Loading
0

Mirai物联网僵尸攻击深度解析

scanListen分析

ScanListen主要用于处理bot扫描得到的设备信息(ip、端口、用户名、密码),并将其转化为如下格式后输入给Load处理。

Load分析

Load模块的主要功能是处理scanListen的输入并将其解析后针对每个设备实施感染。其感染实现方法如下:

(1)首先通过Telnet登陆目标设备。

(2)登陆成功后,尝试运行命令/bin/busybox ps来确认是否可以执行busybox命令。

(3)远程执行/bin/busybox cat /proc/mounts;用于发现可读写的目录。

(4)如果发现可用于读写的文件目录,进入该目录并将/bin/echo拷贝到该目录,文件更名为dvrHelpler,并开启所有用户的读写执行权限。

(5)接下来通过执行命令”/bin/busybox cat /bin/echo\r\n”来获取当前设备架构信息。

(6)如果获取架构信息成功,样本试图通过三种方式对设备进行感染,这三种方式分别为echo方式、wget方式、tftp方式。

(7)接下来通过Telnet远程执行下放的程序。

(8)最后远程删除bot程序。

分页阅读: 1 2 3 4 5 6
【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。