อีเมล: anwenqq2690502116@gmail.com

การตรวจจับและฆ่าเชื้อจุดไฟ

มุ่งเป้าไปที่ Internet of Things, รุ่นใหม่ของ "กัฟฟิต" โทรจันปรากฏขึ้น

มุ่งเป้าไปที่ Internet of Things, รุ่นใหม่ของ "กัฟฟิต" โทรจันปรากฏขึ้น. ล่าสุด, Huorong Security Lab ค้นพบเหตุการณ์การบุกรุกของไวรัส, ซึ่งได้รับการยืนยันว่าเป็นไวรัส Gafgyt Trojan สายพันธุ์ใหม่ หลังจากการตรวจสอบและวิเคราะห์.

มุ่งเป้าไปที่ Internet of Things, รุ่นใหม่ของ "กัฟฟิต" โทรจันปรากฏขึ้น

ล่าสุด, Huorong Security Lab ค้นพบเหตุการณ์การบุกรุกของไวรัส, ซึ่งได้รับการยืนยันว่าเป็นไวรัส Gafgyt Trojan สายพันธุ์ใหม่ หลังจากการตรวจสอบและวิเคราะห์.

Gafgyt เป็นโปรแกรมบอตเน็ต IoT ที่ใช้โปรโตคอล IRC, ซึ่งติดไวรัสบน Linux เป็นหลัก อุปกรณ์ IoT เพื่อเริ่มการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (ดีดอส). เป็นตระกูลบอตเน็ต IoT ที่มีการใช้งานที่ใหญ่ที่สุด นอกเหนือจากตระกูล Mirai.

หลังจากซอร์สโค้ดรั่วไหลและอัพโหลดขึ้น GitHub แล้ว 2015, ความหลากหลายและการหาประโยชน์ต่างๆ เกิดขึ้นทีละอย่าง, ก่อให้เกิดภัยคุกคามความปลอดภัยต่อผู้ใช้มากขึ้น. ในปัจจุบัน, ผลิตภัณฑ์รักษาความปลอดภัย Huorong สามารถสกัดกั้นและฆ่าไวรัสที่กล่าวมาข้างต้นได้. ผู้ใช้ระดับองค์กรจะต้องอัปเดตฐานข้อมูลไวรัสให้ทันเวลาเพื่อป้องกัน.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. การวิเคราะห์ตัวอย่าง
ไวรัสจะเปลี่ยนชื่อกระบวนการของตัวเองเป็นก่อน "/usr/sbin/dropbear" หรือ "sshd" เพื่อซ่อนตัวเอง:

process rename
เปลี่ยนชื่อกระบวนการ

ในหมู่พวกเขา, พบสตริงที่เข้ารหัส, และอัลกอริธึมการถอดรหัสคือไบต์ XOR ของ 0xDEDEFFBA. เมื่อใช้, เฉพาะอันที่ใช้แล้วเท่านั้นที่ถูกถอดรหัสแยกกัน, แต่เท่านั้น 4 มีการอ้างอิงจริงๆ:

Encrypted string and decryption algorithm
สตริงที่เข้ารหัสและอัลกอริธึมการถอดรหัส

 

การอ้างอิงแรกเป็นเพียงการส่งออกสตริงที่เกี่ยวข้องไปยังหน้าจอเท่านั้น, และการอ้างอิงตรงกลางสองตัวเป็นการดำเนินการในกระบวนการเฝ้าระวังเพื่อหลีกเลี่ยงการสูญเสียการควบคุมเนื่องจากการรีสตาร์ทอุปกรณ์:

decrypt and quote

ถอดรหัสและเสนอราคา

 

การดำเนินการที่เหลือจะดำเนินการแบบวนซ้ำ, รวมถึงการเริ่มต้นการเชื่อมต่อ C2 (94.156.161.21:671), ส่งประเภทอุปกรณ์แพลตฟอร์ม, รับคำสั่ง return และดำเนินการดำเนินการโมดูลที่เกี่ยวข้อง. และเปรียบเทียบกับซอร์สโค้ดที่รั่วไหลโดย Gafgy, รูปแบบและการประมวลผลคำสั่งไม่ได้เปลี่ยนแปลงมากนัก, และรูปแบบของคำสั่งยังคงอยู่ "!*สั่งการ [พารามิเตอร์]"

loop operation code

รหัสการดำเนินการแบบวนซ้ำ

 

ในฟังก์ชัน processCmd, ผลรวมของ 14 คำสั่งต่างๆ จะถูกตอบสนองและการโจมตี DDOS ที่เกี่ยวข้องจะถูกเปิดขึ้น, รวมทั้ง: "HTTP", "นามสกุล CUDP", "กปปส", "โรคติดต่อทางเพศสัมพันธ์", "เจเอสซี", "TCP", "ซิน" , "อ๊ากก", "CXMAS", "คริสต์มาส", "ซีวีเอสอี", "ทุกอย่าง", "ซีเอ็นซี", "ไอ้"

command screenshot - IoT security
ภาพหน้าจอคำสั่ง - ความปลอดภัยของไอโอที

 

ในหมู่พวกเขา, CUDP, กปปส, เจเอสซี, และโมดูล TCP ทั้งหมดสามารถส่งสตริงสุ่มไปยัง IP และพอร์ตที่ระบุได้, และสามารถสร้างแพ็กเก็ต TCP และ UDP ขึ้นมาใหม่โดยใช้ส่วนหัว IP ที่สร้างขึ้นเองเพื่อซ่อนที่อยู่ IP ต้นทาง.

