Email: anwenqq2690502116@gmail.com
Pagpuntirya sa Internet ng mga Bagay, isang bagong variant ng "Gaffyt" Lumilitaw ang Trojan
Kamakailan lang, Natuklasan ng Huorong Security Lab ang isang insidente ng panghihimasok ng virus, na kinumpirma na isang bagong variant ng Gafgyt Trojan virus pagkatapos ng imbestigasyon at pagsusuri.
Ang Gafgyt ay isang IoT botnet program batay sa IRC protocol, na pangunahing nakakaapekto sa Linux-based Mga aparatong IoT upang ilunsad ang mga distributed denial of service attacks (DDoS). Ito ang pinakamalaking aktibong IoT botnet family maliban sa Mirai family.
Matapos ma-leak ang source code nito at ma-upload sa GitHub in 2015, sunud-sunod na lumitaw ang iba't ibang variant at pagsasamantala, naglalagay ng mas malaking banta sa seguridad sa mga user. Sa kasalukuyan, Ang mga produkto ng seguridad ng Huorong ay maaaring humarang at pumatay sa mga nabanggit na virus. Ang mga user ng enterprise ay hinihiling na i-update ang database ng virus sa oras para sa pagtatanggol.
1. Halimbawang pagsusuri
Pinalitan muna ng virus ang sarili nitong proseso sa "/usr/sbin/dropbear" o "sshd" upang itago ang sarili:
palitan ang pangalan ng proseso
Sa kanila, ang naka-encrypt na string ay natagpuan, at ang decryption algorithm ay ang byte XOR ng 0xDEDEFFBA. Kapag ginamit, tanging ang mga ginamit ay isa-isang na-decryption, ngunit lamang 4 ay talagang tinutukoy:
Naka-encrypt na string at decryption algorithm
Ang unang sanggunian ay upang i-output lamang ang kaukulang string sa screen, at ang gitnang dalawang sanggunian ay mga operasyon sa proseso ng tagapagbantay upang maiwasang mawalan ng kontrol dahil sa pag-restart ng device:
decrypt at quote
Ang natitirang mga operasyon ay isinasagawa sa isang loop, kabilang ang pagsisimula ng koneksyon sa C2 (94.156.161.21:671), pagpapadala ng uri ng platform device, pagtanggap ng return command at pagpapatupad ng kaukulang operasyon ng module. At kumpara sa source code na ni-leak ni Gafgy, ang format at pagpoproseso ng utos ay hindi gaanong nagbago, at ang format ng utos ay pa rin "!*Utos [Parameter]"
loop operation code
Sa processCmd function, kabuuan ng 14 ang mga utos ay tinutugunan at ang mga kaukulang pag-atake ng DDOS ay inilunsad, kasama ang: "HTTP", "CUDP extension", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "Pasko", "CVSE", "LAHAT", "CNC", "NIGGA"
screenshot ng command - Seguridad ng IoT
Sa kanila, ang CUDP, UDP, JSC, at ang mga TCP module ay maaaring magpadala ng mga random na string sa tinukoy na IP at port, at maaaring muling buuin ang mga TCP at UDP packet sa pamamagitan ng mga self-built na IP header para itago ang source IP address.
istraktura ng mensahe
Ang prefix C ay nahulaan na ang pagdadaglat ng custom. Ang pagkuha ng CUDP at UDP bilang mga halimbawa, sa orihinal na bersyon ng Gafgyt, kasama sa mga parameter sa ibinigay na utos: ip, daungan, oras, niloko, laki ng pakete, pollinterval at iba pang field value at flag bits Para sa pagbuo ng mga UDP packet. Sa sample na ito, gayunpaman, ang mga naobserbahang resulta ay nagpapakita na ito ay ang paggamit ng mga parameter na ito sa iba't ibang antas ng paghihigpit, na maaaring mapahusay ang flexibility ng mga partikular na uri ng pag-atake ng DDOS.
Paghahambing ng CUDP at UDP
Kasama sa mga function ng iba pang mga module ang pagdaragdag ng malaking bilang ng mga string ng User-Agent, na ginagamit upang ilunsad ang mga HTTP command para sa mga pag-atake ng CC:
Pag-atake ng CC
Kasama para sa mga pag-atake laban sa mga server ng Source Engine ng Valve: ("Source Engine" Ang mga query ay bahagi ng pang-araw-araw na komunikasyon sa pagitan ng mga kliyente at mga server ng laro gamit ang Valve software protocol)
Mga pag-atake laban sa industriya ng paglalaro
Kabilang ang mga utos ng CNC na maaaring lumipat ng IP ng koneksyon:
lumipat ng koneksyon sa IP
May kasamang SYN at ACK attacks:
Mga pag-atake ng SYN at ACK
Kabilang ang UDP STD flood attacks:
Pag-atake ng STD
Kasama ang XMAS attack: (yan ay, Pag-atake ng Christmas tree, sa pamamagitan ng pagtatakda ng lahat ng flag bits ng TCP sa 1, kaya kumukonsumo ng mas maraming mapagkukunan ng pagpoproseso ng tugon ng target na sistema)
XMAS attack
Ang module ng NIGGA ay katumbas ng KILLATTK command sa orihinal na bersyon, na humihinto sa pag-atake ng DoSS sa pamamagitan ng pagpatay sa lahat ng proseso ng bata maliban sa pangunahing proseso
NIGGA module
Paghahambing na pagsusuri
Ang function na processCmd na nag-iimbak ng pangunahing lohika sa source code ay kinabibilangan ng PING, GETLOCALIP, SCANNER, EMAIL, BASURA, UDP, TCP, HAWAKAN, KILLATTK, at LOLNOGTFO modules. Mga pinasimpleng bersyon lang ng UDP at TCP module ang magkakasamang umiiral sa variant exploit na nakunan sa pagkakataong ito. .
At sa pagpapatakbo ng pagkuha ng lokal na IP, nakukuha ng orihinal na bersyon ang lokal na IP sa pamamagitan ng /proc/net/route at ibinabalik ito sa pamamagitan ng GETLOCALIP module. Ang parehong get operation ay sinusunod sa variant na ito, ngunit walang GETLOCALIP module at walang mga sanggunian na sinusunod.
Kumuha ng lokal na IP
Kapansin-pansin na walang orihinal na bersyon ng module ng SCANNER na ginamit upang i-blast ang SSH (daungan 22) sa ganitong uri ng sample, at walang ibang mga variant na nag-e-embed ng maramihan "mga aplikasyon/aparato" mga kahinaan na kumakalat sa pamamagitan ng Payload. Makikita na hinati ng attacker ang propagation module sa mga independent program, at pagkatapos ng matagumpay na pag-log in sa host ng biktima, ida-download niya ang sample ng komunikasyon para sa susunod na yugto sa pamamagitan ng pagpapatupad ng shellcode, yan ay, ang sample ng pagsusuri.
Isagawa ang halimbawa ng shellcode
Ang pagkuha ng mga sample na nakuha mula sa parehong pinagmulan bilang isang halimbawa, inalis ng umaatake ang impormasyon sa pag-debug para sa karamihan ng mga sample, maliban sa iilan, tulad ng: x86.
