Ifọkansi lori Intanẹẹti Awọn nkan, iyatọ tuntun ti "Gafgyt" Tirojanu han

Ifọkansi lori Intanẹẹti Awọn nkan, a titun iyatọ ti awọn "Gaffyt" Tirojanu han

Ifọkansi lori Intanẹẹti Awọn nkan, a titun iyatọ ti awọn "Gaffyt" Tirojanu han. Laipe, Lab Aabo Huorong ṣe awari iṣẹlẹ ifọle ọlọjẹ kan, eyiti o jẹrisi lati jẹ iyatọ tuntun ti ọlọjẹ Gafgyt Tirojanu lẹhin iwadii ati itupalẹ.

Ifọkansi lori Intanẹẹti Awọn nkan, a titun iyatọ ti awọn "Gaffyt" Tirojanu han

Laipe, Lab Aabo Huorong ṣe awari iṣẹlẹ ifọle ọlọjẹ kan, eyiti o jẹrisi lati jẹ iyatọ tuntun ti ọlọjẹ Gafgyt Tirojanu lẹhin iwadii ati itupalẹ.

Gafgyt jẹ eto botnet IoT ti o da lori ilana IRC, eyi ti o kun infects Linux-orisun Awọn ẹrọ IoT lati lọlẹ pin kiko ti iṣẹ ku (DDoS). O jẹ idile botnet IoT ti nṣiṣe lọwọ miiran yatọ si idile Mirai.

Lẹhin koodu orisun rẹ ti jo ati gbejade si GitHub ni 2015, orisirisi awọn aba ati exploits emerged ọkan lẹhin ti miiran, ti o nfihan irokeke aabo nla si awọn olumulo. Ni asiko yi, Awọn ọja aabo Huorong le ṣe idilọwọ ati pa awọn ọlọjẹ ti a darukọ loke. A beere awọn olumulo ile-iṣẹ lati ṣe imudojuiwọn data data ọlọjẹ ni akoko fun aabo.

1. Ayẹwo ayẹwo
Kokoro naa kọkọ tunrukọ ilana tirẹ si "/usr / sbin / dropbear" tabi "sshd" lati tọju ara rẹ:

ilana lorukọ mii

Lára wọn, ti paroko okun ti wa ni ri, ati algorithm decryption jẹ baiti XOR ti 0xDEDEFFBA. Nigba lilo, awọn ti a lo nikan ni a ti pa akoonu leyo, sugbon nikan 4 ti wa ni kosi itọkasi:

Ti paroko okun ati decryption alugoridimu

Itọkasi akọkọ jẹ nikan lati jade okun ti o baamu si iboju, ati awọn itọkasi aarin meji jẹ awọn iṣẹ ṣiṣe lori ilana iṣọ lati yago fun isonu iṣakoso nitori atunbere ẹrọ:

decrypt ati ń

Awọn iṣẹ ti o ku ni a ṣe ni lupu kan, pẹlu ipilẹṣẹ asopọ C2 (94.156.161.21:671), fifiranṣẹ iru ẹrọ iru ẹrọ, gbigba awọn pada pipaṣẹ ati ṣiṣe awọn ti o baamu module isẹ. Ati ni afiwe pẹlu koodu orisun ti o jo nipasẹ Gafgy, ọna kika ati sisẹ aṣẹ ko ti yipada pupọ, ati awọn kika ti awọn pipaṣẹ jẹ ṣi "!*Òfin [Paramita]"

lupu isẹ koodu

Ninu ilanaCmd iṣẹ, lapapọ 14 Awọn aṣẹ ti dahun ati awọn ikọlu DDOS ti o baamu ti ṣe ifilọlẹ, pẹlu: "HTTP", "CUDP itẹsiwaju", "UDP", "STD", "JSC", "TCP", "SYN" , "ACK", "CXMAS", "XMAS", "CVSE", "OHUN GBOGBO", "CNC", "NIGGA"

pipaṣẹ screenshot - IoT aabo

Lára wọn, CUDP, UDP, JSC, ati TCP modulu le gbogbo fi awọn gbolohun ọrọ ID si awọn pàtó kan IP ati ibudo, ati pe o le tun ṣe awọn apo-iwe TCP ati UDP nipasẹ awọn akọle IP ti ara ẹni lati tọju adiresi IP orisun.

