בליצפּאָסט: anwenqq2690502116@gmail.com
אַימעד בייַ די אינטערנעט פון טהינגס, אַ נייַע וואַריאַנט פון די "Gaffyt" טראָדזשאַן אויס
לעצטנס, Huorong סעקוריטי לאַב דיסקאַווערד אַ ווירוס ינטרוזשאַן אינצידענט, וואָס איז באשטעטיקט צו זיין אַ נייַע וואַריאַנט פון די Gafgyt Trojan ווירוס נאָך ויספאָרשונג און אַנאַליסיס.
Gafgyt איז אַן IoT באָטנעט פּראָגראַם באזירט אויף די IRC פּראָטאָקאָל, וואָס דער הויפּט ינפעקץ לינוקס-באזירט IoT דעוויסעס צו קאַטער פונאנדערגעטיילט אָפּלייקענונג פון דינסט אנפאלן (DDoS). עס איז די גרעסטע אַקטיוו יאָט באָטנעט משפּחה אנדערע ווי די Mirai משפּחה.
נאָך זיין מקור קאָד איז ליקט און ופּלאָאַדעד צו GitHub אין 2015, איינע נאָך דעם אַנדערן האָבן זיך אַרויסגעוויזן פאַרשיידענע וואַריאַנטן און עקספּלויטן, פּאָוזינג אַ גרעסערע זיכערהייט סאַקאָנע צו ניצערס. איצט, Huorong זיכערהייט פּראָדוקטן קענען ינטערסעפּט און טייטן די אויבן-דערמאנט ווירוסעס. פאַרנעמונג יוזערז זענען געבעטן צו דערהייַנטיקן די ווירוס דאַטאַבייס אין צייט פֿאַר פאַרטיידיקונג.
1. מוסטער אַנאַליסיס
דער ווירוס ערשטער ריניימז זיין אייגענע פּראָצעס צו "/usr/sbin/dropbear" אָדער "sshd" זיך צו באַהאַלטן:
פּראָצעס רענאַמע
צווישן זיי, די ענקריפּטיד שטריקל איז געפֿונען, און די דעקריפּטיאָן אַלגערידאַם איז די בייט XOR פון 0xDEDEFFBA. ווען געוויינט, בלויז די געוויינט אָנעס זענען דעקריפּטיד ינדיווידזשואַלי, אָבער בלויז 4 זענען פאקטיש רעפערענסט:
ענקריפּטיד שטריקל און דעקריפּטיאָן אַלגערידאַם
דער ערשטער רעפֿערענץ איז בלויז צו רעזולטאַט די קאָראַספּאַנדינג שטריקל צו דעם עקראַן, און די מיטל צוויי רעפערענצן זענען אַפּעריישאַנז אויף די וואַטשדאָג פּראָצעס צו ויסמיידן לוזינג קאָנטראָל רעכט צו מיטל ריסטאַרט:
דעקריפּט און ציטירן
די רוען אַפּעריישאַנז זענען געפירט אויס אין אַ שלייף, אַרייַנגערעכנט יניטיאַליזינג די C2 קשר (94.156.161.21:671), שיקט די פּלאַטפאָרמע מיטל טיפּ, ריסיווינג די צוריקקומען באַפֿעל און עקסאַקיוטינג די קאָראַספּאַנדינג מאָדולע אָפּעראַציע. און קאַמפּערד מיט די מקור קאָד ליקט דורך Gafgy, דער פֿאָרמאַט און פּראַסעסינג פון די באַפֿעל האָבן נישט פיל געביטן, און דער פֿאָרמאַט פון די באַפֿעל איז נאָך "!*באַפֿעל [פּאַראַמעטער]"
שלייף אָפּעראַציע קאָד
אין די פּראָצעסCmd פונקציע, אַ גאַנץ פון 14 קאַמאַנדז זענען ריספּאַנדיד צו און קאָראַספּאַנדינג DDOS אנפאלן זענען לאָנטשט, כולל: "הטטפּ", "CUDP געשפּרייט", "ודפּ", "STD", "דזשסק", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "אַלץ", "קנק", "NIGGA"
באַפֿעלן סקרעענשאָט - IoT זיכערהייט
צווישן זיי, די CUDP, ודפּ, דזשסק, און טקפּ מאַדזשולז קענען אַלע שיקן טראַפ סטרינגס צו די ספּעסאַפייד IP און פּאָרט, און קענען רעקאָנסטרוירן TCP און UDP פּאַקיץ דורך זיך-געבויט IP כעדערז צו באַהאַלטן די מקור IP אַדרעס.
