近期，火絨安全實(shí)驗(yàn)室發(fā)現(xiàn)一起病毒入侵事件，經(jīng)排查分析后，確認(rèn)為 Gafgyt 木馬病毒的新變種。Gafgyt 是一款基于 IRC 協(xié)議的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)程序，主要感染基于 Linux 的 IoT 設(shè)備來(lái)發(fā)起分布式拒絕服務(wù)攻擊（DDoS）。它是除 Mirai 家族之外，最大的活躍物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)家族，其源碼在 2015 年被泄露并上傳至 GitHub 后，各類變種及利用層出不窮，對(duì)用戶構(gòu)成較大的安全威脅。目前，火絨安全產(chǎn)品可對(duì)上述病毒進(jìn)行攔截查殺，請(qǐng)企業(yè)用戶及時(shí)更新病毒庫(kù)以進(jìn)行防御。

一：樣本分析：

病毒首先對(duì)自身進(jìn)程重命名為 "/usr/sbin/dropbear" 或 "sshd" 隱藏自身：

其中發(fā)現(xiàn)被加密字符串，解密算法則是對(duì) 0xDEDEFFBA 的字節(jié)異或。使用時(shí)，只有用到的才進(jìn)行單個(gè)解密，但實(shí)際引用的只有4個(gè)：

其中第一個(gè)引用只是向屏幕輸出對(duì)應(yīng)字符串，中間兩個(gè)引用則是對(duì) watchdog 進(jìn)程的操作，用以避免設(shè)備重啟而丟失控制權(quán)：

剩余的操作在循環(huán)中進(jìn)行，包括初始化 C2 連接（94.156.161.21:671），發(fā)送平臺(tái)設(shè)備類型，接收回傳命令并執(zhí)行對(duì)應(yīng)模塊操作。且與 Gafgy 泄露的源碼相比，命令的格式和處理并沒(méi)有太大改動(dòng)，命令下發(fā)的格式依舊為 "!* Command [Parameter]"

在 processCmd 函數(shù)中，總共對(duì) 14 個(gè)命令進(jìn)行響應(yīng)并發(fā)起對(duì)應(yīng)的 DDOS 類攻擊行為，包括：“HTTP”，“CUDP”，“UDP”，“STD”，“CTCP”，“TCP”，“SYN”，“ACK”，“CXMAS”，“XMAS”，“CVSE”，“VSE”，“CNC”，“NIGGA”

其中 CUDP、UDP、CTCP、TCP 模塊都能夠向指定 IP 和端口發(fā)送隨機(jī)字符串，且都可以通過(guò)自建 IP 頭的方式進(jìn)行 TCP 和 UDP 報(bào)文重構(gòu)，以此來(lái)隱藏源 IP 地址。

前綴 C 猜測(cè)是 custom 的縮寫(xiě)，以 CUDP 和 UDP 為例，在 Gafgyt 原始版本中，下發(fā)的命令中帶有的參數(shù)包括：ip、port、time、spoofed、packetsize、pollinterval 等字段值和標(biāo)志位用于 UDP 報(bào)文的構(gòu)建。而在該樣本中，觀察到的結(jié)果顯示其為這些參數(shù)不同限制程度上的應(yīng)用，能增強(qiáng)特定類型 DDOS 攻擊的靈活性。

其它的模塊的作用包括增加了大量的User-Agent字符串，用于發(fā)起 CC 攻擊的 HTTP 命令：

包括用于針對(duì) Valve Source 引擎服務(wù)器的攻擊：（"Source Engine" 查詢是使用 Valve 軟件協(xié)議在客戶端和游戲服務(wù)器之間進(jìn)行日常通信的一部分 ）

包括可以切換連接 IP 的 CNC 命令：

包括 SYN 和 ACK 攻擊：

包括 UDP STD flood 攻擊：

包括 XMAS 攻擊：（即圣誕樹(shù)攻擊，通過(guò)把 TCP 所有標(biāo)志位設(shè)置為 1，由此消耗目標(biāo)系統(tǒng)更多響應(yīng)處理資源 ）

NIGGA 模塊相當(dāng)于原版中的 KILLATTK 命令，通過(guò) Kill 掉除主進(jìn)程外的所有子進(jìn)程來(lái)停止 DoSS 攻擊

對(duì)比分析：

源代碼中存放主要邏輯的函數(shù) processCmd 包括 PING、GETLOCALIP、SCANNER、EMAIL、JUNK、UDP、TCP、HOLD、KILLATTK、LOLNOGTFO 模塊，在本次捕獲的變種利用中共存的只剩簡(jiǎn)化版的 UDP 和 TCP 模塊。

且在獲取本地 IP 操作中，原始版本是通過(guò) /proc/net/route 獲取本地 IP 并通過(guò) GETLOCALIP 模塊進(jìn)行回傳。在該變種中觀察到同樣的獲取操作，但這里沒(méi)有 GETLOCALIP 模塊，且未觀察到任何引用。

值得注意的是，該類樣本中沒(méi)有原始版本的用于爆破 SSH（22端口）的 SCANNER 模塊，也沒(méi)有其它變種中嵌入多種 "應(yīng)用/設(shè)備" 的漏洞利用 Payload 進(jìn)行傳播?？梢?jiàn)攻擊者把傳播模塊拆分成獨(dú)立的程序，在成功登錄受害者主機(jī)后會(huì)通過(guò)執(zhí)行 shellcode 的方式下載用于下一階段的通信樣本，即本次分析樣本。

以獲取到的同源樣本為例，攻擊者對(duì)大部分樣本都剝離了調(diào)試信息，只有個(gè)別除外，如：x86：

不同架構(gòu)相比邏輯基本一致，在此不再重復(fù)分析：

二：附錄

HASH

C&C