавоб медиҳанд ва ҳамлаҳои мувофиқи DDOS оғоз мешаванд, аз чумла: "HTTP", "Тамдиди CUDP", "UDP", "STD", "ЧШС", "TCP", "СИН" , "ACK", "CXMAS", "XMAS", "CVSE", "ХАМА ЧИЗ", "CNC", "НИГГА"

command screenshot - IoT security
скриншоти фармон - Амнияти IoT

 

Дар байни онҳо, CUDP, UDP, ЧШС, ва модулҳои TCP метавонанд ҳама сатрҳои тасодуфиро ба IP ва порти муайян фиристанд, ва метавонад бастаҳои TCP ва UDP-ро тавассути сарлавҳаҳои IP-и худсохта аз нав барқарор кунад, то суроғаи IP-ро пинҳон кунад.

 

message structure
сохтори паём

 

Пешоянди C ихтисораи одат аст. CUDP ва UDP-ро мисол мегирем, дар нусхаи аслии Гафгыт, параметрҳои дар фармони додашуда дохил мешаванд: ip, бандар, вақт, қаллобӣ, андозаи пакет, pollinterval ва дигар арзишҳои саҳроӣ ва битҳои парчам Барои сохтани бастаҳои UDP. Дар ин намуна, аммо, Натиҷаҳои мушоҳидашуда нишон медиҳанд, ки маҳз татбиқи ин параметрҳо ба дараҷаҳои гуногуни маҳдудкунӣ мебошад, ки метавонад чандирии намудҳои мушаххаси ҳамлаҳои DDOS-ро афзоиш диҳад.

Муқоисаи CUDP ва UDP

Функсияҳои модулҳои дигар илова кардани шумораи зиёди сатрҳои User-Agent -ро дар бар мегиранд, ки барои оғоз кардани фармонҳои HTTP барои ҳамлаҳои CC истифода мешаванд:

Ҳамлаи CC

Барои ҳамлаҳо бар зидди серверҳои Source Engine Valve дохил карда шудааст: ("Муҳаррики манбаъ" дархостҳо қисми муоширати ҳаррӯзаи байни мизоҷон ва серверҳои бозӣ бо истифода аз протоколи нармафзори Valve)

Ҳамлаҳо бар зидди саноати бозӣ

Аз ҷумла фармонҳои CNC, ки метавонанд пайвасти IP-ро иваз кунанд:

гузариши пайвасти IP

Ҳамлаҳои SYN ва ACK-ро дар бар мегирад:

Ҳамлаҳои SYN ва ACK

Аз ҷумла ҳамлаҳои обхезии UDP STD:

Ҳамлаи STD

Аз ҷумла ҳамлаи XMAS: (яъне, Ҳамла ба дарахти Мавлуди Исо, бо гузоштани ҳамаи битҳои парчами TCP ба 1, ҳамин тавр истеъмоли бештари захираҳои коркарди ҷавоби системаи мақсаднок)

Ҳамлаи XMAS

Модули NIGGA ба фармони KILLATTK дар версияи аслӣ баробар аст, ки ҳамлаҳои DoSS-ро бо куштани ҳама равандҳои кӯдакона, ба истиснои раванди асосӣ қатъ мекунад

Модули NIGGA

Таҳлили муқоисавӣ
Функсияи processCmd, ки мантиқи асосиро дар коди сарчашма нигоҳ медорад, PING-ро дар бар мегирад, ГЕТЛОКАЛИП, Сканнер, ПОЧТА, ЗАРБДОР, UDP, TCP, ДОРЕД, КИЛЛАТТК, ва модулҳои LOLNOGTFO. Танҳо версияҳои соддакардашудаи модулҳои UDP ва TCP дар эксплоити варианти ин дафъа гирифташуда якҷоя вуҷуд доранд. .

Ва дар амалиёти ба даст овардани IP маҳаллӣ, версияи аслӣ IP-и маҳаллиро тавассути /proc/net/route мегирад ва онро тавассути модули GETLOCALIP бармегардонад. Дар ин вариант низ ҳамин гуна амалиёти гирифтан мушоҳида мешавад, аммо модули GETLOCALIP вуҷуд надорад ва ягон истинод мушоҳида намешавад.

Гирифтани IP маҳаллӣ

Бояд қайд кард, ки версияи аслии модули SCANNER вуҷуд надорад, ки барои таркиши SSH истифода мешавад (бандар 22) дар ин намуди намуна, ва вариантҳои дигаре вуҷуд надоранд, ки чандкаратаро дарбар мегиранд "барномаҳо/дастгоҳ" осебпазирӣ барои паҳн тавассути Payload. Мумкин аст, ки ҳамлакунанда модули паҳнкуниро ба барномаҳои мустақил тақсим мекунад, ва пас аз бомуваффақият ворид шудан ба мизбони ҷабрдида, ӯ намунаи иртиботро барои марҳилаи навбатӣ тавассути иҷрои рамзи shell зеркашӣ мекунад, яъне, намунаи таҳлил.

Намунаи коди shell-ро иҷро кунед

Гирифтани намунаҳое, ки аз ҳамон манбаъ гирифта шудаанд, ҳамлакунанда маълумоти ислоҳи ислоҳи аксари намунаҳоро нест кард, гайр аз чанде, ба мисли: x86.

Муҳаббати худро мубодила кунед

Паёмҳои марбут

Ҷавоб гузоред

Суроғаи почтаи электронии шумо нашр намешавад. Майдонҳои зарурӣ қайд карда шудаанд *