E-posta: anwenqq2690502116@gmail.com

Tinder tespiti ve öldürülmesi

Nesnelerin İnternetini Hedefliyoruz, yeni bir çeşidi "Gaffyt" Truva atı görünüyor

Nesnelerin İnternetini Hedefliyoruz, yeni bir çeşidi "Gaffyt" Truva atı görünüyor. Son zamanlarda, Huorong Güvenlik Laboratuvarı bir virüs saldırı olayını keşfetti, İnceleme ve analiz sonrasında Gafgyt Truva Atı virüsünün yeni bir çeşidi olduğu doğrulandı.

Nesnelerin İnternetini Hedefliyoruz, yeni bir çeşidi "Gaffyt" Truva atı görünüyor

Son zamanlarda, Huorong Güvenlik Laboratuvarı bir virüs saldırı olayını keşfetti, İnceleme ve analiz sonrasında Gafgyt Truva Atı virüsünün yeni bir çeşidi olduğu doğrulandı.

Gafgyt, IRC protokolünü temel alan bir IoT botnet programıdır, esas olarak Linux tabanlıları etkiliyor IoT cihazları dağıtılmış hizmet reddi saldırıları başlatmak için (DDoS). Mirai ailesi dışındaki en büyük aktif IoT botnet ailesidir.

Kaynak kodu sızdırıldıktan ve GitHub'a yüklendikten sonra 2015, çeşitli varyantlar ve istismarlar birbiri ardına ortaya çıktı, Kullanıcılar için daha büyük bir güvenlik tehdidi oluşturuyor. Şu anda, Huorong güvenlik ürünleri yukarıda belirtilen virüsleri yakalayabilir ve öldürebilir. Kurumsal kullanıcılardan virüs veritabanını savunma amacıyla zamanında güncellemeleri istenir.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. Örnek analiz
Virüs ilk olarak kendi sürecini şu şekilde yeniden adlandırır: "/usr/sbin/dropbear" veya "sshd" kendini gizlemek:

process rename
süreci yeniden adlandır

Aralarında, şifrelenmiş dize bulundu, ve şifre çözme algoritması 0xDEDEFFBA'nın bayt XOR'udur. Kullanıldığında, yalnızca kullanılmış olanların şifresi ayrı ayrı çözülür, ama sadece 4 aslında referans veriliyor:

Encrypted string and decryption algorithm
Şifrelenmiş dize ve şifre çözme algoritması

 

İlk referans yalnızca karşılık gelen dizeyi ekrana çıkarmak içindir, ve ortadaki iki referans, cihazın yeniden başlatılması nedeniyle kontrolü kaybetmeyi önlemek için izleme sürecindeki işlemlerdir:

decrypt and quote

şifresini çöz ve alıntı yap

 

Geri kalan işlemler bir döngüde gerçekleştirilir, C2 bağlantısının başlatılması dahil (94.156.161.21:671), platform cihaz tipini gönderme, dönüş komutunun alınması ve ilgili modül işleminin yürütülmesi. Ve Gafgy'nin sızdırdığı kaynak koduyla karşılaştırıldı, komutun formatı ve işlenmesi pek değişmedi, ve komutun formatı hala "!*Emretmek [Parametre]"

loop operation code

döngü işlem kodu

 

ProcessCmd işlevinde, toplamda 14 komutlara yanıt verilir ve karşılık gelen DDOS saldırıları başlatılır, içermek: "HTTP", "CUDP uzantısı", "UDP", "CYBH", "JSC", "TCP", "SEN" , "ACK", "CXMAS", "Noel", "CVSE", "HER ŞEY", "CNC", "zenci"

command screenshot - IoT security
komut ekran görüntüsü - Nesnelerin İnterneti güvenliği

 

Aralarında, CUDP, UDP, JSC, ve TCP modüllerinin tümü belirtilen IP ve bağlantı noktasına rastgele dizeler gönderebilir, ve kaynak IP adresini gizlemek için TCP ve UDP paketlerini kendi oluşturduğu IP başlıklarıyla yeniden oluşturabilir.

