ای میل: anwenqq2690502116@gmail.com

ٹنڈر کا پتہ لگانا اور قتل کرنا

چیزوں کے انٹرنیٹ کا مقصد, کی ایک نئی قسم "گیفیٹ" ٹروجن ظاہر ہوتا ہے۔

چیزوں کے انٹرنیٹ کا مقصد, کی ایک نئی قسم "گیفیٹ" ٹروجن ظاہر ہوتا ہے۔. حال ہی میں, ہوورونگ سیکیورٹی لیب نے وائرس کے داخلے کا واقعہ دریافت کیا۔, جس کی تحقیقات اور تجزیے کے بعد Gafgyt Trojan وائرس کی ایک نئی شکل ہونے کی تصدیق ہوئی۔.

چیزوں کے انٹرنیٹ کا مقصد, کی ایک نئی قسم "گیفیٹ" ٹروجن ظاہر ہوتا ہے۔

حال ہی میں, ہوورونگ سیکیورٹی لیب نے وائرس کے داخلے کا واقعہ دریافت کیا۔, جس کی تحقیقات اور تجزیے کے بعد Gafgyt Trojan وائرس کی ایک نئی شکل ہونے کی تصدیق ہوئی۔.

Gafgyt ایک IoT botnet پروگرام ہے جو IRC پروٹوکول پر مبنی ہے۔, جو بنیادی طور پر لینکس پر مبنی متاثر کرتا ہے۔ آئی او ٹی ڈیوائسز سروس حملوں کے تقسیم شدہ انکار شروع کرنے کے لئے (DDoS). یہ میرائی خاندان کے علاوہ سب سے بڑا فعال IoT بوٹ نیٹ فیملی ہے۔.

اس کا سورس کوڈ لیک ہونے کے بعد اور گٹ ہب میں اپ لوڈ کیا گیا۔ 2015, مختلف قسمیں اور کارنامے یکے بعد دیگرے سامنے آئے, صارفین کے لیے ایک بڑا سیکورٹی خطرہ ہے۔. فی الحال, ہوورونگ سیکیورٹی پروڈکٹس مذکورہ وائرسوں کو روک کر مار سکتے ہیں۔. انٹرپرائز کے صارفین سے درخواست کی جاتی ہے کہ وہ دفاع کے لیے وائرس کے ڈیٹا بیس کو بروقت اپ ڈیٹ کریں۔.

Tinder detection and killing - Aiming at the Internet of Things, a new variant of the "Gafgyt" Trojan appears

1. نمونہ تجزیہ
وائرس پہلے اپنے عمل کا نام تبدیل کرتا ہے۔ "/usr/sbin/dropbear" یا "sshd" اپنے آپ کو چھپانے کے لئے:

process rename
عمل کا نام تبدیل کریں

ان کے درمیان, خفیہ کردہ تار مل گیا ہے۔, اور ڈکرپشن الگورتھم 0xDEDEFFBA کا بائٹ XOR ہے۔. جب استعمال کیا جاتا ہے۔, صرف استعمال شدہ کو انفرادی طور پر ڈکرپٹ کیا جاتا ہے۔, لیکن صرف 4 اصل میں حوالہ دیا جاتا ہے:

Encrypted string and decryption algorithm
انکرپٹڈ سٹرنگ اور ڈکرپشن الگورتھم

 

پہلا حوالہ صرف اسی سٹرنگ کو اسکرین پر آؤٹ پٹ کرنا ہے۔, اور درمیانی دو حوالہ جات واچ ڈاگ کے عمل پر کام کرتے ہیں تاکہ ڈیوائس دوبارہ شروع ہونے کی وجہ سے کنٹرول کھونے سے بچا جا سکے۔:

decrypt and quote

ڈکرپٹ اور اقتباس

 

باقی کارروائیاں ایک لوپ میں کی جاتی ہیں۔, بشمول C2 کنکشن شروع کرنا (94.156.161.21:671), پلیٹ فارم ڈیوائس کی قسم بھیج رہا ہے۔, واپسی کمانڈ وصول کرنا اور متعلقہ ماڈیول آپریشن کو انجام دینا. اور Gafgy کے ذریعہ لیک کردہ سورس کوڈ کے ساتھ موازنہ, کمانڈ کی شکل اور پروسیسنگ میں زیادہ تبدیلی نہیں آئی ہے۔, اور کمانڈ کی شکل اب بھی ہے۔ "!*کمانڈ [پیرامیٹر]"

loop operation code

لوپ آپریشن کوڈ

 

پروسیس سی ایم ڈی فنکشن میں, کی کل 14 کمانڈز کا جواب دیا جاتا ہے اور اسی طرح کے DDOS حملے شروع کیے جاتے ہیں۔, سمیت: "HTTP", "CUDP توسیع", "UDP", "ایس ٹی ڈی", "جے ایس سی", "ٹی سی پی", "SYN" , "اے سی کے", "CXMAS", "کرسمس", "سی وی ایس ای", "سب کچھ", "CNC", "NIGGA"

command screenshot - IoT security
کمانڈ اسکرین شاٹ - آئی او ٹی سیکیورٹی

 

ان کے درمیان, CUDP, UDP, جے ایس سی, اور TCP ماڈیول سبھی مخصوص آئی پی اور پورٹ پر بے ترتیب تار بھیج سکتے ہیں۔, اور ماخذ آئی پی ایڈریس کو چھپانے کے لیے خود ساختہ IP ہیڈر کے ذریعے TCP اور UDP پیکٹ کو دوبارہ تشکیل دے سکتا ہے۔.