 

message structure
โครงสร้างข้อความ

 

คำนำหน้า C เดาว่าเป็นคำย่อของแบบกำหนดเอง. ยกตัวอย่าง CUDP และ UDP, ในเวอร์ชันดั้งเดิมของ Gafgyt, พารามิเตอร์ในคำสั่งที่ออกได้แก่: ไอพี, ท่าเรือ, เวลา, ปลอมแปลง, ขนาดแพ็คเก็ต, pollinterval และค่าฟิลด์อื่นๆ และบิตแฟล็ก สำหรับการสร้างแพ็กเก็ต UDP. ในตัวอย่างนี้, อย่างไรก็ตาม, ผลลัพธ์ที่สังเกตได้แสดงให้เห็นว่าเป็นการนำพารามิเตอร์เหล่านี้ไปใช้ในระดับข้อจำกัดที่แตกต่างกัน, ซึ่งสามารถเพิ่มความยืดหยุ่นให้กับการโจมตี DDOS บางประเภทได้.

การเปรียบเทียบ CUDP และ UDP

ฟังก์ชั่นของโมดูลอื่นๆ ได้แก่ การเพิ่มสตริง User-Agent จำนวนมาก, ซึ่งใช้ในการเรียกใช้คำสั่ง HTTP สำหรับการโจมตี CC:

ซีซีโจมตี

รวมไว้สำหรับการโจมตีเซิร์ฟเวอร์ Source Engine ของ Valve: ("เครื่องยนต์ต้นทาง" แบบสอบถามเป็นส่วนหนึ่งของการสื่อสารรายวันระหว่างลูกค้าและ เซิร์ฟเวอร์เกม โดยใช้โปรโตคอลซอฟต์แวร์ Valve)

การโจมตีอุตสาหกรรมเกม

รวมถึงคำสั่ง CNC ที่สามารถสลับการเชื่อมต่อ IP ได้:

สลับการเชื่อมต่อ IP

รวมถึงการโจมตี SYN และ ACK:

การโจมตี SYN และ ACK

รวมถึงการโจมตีน้ำท่วม UDP STD:

การโจมตีปกติ

รวมถึงการโจมตี XMAS: (นั่นคือ, การโจมตีต้นคริสต์มาส, โดยการตั้งค่าบิตแฟล็กทั้งหมดของ TCP เป็น 1, จึงใช้ทรัพยากรการประมวลผลการตอบสนองของระบบเป้าหมายมากขึ้น)

การโจมตีคริสต์มาส

โมดูล NIGGA เทียบเท่ากับคำสั่ง KILLATTK ในเวอร์ชันดั้งเดิม, ซึ่งหยุดการโจมตี DoSS โดยการฆ่ากระบวนการย่อยทั้งหมดยกเว้นกระบวนการหลัก

โมดูล NIGGA

การวิเคราะห์เปรียบเทียบ
ฟังก์ชัน processCmd ที่เก็บตรรกะหลักในซอร์สโค้ดประกอบด้วย PING, GETLOCALIP, สแกนเนอร์, อีเมล, ขยะ, กปปส, TCP, ถือ, คิลแลตต์เค, และโมดูล LOLNOGTFO. มีเพียงโมดูล UDP และ TCP เวอร์ชันที่เรียบง่ายเท่านั้นที่อยู่ร่วมกันในการใช้ประโยชน์จากตัวแปรที่บันทึกในครั้งนี้. .

และในการดำเนินการรับ IP ท้องถิ่น, เวอร์ชันดั้งเดิมได้รับ IP ภายในเครื่องผ่าน /proc/net/route และส่งคืนผ่านโมดูล GETLOCALIP. การดำเนินการรับแบบเดียวกันนี้พบได้ในตัวแปรนี้, แต่ไม่มีโมดูล GETLOCALIP และไม่มีการสังเกตการอ้างอิง.

รับ IP ท้องถิ่น

เป็นที่น่าสังเกตว่าไม่มีโมดูล SCANNER เวอร์ชันดั้งเดิมที่ใช้ในการระเบิด SSH (ท่าเรือ 22) ในตัวอย่างประเภทนี้, และไม่มีรูปแบบอื่นที่ฝังหลายรายการ "แอพพลิเคชั่น/อุปกรณ์" ช่องโหว่ที่จะแพร่กระจายผ่าน Payload. จะเห็นได้ว่าผู้โจมตีแบ่งโมดูลการเผยแพร่ออกเป็นโปรแกรมอิสระ, และหลังจากล็อกอินเข้าสู่โฮสต์ของเหยื่อได้สำเร็จ, เขาจะดาวน์โหลดตัวอย่างการสื่อสารสำหรับขั้นตอนต่อไปโดยดำเนินการเชลล์โค้ด, นั่นคือ, ตัวอย่างการวิเคราะห์.

ดำเนินการตัวอย่างเชลล์โค้ด

นำตัวอย่างที่ได้จากแหล่งเดียวกันมาเป็นตัวอย่าง, ผู้โจมตีได้ดึงข้อมูลการดีบักของกลุ่มตัวอย่างส่วนใหญ่ออก, ยกเว้นบางส่วน, เช่น: x86.

แบ่งปันความรักของคุณ

กระทู้ที่เกี่ยวข้อง

ทิ้งคำตอบไว้

ที่อยู่อีเมลของคุณจะไม่ถูกเผยแพร่. ช่องที่ต้องการถูกทำเครื่องหมาย *