 

message structure
mesaj yapısı

 

C ön ekinin özel kısaltması olduğu tahmin edilmektedir.. CUDP ve UDP'yi örnek almak, Gafgyt'in orijinal versiyonunda, Verilen komuttaki parametreler şunları içerir:: ip, liman, zaman, sahte, paket boyutu, pollinterval ve diğer alan değerleri ve bayrak bitleri UDP paketlerinin oluşturulması için. Bu örnekte, Yine de, Gözlemlenen sonuçlar, bu parametrelerin farklı kısıtlama derecelerine uygulanması olduğunu göstermektedir., Bu, belirli DDOS saldırı türlerinin esnekliğini artırabilir.

CUDP ve UDP'nin karşılaştırılması

Diğer modüllerin işlevleri arasında çok sayıda Kullanıcı Aracısı dizisinin eklenmesi yer alır, CC saldırıları için HTTP komutlarını başlatmak için kullanılır:

CC saldırısı

Valve'ın Source Engine sunucularına yönelik saldırılara dahildir: ("Kaynak Motoru" sorgular müşteriler arasındaki günlük iletişimin bir parçasıdır ve oyun sunucuları Valve yazılım protokolünü kullanma)

Oyun sektörüne yönelik saldırılar

Bağlantı IP'sini değiştirebilen CNC komutları dahil:

bağlantı IP'sini değiştir

SYN ve ACK saldırılarını içerir:

SYN ve ACK saldırıları

UDP STD sel saldırıları dahil:

STD saldırısı

XMAS saldırısı dahil: (yani, Noel ağacı saldırısı, TCP'nin tüm bayrak bitlerini ayarlayarak 1, böylece hedef sistemin daha fazla yanıt işleme kaynağı tüketilir)

Noel saldırısı

NIGGA modülü orijinal versiyondaki KILLATTK komutuna eşdeğerdir, ana süreç dışındaki tüm alt süreçleri öldürerek DoSS saldırılarını durdurur

NIGGA modülü

Karşılaştırmalı analiz
Ana mantığı kaynak kodunda saklayan prosesCmd işlevi PING'i içerir, GETLOKALIP, TARAYICI, E-POSTA, HURDA, UDP, TCP, TUTMAK, KILLATTK, ve LOLNOGTFO modülleri. Bu sefer yakalanan istismar çeşidinde yalnızca UDP ve TCP modüllerinin basitleştirilmiş sürümleri bir arada bulunuyor. .

Ve yerel IP alma operasyonunda, orijinal sürüm yerel IP'yi /proc/net/route aracılığıyla alır ve GETLOCALIP modülü aracılığıyla döndürür. Bu varyantta da aynı get işlemi gözlemleniyor, ancak GETLOCALIP modülü yok ve hiçbir referans gözlemlenmiyor.

Yerel IP alın

SSH'yi patlatmak için kullanılan TARAYICI modülünün orijinal bir versiyonunun bulunmadığını belirtmekte fayda var. (liman 22) bu tür bir örnekte, ve birden fazla öğeyi yerleştiren başka bir değişken yoktur "uygulamalar/cihaz" Yük aracılığıyla yayılacak güvenlik açıkları. Saldırganın yayılım modülünü bağımsız programlara böldüğü görülmektedir., ve kurban ana bilgisayarında başarılı bir şekilde oturum açtıktan sonra, kabuk kodunu çalıştırarak bir sonraki aşama için iletişim örneğini indirecek, yani, analiz örneği.

Kabuk kodu örneğini yürütün

Aynı kaynaktan elde edilen örneklerin örnek alınması, saldırgan örneklerin çoğu için hata ayıklama bilgilerini çıkardı, birkaçı hariç, örneğin: x86.

sevgini paylaş

İlgili Mesajlar

Cevap bırakın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar işaretlendi *