HydraRoute Neo - маршрутизация доменов и CIDR

[Ground_Zerro]

@Кинетиковод

Хз. Не прогонял антивирусами. А на что конкретно ругается хоть?

[Кинетиковод]

20 минут назад, Ground_Zerro сказал:

А на что конкретно ругается хоть?

Отчёт тут.

[Ground_Zerro]

Да, догадался залезть туда.

В вирусах не силен, потому анализ исходников от Ai агента:

Цитата

readelf подтверждает: ELF32, big-endian, MIPS R3000, EXEC, статическая линковка, стрипнутый (нет .symtab, нет dynamic-секции, nm: no symbols).

Это дословно отпечаток IoT-ботнетов (Mirai, Gafgyt/Bashlite, Tsunami, Mozi): они почти всегда — статические стрипнутые MIPS/ARM ELF без зависимостей. Универсальные
сигнатуры вида ELF:Mirai-gen, Linux/Gafgyt, ELF.Agent, Trojan.Linux.Generic срабатывают уже на одной этой форме.

Поведенческие строки, усиливающие детект

Найдено в .text/.data (всё — задокументированная функциональность HRNeo, но один-в-один совпадает с индикаторами роутерной малвари):

- Загрузка модуля ядра: init_module, /lib/modules/%s/%s.ko, xt_connbytes → эвристика LKM-руткита.
- Сырой перехват пакетов: AF_PACKET, [INFO] Packet capture initialized (AF_PACKET …) → поведение сниффера.
- Перехват трафика через NFQUEUE + сырой NETLINK_NETFILTER.
- Прямая правка фаервола: iptables-restore, CONNMARK, fwmark, ip rule/ip route → «firewall tampering», классика роутерных троянов.
- Манипуляция соединениями: conntrack netlink DUMP+DELETE (conntrack: deleted %d entries).
- Системная разведка: /proc/self/exe, /proc/self/maps, /proc/modules, /proc/net/route, /sys/class/net → recon-паттерн.
- Встроенный /bin/sh (из статической glibc) + собственный HTTP/JSON-клиент к loopback:79 → для песочницы похоже на самодельный C2-beacon на нестандартный порт.

Совокупность «много сетевально-атакующих примитивов в одном маленьком статическом стрипнутом MIPS-бинаре без внешних зависимостей» максимизирует обобщённый «generictrojan»-скор.

Вывод

Это ложноположительное срабатывание (false positive) эвристики, а не находка реальной вредоносной нагрузки. Причина системная: легитимная задача HRNeo (policy-routing на
роутере) технически реализуется ровно теми же низкоуровневыми примитивами ядра и сети, что и Mirai-подобная малварь под те же MIPS-роутеры, — и при этом упаковано в тот же
формат (static stripped MIPS ELF). Сигнатурного «тела» конкретного зловреда нет; срабатывает форма + набор capability.

Что именно поднимает скор, по убыванию:
1. Static stripped MIPS BE ELF (форма IoT-ботнета) — плюс UPX, если VT-сэмпл был упакован.
2. init_module (загрузка .ko).
3. AF_PACKET-сниффинг + NFQUEUE.
4. Правка iptables/conntrack/ip rule.
5. Recon по /proc и /sys + /bin/sh.

Исходники открыты, кому нужно - проверяйте, смотрите.

[Ground_Zerro]

Для интересующихся

Принятые меры:
FP-репорты направлены вендорам.
Будет добавлен GNU build-id.
UPX сжатие - долой. Плюс ~356Кб к весу бинарника владельцам ARM надеюсь по силам.

В процессе:
Над динамической линковкой нужно подумать, это противоречит идее HRN «единый статический бинарь без зависимостей». Но "static stripped, no dynamic section" - основа сигнатуры IoT-ботнета, и увеличивает вес триггеров. Нужен компромисс.
Релизов на GitHub не планировал, но видимо придётся это пересмотреть и изучить что такое "GPG-подпись".

Изменено Суббота в 14:08 пользователем Ground_Zerro