技术支持 联系方式
首页 新闻动态 正文

火绒安全 瞄准物联网,“Gafgyt”木马新变种出现 四川 成都 科汇科技 分销服务商——成都科汇科技有限公司

| | 新闻动态
近期,火绒安全实验室发现一起病毒入侵事件,经排查分析后,确认为Gafgyt木马病毒的新变种。Gafgyt是一款基于IRC协议的物联网僵尸网络程序,主要感染基于Linux的IoT设备来发起分布式拒绝服务攻击(DDoS)。它是除Mirai家族之外,最大的活跃物联网僵尸网络家族,其源码在2015年被泄露并上传至GitHub后,各类变种及利用层出不穷,对用户构成较大的安全威胁。目前,火绒安全产品可对上述病毒进行拦截查杀,请企业用户及时更新病毒库以进行防御。

火绒查杀图
一、样本分析
病毒首先对自身进程重命名为”/usr/sbin/dropbear”或 “sshd”隐藏自身:
进程重命名
其中发现被加密字符串,解密算法则是对0xDEDEFFBA的字节异或。使用时,只有用到的才进行单个解密,但实际引用的只有4个:
加密字符串及解密算法
其中第一个引用只是向屏幕输出对应字符串,中间两个引用则是对watchdog进程的操作,用以避免设备重启而丢失控制权:

解密并引用
剩余的操作在循环中进行,包括初始化C2连接(94.156.161.21:671),发送平台设备类型,接收回传命令并执行对应模块操作。且与Gafgy泄露的源码相比,命令的格式和处理并没有太大改动,命令下发的格式依旧为”!*Command [Parameter]”
循环操作代码
在 processCmd函数中,总共对14 个命令进行响应并发起对应的DDOS类攻击行为,包括:“HTTP”,“CUDP”,“UDP”,“STD”,“CTCP”,“TCP”,“SYN”,“ACK”,“CXMAS”,“XMAS”,“CVSE”,“VSE”,“CNC”,“NIGGA”
命令截图
其中CUDP、UDP、CTCP、TCP模块都能够向指定IP和端口发送随机字符串,且都可以通过自建IP 头的方式进行TCP 和UDP 报文重构,以此来隐藏源IP 地址。
报文构造
前缀 C猜测是 custom的缩写,以CUDP 和UDP 为例,在Gafgyt原始版本中,下发的命令中带有的参数包括:ip、port、time、spoofed、packetsize、pollinterval等字段值和标志位用于UDP报文的构建。而在该样本中,观察到的结果显示其为这些参数不同限制程度上的应用,能增强特定类型DDOS 攻击的灵活性。
CUDP 和UDP 对比
其它的模块的作用包括增加了大量的User-Agent字符串,用于发起CC 攻击的HTTP 命令:
CC 攻击
包括用于针对Valve Source引擎服务器的攻击:(”Source Engine” 查询是使用Valve软件协议在客户端和游戏服务器之间进行日常通信的一部分 )
针对游戏行业攻击
包括可以切换连接IP 的CNC 命令:
切换连接IP
包括 SYN和 ACK攻击:
SYN 和ACK 攻击
包括 UDP STD flood 攻击:
STD 攻击
包括XMAS攻击:(即圣诞树攻击,通过把TCP 所有标志位设置为1,由此消耗目标系统更多响应处理资源 )
XMAS 攻击
NIGGA 模块相当于原版中的KILLATTK 命令,通过Kill 掉除主进程外的所有子进程来停止DoSS 攻击
NIGGA 模块