אָנזאָג סטרוקטור
די פּרעפיקס C איז געסט צו זיין די אַבריווייישאַן פון מנהג. גענומען CUDP און UDP ווי ביישפילן, אין דער אָריגינעל ווערסיע פון Gafgyt, די פּאַראַמעטערס אין די ארויס באַפֿעלן אַרייַננעמען: ip, פּאָרט, צייַט, פארשפארט, פּאַקיץ, פּאָלינטערוואַל און אנדערע פעלד וואַלועס און פאָן ביטן פֿאַר די קאַנסטראַקשאַן פון ודפּ פּאַקיץ. אין דעם מוסטער, אָבער, די באמערקט רעזולטאַטן ווייַזן אַז דאָס איז די אַפּלאַקיישאַן פון די פּאַראַמעטערס צו פאַרשידענע ריסטריקשאַנז, וואָס קענען פאַרבעסערן די בייגיקייט פון ספּעציפיש טייפּס פון DDOS אנפאלן.
פאַרגלייַך פון CUDP און UDP
די פאַנגקשאַנז פון אנדערע מאַדזשולז אַרייַננעמען אַדינג אַ גרויס נומער פון באַניצער-אַגענט סטרינגס, וואָס זענען געניצט צו קאַטער הטטפּ קאַמאַנדז פֿאַר CC אנפאלן:
סיסי באַפאַלן
אַרייַנגערעכנט פֿאַר אנפאלן קעגן וואַלוו ס מקור ענגינע סערווערס: ("מקור מאָטאָר" קוויריז זענען טייל פון די טעגלעך קאָמוניקאַציע צווישן קלייאַנץ און שפּיל סערווערס ניצן די וואַלוו ווייכווארג פּראָטאָקאָל)
אנפאלן קעגן די גיימינג אינדוסטריע
אַרייַנגערעכנט CNC קאַמאַנדז וואָס קענען באַשטימען IP פֿאַרבינדונג:
באַשטימען קשר IP
כולל SYN און ACK אנפאלן:
SYN און ACK אנפאלן
אַרייַנגערעכנט UDP STD מבול אנפאלן:
STD באַפאַלן
אַרייַנגערעכנט XMAS באַפאַלן: (דאס איז, ניטל בוים באַפאַלן, דורך באַשטעטיקן אַלע די פאָן ביטן פון TCP צו 1, אַזוי קאַנסומינג מער ענטפער פּראַסעסינג רעסורסן פון די ציל סיסטעם)
XMAS באַפאַלן
די NIGGA מאָדולע איז עקוויוואַלענט צו די KILLATTK באַפֿעל אין דער אָריגינעל ווערסיע, וואָס סטאַפּס דאָסס אנפאלן דורך מאָרד אַלע קינד פּראַסעסאַז אַחוץ די הויפּט פּראָצעס
NIGGA מאָדולע
קאָמפּאַראַטיווע אַנאַליסיס
די פֿונקציע processCmd וואָס סטאָרז די הויפּט לאָגיק אין די מקור קאָד כולל PING, GETLOCALIP, סקאַננער, E- בריוו, אָפּפאַל, ודפּ, TCP, האלט, KILLATTK, און LOLNOGTFO מאַדזשולז. בלויז סימפּלאַפייד ווערסיעס פון UDP און TCP מאַדזשולז קאָויגזיסטירן אין די וואַריאַנט עקספּלויט קאַפּטשערד דעם מאָל. .
און אין דער אָפּעראַציע פון באקומען די היגע IP, דער אָריגינעל ווערסיע באקומט די היגע IP דורך /proc/net/route און קערט עס דורך די GETLOCALIP מאָדולע. דער זעלביקער באַקומען אָפּעראַציע איז באמערקט אין דעם וואַריאַנט, אָבער עס איז קיין GETLOCALIP מאָדולע און קיין באַווייַזן זענען באמערקט.
באַקומען היגע IP
עס איז כדאי צו באמערקן אַז עס איז קיין אָריגינעל ווערסיע פון די SCANNER מאָדולע געניצט צו בלאַסט SSH (פּאָרט 22) אין דעם טיפּ פון מוסטער, און עס זענען קיין אנדערע וועריאַנץ וואָס ימבעד קייפל "אַפּלאַקיישאַנז / מיטל" וואַלנעראַביליטיז צו פאַרשפּרייטן דורך פּיילאָוד. עס קענען זיין געזען אַז די אַטאַקער ספּליץ די פּראַפּאַגיישאַן מאָדולע אין פרייַ מגילה, און נאָך הצלחה לאָגינג אין די קאָרבן באַלעבאָס, ער וועט אראפקאפיע די קאָמוניקאַציע מוסטער פֿאַר דער ווייַטער בינע דורך עקסאַקיוטינג די שעלקאָדע, דאס איז, די אַנאַליסיס מוסטער.
ויספירן שעלקאָדע בייַשפּיל
נעמען די סאַמפּאַלז באקומען פון דער זעלביקער מקור ווי אַ בייַשפּיל, די אַטאַקער סטריפּט די דיבאַגינג אינפֿאָרמאַציע פֿאַר רובֿ פון די סאַמפּאַלז, אַחוץ עטלעכע, אזוי ווי: x86.
