物联网恶意软件“Mirai”源代码被黑客公开 绿盟科技分析报告开放下载
10月7日 ,黑客论坛Hackforums公布了名为“Mirai”的物联网僵尸网络恶意软件源代码。 “Mirai”可以高效扫描物联网系统设备,感染采用出厂密码设置或弱密码加密的脆弱物联网设备,被病毒感染后,设备成为僵尸网络机器人后在黑客命令下发动高强度僵尸网络攻击。
网名为Anna-senpai的黑客在论坛公布了源代码,称此次攻击发动是为了引起信息安全业界的注意,发布的源代码希望能够帮助安全业界提高,并以前辈“senpai”自居。通过Mirai僵尸网络病毒每次可以发动38万个IoT机器人参与攻击,在针对Kreb的攻击后ISP逐渐开始清理行动,现在自己可以调用的IoT机器人在30万左右。KrebOnSecurity在上月被攻击期间录得共计620 Gbps的DDoS巨大流量。
近期外媒持续报道中国 浙江大华摄像头被传用于DDoS攻击,又报道中国杭州雄迈产品泄露root用户名和密码 ,物联网安全的最大问题仍旧是先从与关键信息基础设施及民计民生的方面暴露出来。
物联网(IoT)为黑客提供了广阔的攻击来源,以往发起DDoS攻击的多是僵尸主机或数据中心里的服务器,然而这种现状正在被打破,联网摄像头、家用路由器以及ARM-Based的物联网设备正在成为黑客发起攻击的来源。物联网僵尸网络病毒“Mirai”在上月参与发起了针对KrebOnSecurity安全站点的大规模分布式DDoS攻击,新一类僵尸网络从各种容易被感染的物联网设备中发起,流量巨大防不胜防。
安全加社区邀请 绿盟科技的安全专家分析了Mirai物联网恶意软件源代码
Mirai物联网恶意软件概述
如下图所示,主要包含两个文件夹,其中loader文件夹为加载器,完成服务端创建和状态监控的功能;mirai文件夹完成主要的恶意功能,包含网络连接、DDoS执行、下载(等工具的实现)以及主控端操作功能。
Mirai感染途径
攻击者通过SSH或Telnet账号,使用默认密码入侵物联网设备。
Mirai功能实现
代码实现的恶意功能从源码来看,主要包含3方面,主要是bot文件夹,实现反调试、隐藏自身进程、设置初始的域名端口值、设置默认弱口令、网络连接及DDOS攻击功能;Tools文件夹,实现wget、更新文件、异或数据等工具性功能。CNC文件夹能够在主控端对成功感染的bot进行监控并作为接收指令端解析指令并发起ddos攻击。
同时bot文件夹下实现功能时,会打开PF_INET(原始套接字,TCP的UNIX网络套接字),并将它绑定到本地主机IP地址127.0.0.1的端口TCP/48101,之后开始监听连入连接。一旦网络中有一个设备受感染,则会通过Telnet服务连接,进一步扩大感染范围。
Mirai物联网恶意软件防护方法
其攻击针对的对象主要是安装了busybox工具的linux操作系统的设备,结合分析,其防护方法包括以下几个方面:
- 修改初始口令以及弱口令,加固用户名和密码的安全性
- 禁用48101端口
- 关闭telnet连接(使用了23端口)
- busybox工具只允许特定用户进行使用
Mirai物联网恶意软件详细分析
Bot文件夹
从代码函数功能上看,具有这些功能,反GDB调试,解析CC地址,网络连接、实现DDOS攻击等功能。
- 反调试 :如果监测到gdb调试,则进行自删除,阻止watchdog重新启动设备,并显示连接CC地址失败。
- 隐藏进程 :确保每次只有一个实例运行(通过连接本地端口48101),并通过此端口号关闭相对应的进程。
- 多种DDoS攻击 :攻击初始化,设置攻击类型,包含UDP、VSE、DNS、SYN等多种DDOS攻击方式。
- 抢占端口 :端口初始化,通过端口号关闭使用telnet、SSH、HTTP服务的其他进程,并防止其重新启动。
- 扫描内网 :扫描初始化,扫描局域网中具有弱口令以及开放23端口的其他设备
- 用户名密码加密 :其中用户名密码的加密算法为:
- 躲避扫描 :当检测到新的实例运行时,则终止自身进程,同时终止扫描和所有的攻击任务。
连接域名和端口号
在源码中硬编码方式嵌入了连接的域名和端口号,其中的域名字符串都可以使用Tools文件夹下的enc.c所示的算法进行还原。
其目标为使用busybox的设备。
DDoS攻击方法
设置用户名密码
CNC文件夹
CNC文件夹能够在主控端对成功感染的bot进行监控并作为接收指令端解析指令并发起ddos攻击。监听端口23和101,分别完成不同的操作。此部分操作主要为主控端的操作。
监听端口号为23时,根据接收数据进行判定。若接受数据长度为4,且分别为00 00 00 x(x>0)时,为bot监听,将对应的bot主机添加为新的bot;否则,则判断是否是管理员并进行登录,如果成功登录,则可以通过命令执行管理员帐户添加、bot配置及bot主机情况。
当监听端口为101时,将从接收的信息中解析出命令,然后创建新的攻击,其攻击类型包括udp、vse(Valve source engine specific flood)、dns、syn、ack、stomp、GRE ip flood、GRE Ethernet flood、http等多种洪水攻击方式。
Tools文件夹
Tools文件夹,实现wget、更新文件、异或数据等工具性功能
Single_Load.c 加载文件
Wget.c 获取远程文件
Nogdb.c(更新文件信息)
Badbot.c(显示指定的bot信息)
Enc.c
Loader文件夹
其主要功能是创建服务器,同时监控连接的状态。
物联网恶意软件Mirai源代码分析报告下载
点击图片下载
相关文章
浙江大华摄像头被传用于DDoS攻击 杭州雄迈产品又爆root用户名和密码 欧洲委员会起草安全法规
Level3报告称中国大量摄像头被用于DDoS攻击 据说大华科技监控摄像头有漏洞
智慧城市是否有足够的智慧安全?卡巴斯基安全智慧城市计划
物联网恶意软件“Mirai”源代码被黑客公开 绿盟科技分析报告开放下载相关推荐
- 卡巴斯基:今年以来物联网恶意软件数量已超过去年的2倍
锁定物联网设备的恶意软件数量快速增加,去年捕获3219种,今年已成长至7242种.被骇的物联网设备以监视器.IP摄影机为主,占殭尸设备6成左右,2成为各式网络设备.路由器,其他则是VoIP电话.打印机 ...