对比分析

源代码中存放主要逻辑的函数processCmd 包括PING、GETLOCALIP、SCANNER、EMAIL、JUNK、UDP、TCP、HOLD、KILLATTK、LOLNOGTFO模块,在本次捕获的变种利用中共存的只剩简化版的UDP 和TCP 模块。
且在获取本地IP 操作中,原始版本是通过/proc/net/route 获取本地IP 并通过GETLOCALIP模块进行回传。在该变种中观察到同样的获取操作,但这里没有GETLOCALIP模块,且未观察到任何引用。
获取本地IP
值得注意的是,该类样本中没有原始版本的用于爆破SSH(22端口)的SCANNER模块,也没有其它变种中嵌入多种”应用/设备”的漏洞利用Payload进行传播。可见攻击者把传播模块拆分成独立的程序,在成功登录受害者主机后会通过执行shellcode的方式下载用于下一阶段的通信样本,即本次分析样本。
执行shellcode 示例
以获取到的同源样本为例,攻击者对大部分样本都剥离了调试信息,只有个别除外,如:x86:
文件类型信息
不同架构相比逻辑基本一致,在此不再重复分析:
                                                                 样本对比图
二、附录
HASH
C&C
火绒自身关键词:
公司:北京火绒网络科技有限公司,火绒安全软件企业版,火绒终端系统
火绒安全,火绒,火绒安全软件,火绒官网,火绒杀毒软件怎么样,
火绒企业版怎么收费,火绒企业管理员密码,火绒企业版监控员工电脑,
火绒企业版收费标准,火绒企业版价格,火绒企业版与个人版有何不同,
火绒企业版卸载要密码,火绒,火绒安全、EDR V1.0, ,火绒安全防护
服务区域:
云南火绒,昆明火绒 ,贵州火绒,四川火绒,重庆火绒 ,西藏火绒,拉萨火绒,
产品:火绒安全卫士(专业版)软件 ,火绒终端安全管理系统v2.0,火绒安全终端安全管理系统2.0版,火绒终端安全管理系统V1.0,火绒终端安全管理系统,火绒 windows PC 版(10用户起订),火绒安全 终端管理系统Windows V2.0,火绒终端企业版Linux版,火绒终端企业版macOS版。火绒企业版收费标准,火绒企业版, 火绒企业版监控员工电脑,火绒企业版和个人版区别, 火绒企业版价格,火绒企业版多少钱,火绒企业版多少钱一年,火绒信息安全软件 linux PC V2.0终端安全管理系统网络版,huorong endpoint security management system2.0
火绒终端防病毒系统,火绒安全 火绒终端安全管理系统V2.0 Windows杀毒软件 ,火绒终端安全管理系统( Linux版),火绒安全终端安全管理系统V2.0Linux版,信息安全软件 火绒 windows PC 三年续费版(10用户起订),火绒安全 终端安全管理系统V2.0Linux版 安全软件,火绒专杀工具(企业版),火绒安全 火绒终端安全管理系统2.0(旗舰版),火绒企业网络版杀毒软件升级,火绒企业网络版杀毒软件升级,火绒杀毒企业版多少钱
功能:实现终端安全系统的集中管理、策略配置、报表查看等功能。50个Windows客户端全功能版授权许可,
病毒防御:病毒查杀,防病毒终端软件:网络版杀毒软件,服务器杀毒软件,Linux服务器杀毒软件,防病毒软件EDR、杀毒软件(反病毒引擎、多层次主动防御系统、病毒防御、系统防御、网络防御、设备控制等,网络版杀毒软件 1套,终端安全控制系统,EDR终端安全管理,外网电脑杀毒软件,勒索病毒诱捕,文件实时监控,恶意行为监控,U盘保护,下载保护,邮件监控,web扫描。反病毒引擎供应商。定时全网扫描,
漏洞管理:(漏洞修复)补丁分发,补丁修复,漏洞攻击拦截、攻击溯源,支持漏洞集中修复,补丁文件管理,按终端修复,下发漏洞修复。横向渗透防护,
移动存储管理功能:安全U盘,U盘管控,U盘注册、U盘信任,USB无线网卡、USB有限网卡、打印机、光驱、蓝牙设备、便携设备等
终端管控:
外设管控,
系统防御:系统加固,应用加固,软件安装拦截,摄像头防护,浏览器保护
应用软件管理:企业软件管家,软件捆绑安装拦截,软件安装拦截,
网络防御:横向渗透防护,网络入侵拦截、对外攻击拦截、僵尸网络防护、爆破攻击防护、远程登录防护、web服务保护、 Web 威胁,恶意网址拦截,动态恶意软件检测,无文件恶意软件,终端动态认证,邮件监控,文件实时监控,网络入侵防护。恶意行为监控,勒索病毒诱捕。
访问控制:IP协议控制、IP黑名单、联网控制、网站内容控制、程序执行控制、设备控制,下发IP访问限制,安全软件自我保护,密码保护。
应用加固:web服务器、数据库、办公软件、文档阅读器、浏览器、设计软件,系统加固
资产管理:资产管理、边界管理、软件管理、系统管理、硬件管理、XP防护盾、流量管控、,终端审计、edr功能,远程桌面,预防勒索病毒,拦截恶意攻击等功能。清点硬件资产,
日志报告:
中心管理:
服务端支持系统:Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016
客户端支持系统:Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016、Windows Server 2019等Windows操作系统以及UOS、深度Linux、中标麒麟、红旗linux、CentOS、Ubuntu等Linux操作系统
品类:终端安全:终端安全防护,终端安全软件,企业级杀毒, 终端安全防护软件授权,网络终端安全管理项目,终端设备防护,终端安全管理设备,终端安全专项保障,终端安全管理平台,终端安全管理系统,终端安全管理平台升级及维保项目,终端安全运营平台,终端安全管理系统升级,终端安全防护,终端安全防护扩容服务,终端安全管理平台,终端安全管理系统,端点保护市场,edr运营体系, 终端防户能力,全网管控,电脑终端防护需终端安全管理windows版求。xdr,edr,信息安全软件 火绒 windows PC 版(10用户起订),火绒安全 终端管理系统Windows V2.0,
杀毒软件:
信息安全软件 ,企业杀毒软件,网络安全病毒防治与安全加固服务项目,火绒杀毒软件,火绒杀毒,网络版防病毒软件
成都科汇科技有限公司( 终端安全 软件 解决方案商 )
地址:成都市人民南路四段1号时代数码大厦18F
电话:400-028-1235
手机:180 8195 0517(微信同号)
在线客服系统