Mirai概述
mirai,2016年一个备受关注的DDoS攻击程序,与传统的僵尸网络不同的是,mirai的控制的僵尸主要是摄像头等嵌入式设备,mirai的出现将一大波安全研究者引入了IoT安全领域。
mirai的事迹主要有:
- 2016.9.20 ,攻击Brian Krebs个人网站,攻击流量达到665Gbps,据称有150万僵尸发起攻击。
- 2016.9.21, 攻击法国网络服务商OVH,攻击流量达到1Tbps
- 2016.9.30,mirai开源
- 2016.10.21, 攻击Dyn DNS,导致Github、Twitter等美国大半个互联网下线
- 2016.11.28, 攻击德国电信,mirai出现新变种
mirai已经成为IoT DDOS攻击的母体。
mirai能够控制如此大规模的僵尸网络,主要原因是各个设备提供商对安全的不重视,包括雄迈设备、浙江大华等企业,所有设备密码都一样且不能由用户修改,且开放telnet端口以致mirai轻易爆破成功。
当然,mirai开源了,不看白不看。
架构
mirai主要由三部分构成,源码对应四个模块:
- loader :监听bot的report,并上传payload到要感染的设备
- cnc: command&control,即控制服务器,主要功能是处理用户登录和下发命令
- bot: 即payload,僵尸程序
- tools: 工具
loader源码分析
- 发起telnet连接
- 维护状态机
CNC源码分析
CNC部分由golang编写,golang能用goroutine+channel写出高性能的服务器。
CNC源码主要分为:
- 用户管理
- 攻击命令管理
- 感染节点管理
- 数据库管理
bot源码分析
bot源码主要分为:
- attack模块:解析下发的命令,发起DoS攻击
- scanner模块:扫描telnet弱口令登录,上报给loader
- killer模块:占用端口,kill同类僵尸(排除异己)
- public模块: utils
1、bot主流程
1、关闭watchdog,防止设备重启
2、Ensure_single_instance 绑定48101,防止多个实例执行
3、生成随机数,加密进程路径和进程名
4、建立daemon,关闭stdin、stdout、stderr
5、attack_init 主进程, add_attack() 添加攻击类型和回调函数
6、kill_init 创建killer子进程,根据端口号找到pid杀死进程,killer_kill_by_port
7、scanner_init, 扫描子进程,一个死循环
8、主进程,死循环,监听CNC连接,解析攻击参数,发起攻击
2、attack模块
①从table.c获取CNC的域名和端口,建立连接,然后监听CNC connection
②定时发送心跳,保持连接
③解析攻击参数 ,attack_start发起dos攻击
攻击方式
- attack_app.c
- attack_gre.c
- attack_tcp.c
1、attack_tcp_syn()
2、attack_tcp_ack()
3、attack_tcp_stomp() - attack_udp.c
1、attack_udp_generic()
2、attack_udp_vse()
3、attack_udp_dns()
4、attack_udp_plain()
3、scanner模块
1、用raw socket试探性扫描telnet的23号端口,有回应才进行telnet登陆尝试
2、用scanner_init中硬编码的弱口令字典去尝试登陆telnet
3、进入登录状态机,执行一系列命令来判断是否登录成功
4、如果登录成功,开启一个子进程,将IP、端口、用户名、密码按照固定格式上报给loader,loader的scanListen.go处理接收暴力扫描的结果
4、killer模块
5、public模块
- talbe.c 存了一些硬编码的数据,并对数据进行加密,向外提供加解密、取出成员和添加成员的接口。
tools源码分析
- 异或加密
- 反gdb调试
- 接收扫描结果
有疑问加站长微信联系(非本文作者)
