Loading
0

物联网僵尸Mirai源码分析和沙箱运行演示

test用户登录僵尸网络:
和admin一样都是登录23端口,验证过程和登录界面一样,不过普通用户无法执行adduser命令。

DDoS攻击指令解析
进入botnet#控制台后,用户就可以输入DDoS攻击指令了,Mirai定义了一些命令,已经输入?在线查询攻击指令用法,可见黑客为玩家小白用户考虑的还是比较贴心的。
攻击指令有vse, stomp, grepip, udpplain, http, dsn, syn, ack等.

而且对于攻击指令的每个字段都可以输入?查询帮助,这点算是做的很到位。

发动攻击:
用户在botnet#控制台输入攻击指令,然后程序NewAttack构造atk攻击对象,再调用Build()构造和Bot通信的私有网络协议数据,然后发送给客户端Bot,Bot要执行反过程,解析cmd,然后再执行命令。

HTTP攻击示例:
先查看攻击命令。

然后CC发起HTTP攻击命令,Bot端收到CC命令如下:

在攻击的同时用tcpdump抓包,可以看到大量的并发HTTP请求,如果是几十万的Bot同时发起HTTP攻击,则目标网站很容易被搞垮了,这就是分布式攻击的威力。

端口101用法比较简单,就是快捷发起一次攻击,比如test用户对目标MySQL数据库的3306端口发起TCP syn攻击,C&C返回OK,然后test用户名下的bot即开始干活了

点评Mirai
Mirai僵尸网络和《从某云服务商溯源黑客老巢:实例讲解Botnet僵尸网络和DDoS》文中讲解的具有同样的网络结构,但是它们的通信协议不同,Mirai采用自定义的私有通信协议,另者采用的是基于IRC协议,孰优孰劣,读者自有定论。Mirai的CC采用Go开发,Go是高并发高性能服务端开发利器,所以几十万的Bot在线也易于控制。此外Mirai的bot还可以扫描其它弱口令设备,达到洪泛扩散效果,总之,如果Mirai能基于IRC堪称完美,IRC的优点是服务器天然存在,分布世界各地,而且channel隐蔽,可以随意建立,更重要是GUI图形化界面管理bot。
结束语
Mirai源码中掺杂一些俄语,黑客很可能是俄罗斯人,但是这次DDoS攻击事件中莫名背锅受害的是生产网络设备的中国企业,此次安全事件充分暴露了国内一些企业安全意识薄弱,对于产品出厂前没有进行安全检测和评估,导致流向市场后被黑客利用,最终损害了企业的声誉和利益,希望此次事件能引起国内企业重视。

分页阅读: 1 2
【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。