 

message structure
پیغام کی ساخت

 

سابقہ ​​C کو حسب ضرورت کا مخفف سمجھا جاتا ہے۔. CUDP اور UDP کو بطور مثال لینا, Gafgyt کے اصل ورژن میں, جاری کردہ کمانڈ میں پیرامیٹرز شامل ہیں۔: آئی پی, بندرگاہ, وقت, جعلی, پیکٹ سائز, پولینٹروال اور دیگر فیلڈ ویلیوز اور فلیگ بٹس UDP پیکٹ کی تعمیر کے لیے. اس نمونے میں, البتہ, مشاہدہ شدہ نتائج سے پتہ چلتا ہے کہ یہ پابندی کی مختلف ڈگریوں پر ان پیرامیٹرز کا اطلاق ہے۔, جو مخصوص قسم کے DDOS حملوں کی لچک کو بڑھا سکتا ہے۔.

CUDP اور UDP کا موازنہ

دوسرے ماڈیولز کے افعال میں بڑی تعداد میں User-Agent سٹرنگز شامل کرنا شامل ہے۔, جو CC حملوں کے لیے HTTP کمانڈز شروع کرنے کے لیے استعمال ہوتے ہیں۔:

سی سی حملہ

والو کے سورس انجن سرورز کے خلاف حملوں کے لیے شامل ہے۔: ("سورس انجن" سوالات کلائنٹس اور کے درمیان روزانہ مواصلات کا حصہ ہیں گیم سرورز والو سافٹ ویئر پروٹوکول کا استعمال کرتے ہوئے)

گیمنگ انڈسٹری کے خلاف حملے

بشمول CNC کمانڈز جو کنکشن آئی پی کو تبدیل کر سکتے ہیں۔:

کنکشن آئی پی کو تبدیل کریں۔

SYN اور ACK حملے شامل ہیں۔:

SYN اور ACK حملے

UDP STD سیلاب کے حملوں سمیت:

ایس ٹی ڈی حملہ

بشمول XMAS حملہ: (یہ ہے کہ, کرسمس ٹری حملہ, TCP کے تمام فلیگ بٹس کو ترتیب دے کر 1, اس طرح ٹارگٹ سسٹم کے رسپانس پروسیسنگ کے مزید وسائل استعمال کرتے ہیں۔)

XMAS حملہ

NIGGA ماڈیول اصل ورژن میں KILLATTK کمانڈ کے برابر ہے۔, جو مرکزی عمل کے علاوہ تمام بچوں کے عمل کو ختم کرکے DoSS حملوں کو روکتا ہے۔

NIGGA ماڈیول

تقابلی تجزیہ
فنکشن پروسیس سی ایم ڈی جو سورس کوڈ میں مرکزی منطق کو اسٹور کرتا ہے اس میں PING شامل ہے۔, GETLOCALIP, سکینر, ای میل, جنک, UDP, ٹی سی پی, پکڑو, KILLATTK, اور LOLNOGTFO ماڈیولز. UDP اور TCP ماڈیولز کے صرف آسان ورژن اس بار پکڑے گئے مختلف استحصال میں ایک ساتھ موجود ہیں. .

اور مقامی آئی پی حاصل کرنے کے آپریشن میں, اصل ورژن /proc/net/route کے ذریعے مقامی IP حاصل کرتا ہے اور اسے GETLOCALIP ماڈیول کے ذریعے واپس کرتا ہے۔. اسی طرح کا گیٹ آپریشن اس ویرینٹ میں دیکھا گیا ہے۔, لیکن کوئی GETLOCALIP ماڈیول نہیں ہے اور کوئی حوالہ نہیں دیکھا جاتا ہے۔.

مقامی IP حاصل کریں۔

یہ بات قابل غور ہے کہ SSH کو بلاسٹ کرنے کے لیے استعمال ہونے والے SCANNER ماڈیول کا کوئی اصل ورژن نہیں ہے۔ (بندرگاہ 22) اس قسم کے نمونے میں, اور کوئی دوسری قسمیں نہیں ہیں جو متعدد کو سرایت کرتی ہیں۔ "ایپلی کیشنز/ڈیوائس" پے لوڈ کے ذریعے پھیلنے کے لیے خطرات. یہ دیکھا جا سکتا ہے کہ حملہ آور پروپیگیشن ماڈیول کو آزاد پروگراموں میں تقسیم کرتا ہے۔, اور متاثرہ میزبان میں کامیابی سے لاگ ان ہونے کے بعد, وہ شیل کوڈ کو انجام دے کر اگلے مرحلے کے لیے مواصلاتی نمونہ ڈاؤن لوڈ کرے گا۔, یہ ہے کہ, تجزیہ کا نمونہ.

شیل کوڈ کی مثال پر عمل کریں۔

مثال کے طور پر اسی ذریعہ سے حاصل کردہ نمونے لینا, حملہ آور نے زیادہ تر نمونوں کی ڈیبگنگ کی معلومات کو چھین لیا۔, سوائے چند کے, جیسا کہ: x86.

اپنی محبت بانٹیں۔

متعلقہ اشاعت

جواب چھوڑیں

آپ کا ای میل پتہ شائع نہیں کیا جائے گا۔. مطلوبہ فیلڈز نشان زد ہیں۔ *