- “红遍全球”的恶意软件 Mirai 换了个新马甲,这次瞄上我国2亿多台IoT设备
在一年前的今天(2016.10.21),美国发生了一起规模极大的互联网瘫痪事故,多个城市的主要网站被攻击,人们发现连经常登录的推特.亚马逊.Paypal 等在内的大量网站连续数小时无法正常访问. 事后 ...
- App Store中国区下架近5万款未提供版号的游戏;微软源代码遭黑客访问;Rust 1.49.0发布
CSDN 的读者朋友们早上好哇,「极客头条」来啦,快来看今天都有哪些值得我们技术人关注的重要新闻吧! 一分钟速览新闻点! 云鲸扫地机器人故障:将 12 月 31 日写成了 13 月 1 日 App S ...
- 我的开源项目,趣享GIF源代码已正式公开
转载请注明出处:https://blog.csdn.net/guolin_blog/article/details/86669020 本文同步发表于我的微信公众号,扫一扫文章底部的二维码或在微信搜索 ...
- [译] APT分析报告:03.OpBlueRaven揭露APT组织Fin7/Carbanak(上)Tirion恶意软件
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助.前文分享了钓鱼邮件网址混淆URL逃避检测,这篇文章将介绍APT组织 ...
- MIT公布“著名黑客之死”调查报告
本文讲的是 : MIT公布"著名黑客之死"调查报告 , [IT168 资讯]7月31日消息,据路透社报道,Reddit联合创始人.互联网活动家艾伦·斯沃茨(Aaron Swa ...
- 华为方舟编译器开源官网正式上线:源代码已开放下载;中兴通讯与北京交通大学、中国移动北京公司签署 “5G战略合作框架协议”……...
关注并标星星CSDN云计算 极客头条:速递.最新.绝对有料.这里有企业新动.这里有业界要闻,打起十二分精神,紧跟fashion你可以的! 每周三次,打卡即read 更快.更全了解泛云圈精彩news g ...
- 高级威胁:Ramsay恶意软件针对隔离网络的攻击技术分析
一.背景 近期,国外安全公司ESET发布了恶意软件Ramsay针对物理隔离网络的攻击报告(见参考链接1).所谓物理隔离网络,是指采用物理方法将内网与外网隔离,从而避免入侵或信息泄露的风险的技术手段.物 ...
- SWIFT到底是怎么回事?针对银行的黑客攻击技术(报告)
近期,孟加拉国.厄瓜多尔.越南.菲律宾等多个国家的银行陆续曝出曾经遭遇黑客攻击并试图窃取金钱事件,这些事件中黑客都瞄准了SWIFT银行间转账系统,对相关银行实施攻击和窃取.360追日团队深入分析了截获 ...
最新文章
- Python - selenium_WebDriver 鼠标键盘事件
- 新基建来势汹汹,开发者如何捍卫其安全?
- 人工智能学什么?专家表示基础科学教育需发力
- oracle基于dblink创建视图,【案例】Oracle dblink 数据库连接dblink insert操作数据类型发生改变...
- 跨域解决请求限制(script标签)(热门搜索出现对应的词条)
- ubuntu+touch+android,移动操作系统Ubuntu Touch支持安卓应用
- 学java需要什么基础_学java需要什么基础?
- 计算机维修案例分析题,14-15年春季高考信息技术题(组装维修部分)
- html基础电子文档,html基础
- C程序设计语言现代方法12:指针和数组
- mysql建表常用sql语句
- webrtc---桌面共享原理
- 局域网助手 LanHelper 简体中文版
- 第二章:minio单机版,使用客户端备份文件
- 语句摘抄——第25周
- MATLAB实现变限积分函数的积分/ 多重积分/ 如何解决求积分显示AB浮点标量报错
- 三个人比饭量大小,每个人说了两句话。 A说:B比我吃得多,C和我吃得一样多。 B说:A比我吃得多,A也比C吃得多。 C说:我比B吃得多,B比A吃得多。 事实上饭量越小的人讲对的话越多。
- 第二章 五行,金木水火土
- 从包工头到程序猿(六)汶川地震
- 【windows程序设计入门教程之一】开发环境的搭建helloword程序
热门文章
- typecho图片水印插件
- 2023-02-21 好用的一款十六进制编辑器软件Hex Editor Neo ,以十六进制字节形式查看文件有字节
- Ubuntu 网络应用服务器 Apache 配置基础
- 微官网(三)——前端之制作网页
- iphone怎在计算机硬盘打开,iPhone怎么备份数据到电脑硬盘【详解】
- 基础-Lyapunov稳定性相关的理论
- 战德臣计算机思维导论第二讲,2020秋大学计算机-计算思维导论SPOC(战德臣)
- tdms用matlab打开,TDMS文件及其Matlab读取方法.pdf
- 矩阵计算规则*(矩阵求导)
- NVIDIA安装CUDA在安装阶段提示NVIDIA安装程序失败