ifiranṣẹ be

Awọn ìpele C ti wa ni kiye si lati jẹ abbreviation ti aṣa. Mu CUDP ati UDP gẹgẹbi apẹẹrẹ, ninu atilẹba ti ikede Gafgyt, awọn paramita ni awọn ti oniṣowo pipaṣẹ pẹlu: ip, ibudo, aago, Spoofed, awọn apo-iwe, pollinterval ati awọn iye aaye miiran ati awọn ami asia Fun ikole awọn apo-iwe UDP. Ninu apẹẹrẹ yii, sibẹsibẹ, Awọn abajade ti a ṣe akiyesi fihan pe o jẹ ohun elo ti awọn paramita wọnyi si awọn iwọn ti o yatọ si ihamọ, eyi ti o le mu awọn ni irọrun ti pato orisi ti DDOS ku.

Ifiwera ti CUDP ati UDP

Awọn iṣẹ ti awọn modulu miiran pẹlu fifi nọmba nla ti awọn okun Olumulo-Aṣoju, eyiti a lo lati ṣe ifilọlẹ awọn aṣẹ HTTP fun awọn ikọlu CC:

CC kolu

To wa fun awọn ikọlu lodi si awọn olupin orisun Engine Valve: ("Orisun Engine" Awọn ibeere jẹ apakan ti ibaraẹnisọrọ ojoojumọ laarin awọn alabara ati game apèsè lilo Valve software bèèrè)

Awọn ikọlu lodi si ile-iṣẹ ere

Pẹlu awọn aṣẹ CNC ti o le yipada IP asopọ:

yipada asopọ IP

Pẹlu SYN ati awọn ikọlu ACK:

SYN ati ACK ku

Pẹlu awọn ikọlu iṣan omi UDP STD:

STD ikọlu

Pẹlu ikọlu XMAS: (ti o jẹ, Keresimesi igi kolu, nipa tito gbogbo awọn ami asia ti TCP si 1, nitorinaa n gba awọn orisun sisẹ esi esi diẹ sii ti eto ibi-afẹde)

XMAS kolu

Module NIGGA jẹ deede si aṣẹ KILLATTK ni ẹya atilẹba, eyiti o da awọn ikọlu DoSS duro nipa pipa gbogbo awọn ilana ọmọ ayafi ilana akọkọ

NIGGA module

Ayẹwo afiwera
Ilana iṣẹCmd ti o tọju ọgbọn akọkọ sinu koodu orisun pẹlu PING, GETLOCALIP, Scanner, EMAIL, JANU, UDP, TCP, DIMU, KILLATTK, ati awọn modulu LOLNOGTFO. Awọn ẹya ti o rọrun nikan ti UDP ati awọn modulu TCP wa papọ ni ilokulo iyatọ ti o mu ni akoko yii. .

Ati ni iṣẹ ti gbigba IP agbegbe, Ẹya atilẹba gba IP agbegbe nipasẹ / proc/net/ipa-ọna ati da pada nipasẹ module GETLOCALIP. Iṣiṣẹ gba kanna ni a ṣe akiyesi ni iyatọ yii, ṣugbọn ko si module GETOCALIP ko si si awọn itọkasi ti a ṣe akiyesi.

Gba IP agbegbe

O tọ lati ṣe akiyesi pe ko si ẹya atilẹba ti module SCANNER ti a lo lati bu SSH (ibudo 22) ni iru apẹẹrẹ, ati pe ko si awọn iyatọ miiran ti o fi sii ọpọlọpọ "ohun elo / ẹrọ" awọn ailagbara lati tan kaakiri nipasẹ Payload. O le rii pe ikọlu naa pin ipin soju module si awọn eto ominira, ati lẹhin ni ifijišẹ wọle si awọn njiya ogun, oun yoo ṣe igbasilẹ apẹẹrẹ ibaraẹnisọrọ fun ipele ti o tẹle nipa ṣiṣe koodu shell, ti o jẹ, ayẹwo ayẹwo.

Ṣiṣe apẹẹrẹ shellcode

Mu awọn ayẹwo ti a gba lati orisun kanna gẹgẹbi apẹẹrẹ, Olukọni naa yọ alaye ti n ṣatunṣe aṣiṣe fun pupọ julọ awọn ayẹwo, ayafi fun kan diẹ, bi eleyi: x86.