当Mirai扫描到Telnet服务时,会连接Telnet并进行暴力登录尝试。Mirai首先会使用内置的用户名和密码尝试登录,之后通过发送一系列命令来判定登录成功与否。如果成功则试图进行一些操作,比如开启shell等操作,其发送的命令被初始化在一个Table中,如下表所示:
| 命令操作类型 | Index | 有效 | 功能描述 |
|---|---|---|---|
| TABLE_SCAN_CB_DOMAIN | 18 | yes | domain to connect to |
| TABLE_SCAN_CB_PORT | 19 | yes | Port to connect to |
| TABLE_SCAN_SHELL | 20 | yes | ‘shell’ to enable shell access |
| TABLE_SCAN_ENABLE | 21 | yes | ‘enable’ to enable shell access |
| TABLE_SCAN_SYSTEM | 22 | yes | ‘system’ to enable shell access |
| TABLE_SCAN_SH | 23 | yes | ‘sh’ to enable shell access |
| TABLE_SCAN_QUERY | 24 | yes | echo hex string to verify login |
| TABLE_SCAN_RESP | 25 | yes | utf8 version of query string |
| TABLE_SCAN_NCORRECT | 26 | yes | ‘ncorrect’ to fast-check for invalid password |
| TABLE_SCAN_PS | 27 | no | “/bin/busybox ps” |
| TABLE_SCAN_KILL_9 | 28 | no | “/bin/busybox kill -9 “ |
以上表格中只有TABLE_SCAN_PS和TABLE_SCAN_KILL_9进行了初始化而未对目标设备进行预执行操作。从20到26的操作均是在发送用户名和密码后的登录验证操作。其中TABLE_SCAN_CB_DOMAIN和TABLE_SCAN_CB_PORT为黑客配置的Load服务器,该服务器用于获取有效的Telnet扫描结果,扫描结果中包含IP地址、端口、Telnet用户名和密码等信息。发送信息的格式如下:
| zero(1个字节) | IP地址(4bytes) | 端口(2bytes) | 用户名长度(4bytes) | 用户名(muti-bytes) | 密码长度(4bytes) | 密码(muti-bytes) |
|---|
7、连接C&C,等候发动攻击
Mirai的攻击类型包含UDP攻击、TCP攻击、HTTP攻击以及新型的GRE攻击。其中,GRE攻击就是著名安全新闻工作者Brian Krebs的网站KrebsOnSecurity.com遭受的主力攻击形式,攻击的初始化代码如下:
C&C会被初始化在一张表中,当Mirai回连C&C时,会从表中取出C&C进行连接。
连接C&C成功后,Mirai会进行上线,其上线过程非常简单,自身简单向C&C发送4个字节的0。
接下来会等候C&C的控制命令,伺机对目标发动攻击。对于接受控制命令处做了一些处理,比如首先会进行试读来做预处理(控制指令长度判定等等),最后才会接受完整的控制命令。
当接受到控制命令后,Mirai对控制命令做解析并且执行。控制命令格式如下:
type Attackstruct {
Durationuint32
Typeuint8
Targetsmap[uint32]uint8 //Prefix/netmask
Flagsmap[uint8]string // key=value
}
其中,前4个字节为攻击时长,接下来的4个字节为攻击类型(攻击ID),然后是攻击目标,攻击目标格式如下:
| 目标数(4个字节) | IP地址(4个字节) | MASK(一个字节) | IP地址(4个字节) | MASK(一个字节) | IP地址….MASK… |
|---|
最后是Flags,Flag是一系列的键值对数据,结构类似于攻击目标的格式。下面列出Mirai僵尸网络攻击功能列表。
| 攻击类型(32位) | 类型值 | 攻击函数 |
|---|---|---|
| ATK_VEC_UDP | 0 | attack_udp_generic |
| ATK_VEC_VSE | 1 | attack_udp_vse |
| ATK_VEC_DNS | 2 | attack_udp_dns |
| ATK_VEC_UDP_PLAIN | 9 | attack_udp_plain |
| ATK_VEC_SYN | 3 | attack_tcp_syn |
| ATK_VEC_ACK | 4 | attack_tcp_ack |
| ATK_VEC_STOMP | 5 | attack_tcp_stomp |
| ATK_VEC_GREIP | 6 | attack_gre_ip |
| ATK_VEC_GREETH | 7 | attack_gre_eth |
| ATK_VEC_PROXY | 8 | attack_app_proxy(已经被取消) |
| ATK_VEC_HTTP | 10 | attack_app_http |
这其中的GRE攻击也就是9月20日安全新闻工作者Brian Krebs攻击事件的主力攻击类型。
发表评论