物联网恶意软件“Mirai”源代码被黑客公开绿盟科技分析报告开放下载

10月7日 ，黑客论坛Hackforums公布了名为“Mirai”的物联网僵尸网络恶意软件源代码。 “Mirai”可以高效扫描物联网系统设备，感染采用出厂密码设置或弱密码加密的脆弱物联网设备，被病毒感染后，设备成为僵尸网络机器人后在黑客命令下发动高强度僵尸网络攻击。

网名为Anna-senpai的黑客在论坛公布了源代码，称此次攻击发动是为了引起信息安全业界的注意，发布的源代码希望能够帮助安全业界提高，并以前辈“senpai”自居。通过Mirai僵尸网络病毒每次可以发动38万个IoT机器人参与攻击，在针对Kreb的攻击后ISP逐渐开始清理行动，现在自己可以调用的IoT机器人在30万左右。KrebOnSecurity在上月被攻击期间录得共计620 Gbps的DDoS巨大流量。

近期外媒持续报道中国浙江大华摄像头被传用于DDoS攻击，又报道中国杭州雄迈产品泄露root用户名和密码，物联网安全的最大问题仍旧是先从与关键信息基础设施及民计民生的方面暴露出来。

物联网（IoT）为黑客提供了广阔的攻击来源，以往发起DDoS攻击的多是僵尸主机或数据中心里的服务器，然而这种现状正在被打破，联网摄像头、家用路由器以及ARM－Based的物联网设备正在成为黑客发起攻击的来源。物联网僵尸网络病毒“Mirai”在上月参与发起了针对KrebOnSecurity安全站点的大规模分布式DDoS攻击，新一类僵尸网络从各种容易被感染的物联网设备中发起，流量巨大防不胜防。

安全加社区邀请绿盟科技的安全专家分析了Mirai物联网恶意软件源代码

Mirai物联网恶意软件概述

如下图所示，主要包含两个文件夹，其中loader文件夹为加载器，完成服务端创建和状态监控的功能；mirai文件夹完成主要的恶意功能，包含网络连接、DDoS执行、下载（等工具的实现）以及主控端操作功能。

Mirai感染途径

攻击者通过SSH或Telnet账号，使用默认密码入侵物联网设备。

Mirai功能实现

代码实现的恶意功能从源码来看，主要包含3方面，主要是bot文件夹，实现反调试、隐藏自身进程、设置初始的域名端口值、设置默认弱口令、网络连接及DDOS攻击功能；Tools文件夹，实现wget、更新文件、异或数据等工具性功能。CNC文件夹能够在主控端对成功感染的bot进行监控并作为接收指令端解析指令并发起ddos攻击。

同时bot文件夹下实现功能时，会打开PF_INET（原始套接字，TCP的UNIX网络套接字），并将它绑定到本地主机IP地址127.0.0.1的端口TCP/48101，之后开始监听连入连接。一旦网络中有一个设备受感染，则会通过Telnet服务连接，进一步扩大感染范围。

Mirai物联网恶意软件防护方法

其攻击针对的对象主要是安装了busybox工具的linux操作系统的设备，结合分析，其防护方法包括以下几个方面：

修改初始口令以及弱口令，加固用户名和密码的安全性
禁用48101端口
关闭telnet连接（使用了23端口）
busybox工具只允许特定用户进行使用

Mirai物联网恶意软件详细分析

Bot文件夹

从代码函数功能上看，具有这些功能，反GDB调试，解析CC地址，网络连接、实现DDOS攻击等功能。

反调试 ：如果监测到gdb调试，则进行自删除，阻止watchdog重新启动设备，并显示连接CC地址失败。
隐藏进程 ：确保每次只有一个实例运行（通过连接本地端口48101）,并通过此端口号关闭相对应的进程。
多种DDoS攻击 ：攻击初始化，设置攻击类型，包含UDP、VSE、DNS、SYN等多种DDOS攻击方式。
抢占端口 ：端口初始化，通过端口号关闭使用telnet、SSH、HTTP服务的其他进程，并防止其重新启动。
扫描内网 ：扫描初始化，扫描局域网中具有弱口令以及开放23端口的其他设备
用户名密码加密 ：其中用户名密码的加密算法为：
躲避扫描 ：当检测到新的实例运行时，则终止自身进程，同时终止扫描和所有的攻击任务。

连接域名和端口号

在源码中硬编码方式嵌入了连接的域名和端口号，其中的域名字符串都可以使用Tools文件夹下的enc.c所示的算法进行还原。

其目标为使用busybox的设备。

DDoS攻击方法

设置用户名密码

CNC文件夹

CNC文件夹能够在主控端对成功感染的bot进行监控并作为接收指令端解析指令并发起ddos攻击。监听端口23和101，分别完成不同的操作。此部分操作主要为主控端的操作。

监听端口号为23时，根据接收数据进行判定。若接受数据长度为4，且分别为00 00 00 x(x>0)时，为bot监听，将对应的bot主机添加为新的bot；否则，则判断是否是管理员并进行登录，如果成功登录，则可以通过命令执行管理员帐户添加、bot配置及bot主机情况。

当监听端口为101时，将从接收的信息中解析出命令，然后创建新的攻击，其攻击类型包括udp、vse（Valve source engine specific flood）、dns、syn、ack、stomp、GRE ip flood、GRE Ethernet flood、http等多种洪水攻击方式。

Tools文件夹

Tools文件夹，实现wget、更新文件、异或数据等工具性功能

Single_Load.c 加载文件

Wget.c 获取远程文件

Nogdb.c(更新文件信息)

Badbot.c(显示指定的bot信息)

Enc.c

Loader文件夹

其主要功能是创建服务器，同时监控连接的状态。

物联网恶意软件Mirai源代码分析报告下载

点击图片下载

相关文章

浙江大华摄像头被传用于DDoS攻击杭州雄迈产品又爆root用户名和密码欧洲委员会起草安全法规

Level3报告称中国大量摄像头被用于DDoS攻击据说大华科技监控摄像头有漏洞

智慧城市是否有足够的智慧安全？卡巴斯基安全智慧城市计划

原文发布时间：2017年3月24日

本文由：绿盟科技发布，版权归属于原作者

原文链接：http://toutiao.secjia.com/internet-things-malware-mirai-open-source-code

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站