# Malware Gafgyt, Tsunami, Dofloo, ChinaZ, DdoS, DnsAmp, XorDDOS, Mirai, BitCoinMiner, Elknot, Ganiw, Ramgo, Flood, Flooder, CornelGEN, and AESDDoS ## Gafgyt ### 主要描述 他是一種殭屍病毒，並繼承許多Mirai botnet的程式，除了DDos攻擊外，他也會連到指定網站，並下載payload來攻擊，主要的攻擊目標為router。 ### DDOS攻擊 包含 HTTP, UDP, TCP, STD(傳送一堆隨機string), telnet bruteforce telnet 是一種網路協定，如果成功透過telnet登陸，則可以遠端在機器上打cmd[reference](https://www.wikiwand.com/zh-tw/Telnet) ### exploit attack [reference](https://www.uptycs.com/blog/mirai-code-re-use-in-gafgyt) 1. CVE-2017-17215 針對華為的HG532，attacker可以發送惡意封包給port37215，這個port是用來更新upnp的，upnp是用來作為ip translation的工具，而駭客發送更新封包時，外加惡意的指令在裡面，以此獲得shell的控制權，過程即在獲得payload後執行並提權。 [reference](https://iter01.com/644980.html) 2. CVE-2014-8361 為miniigd SOAP service的漏洞，他在遇到新的internet client時，並沒有檢查user的data，造成被提權。現在已經有metaexploit可以執行 [reference](https://www.zerodayinitiative.com/advisories/ZDI-15-155/) 3. CVE-10562 目標為gpon home routers，因為這個router是透過特別的path來認證，他們可以利用?images/到url來得到資料。 [reference](https://www.vpnmentor.com/blog/critical-vulnerability-gpon-router/) 再提權後，他們會在下載惡意的script。 #### 特徵 在分析這個模型時發現他主要可能會有網址跟ip的string在這個惡意病毒中，可以用來作為分類的特徵 ## Tsunami [reference_1](https://unit42.paloaltonetworks.com/unit42-new-iotlinux-malware-targets-dvrs-forms-botnet/) [reference_2](https://www.subexsecure.com/pdf/malware-reports/2021-05/tsunami-backdoor.pdf) ### 主要描述 他是一個後門攻擊程式，在中毒後會透過IRC channel與 IRC server回傳資料與接受命令，像DDOS或偷取資訊 IRC 是一個輕量的聊天軟體，一個人可以建立server然後其他就能夠連入這個server來傳遞訊息[wiki_reference](https://www.wikiwand.com/zh-tw/IRC) #### DDOS 攻擊 有HTTP 和 UDP flooding #### RCE 攻擊 他會掃描目標是否有RCE漏洞並攻擊， #### VM envision 他有偵測自己是否在virtual box的能力，他會對照資料夾有無VMware Virtualbox這類字串來判斷自己是否在vmware中，如果是會把整個系統刪掉 #### 特徵 除了一樣有ip和domain name，這裡還會有含有像VMWARE和virtual box這類的string來作為偵測是否存在VM的環境中