Mirai源码解析
zengfan · · 6976 次点击 · · 开始浏览Mirai概述
mirai,2016年一个备受关注的DDoS攻击程序,与传统的僵尸网络不同的是,mirai的控制的僵尸主要是摄像头等嵌入式设备,mirai的出现将一大波安全研究者引入了IoT安全领域。
mirai的事迹主要有:
- 2016年9月20日 ,攻击Brian Krebs个人网站,攻击流量达到665Gbps,据称有150万僵尸发起攻击。
- 2016年9月21日, 攻击法国网络服务商OVH,攻击流量达到1Tbps
- 2016年9月30日,mirai开源
- 2016年10月21日, 攻击Dyn DNS,导致Github、Twitter等美国大半个互联网下线
- 2016年11月28日, 攻击德国电信,mirai出现新变种
mirai已经成为IoT DDOS攻击的母体。
mirai能够控制如此大规模的僵尸网络,主要原因是各个设备提供商对安全的不重视,包括雄迈设备、浙江大华等企业,所有设备密码都一样且不能由用户修改,且开放telnet端口以致mirai轻易爆破成功。
当然,mirai开源了,不看白不看。
架构
mirai主要由三部分构成,源码对应四个模块:
- loader :监听bot的report,并上传payload到要感染的设备
- cnc: command&control,即控制服务器,主要功能是处理用户登录和下发命令
- bot: 即payload,僵尸程序
- tools: 工具
loader源码分析
- 发起telnet连接
- 维护状态机
CNC源码分析
CNC部分由golang编写,golang能用goroutine+channel写出高性能的服务器。
CNC源码主要分为:
- 用户管理
- 攻击命令管理
- 感染节点管理
- 数据库管理
bot源码分析
bot源码主要分为:
- attack模块:解析下发的命令,发起DoS攻击
- scanner模块:扫描telnet弱口令登录,上报给loader
- killer模块:占用端口,kill同类僵尸(排除异己)
- public模块: utils
1、bot主流程
1、关闭watchdog,防止设备重启
2、Ensure_single_instance 绑定48101,防止多个实例执行
3、生成随机数,加密进程路径和进程名
4、建立daemon,关闭stdin、stdout、stderr
5、attack_init 主进程, add_attack() 添加攻击类型和回调函数
6、kill_init 创建killer子进程,根据端口号找到pid杀死进程,killer_kill_by_port
7、scanner_init, 扫描子进程,一个死循环
8、主进程,死循环,监听CNC连接,解析攻击参数,发起攻击
2、attack模块
1从table.c获取CNC的域名和端口,建立连接,然后监听CNC connection
2定时发送心跳,保持连接
3解析攻击参数 ,attack_start发起dos攻击
攻击方式
- attack_app.c
- attack_gre.c
- attack_tcp.c
1、attack_tcp_syn()
2、attack_tcp_ack()
3、attack_tcp_stomp() - attack_udp.c
1、attack_udp_generic()
2、attack_udp_vse()
3、attack_udp_dns()
4、attack_udp_plain()
3、scanner模块
1、用raw socket试探性扫描telnet的23号端口,有回应才进行telnet登陆尝试
2、用scanner_init中硬编码的弱口令字典去尝试登陆telnet
3、进入登录状态机,执行一系列命令来判断是否登录成功
4、如果登录成功,开启一个子进程,将IP、端口、用户名、密码按照固定格式上报给loader,loader的scanListen.go处理接收暴力扫描的结果
4、killer模块
5、public模块
- talbe.c 存了一些硬编码的数据,并对数据进行加密,向外提供加解密、取出成员和添加成员的接口。
tools源码分析
- 异或加密
- 反gdb调试
- 接收扫描结果
有疑问加站长微信联系(非本文作者)
入群交流(和以上内容无关):加入Go大咖交流群,或添加微信:liuxiaoyan-s 备注:入群;或加QQ群:692541889
关注微信- 请尽量让自己的回复能够对别人有帮助
- 支持 Markdown 格式, **粗体**、~~删除线~~、
`单行代码` - 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
- 图片支持拖拽、截图粘贴等方式上传
收入到我管理的专栏 新建专栏
Mirai概述
mirai,2016年一个备受关注的DDoS攻击程序,与传统的僵尸网络不同的是,mirai的控制的僵尸主要是摄像头等嵌入式设备,mirai的出现将一大波安全研究者引入了IoT安全领域。
mirai的事迹主要有:
- 2016年9月20日 ,攻击Brian Krebs个人网站,攻击流量达到665Gbps,据称有150万僵尸发起攻击。
- 2016年9月21日, 攻击法国网络服务商OVH,攻击流量达到1Tbps
- 2016年9月30日,mirai开源
- 2016年10月21日, 攻击Dyn DNS,导致Github、Twitter等美国大半个互联网下线
- 2016年11月28日, 攻击德国电信,mirai出现新变种
mirai已经成为IoT DDOS攻击的母体。
mirai能够控制如此大规模的僵尸网络,主要原因是各个设备提供商对安全的不重视,包括雄迈设备、浙江大华等企业,所有设备密码都一样且不能由用户修改,且开放telnet端口以致mirai轻易爆破成功。
当然,mirai开源了,不看白不看。
架构
mirai主要由三部分构成,源码对应四个模块:
- loader :监听bot的report,并上传payload到要感染的设备
- cnc: command&control,即控制服务器,主要功能是处理用户登录和下发命令
- bot: 即payload,僵尸程序
- tools: 工具
loader源码分析
- 发起telnet连接
- 维护状态机
CNC源码分析
CNC部分由golang编写,golang能用goroutine+channel写出高性能的服务器。
CNC源码主要分为:
- 用户管理
- 攻击命令管理
- 感染节点管理
- 数据库管理
bot源码分析
bot源码主要分为:
- attack模块:解析下发的命令,发起DoS攻击
- scanner模块:扫描telnet弱口令登录,上报给loader
- killer模块:占用端口,kill同类僵尸(排除异己)
- public模块: utils
1、bot主流程
1、关闭watchdog,防止设备重启
2、Ensure_single_instance 绑定48101,防止多个实例执行
3、生成随机数,加密进程路径和进程名
4、建立daemon,关闭stdin、stdout、stderr
5、attack_init 主进程, add_attack() 添加攻击类型和回调函数
6、kill_init 创建killer子进程,根据端口号找到pid杀死进程,killer_kill_by_port
7、scanner_init, 扫描子进程,一个死循环
8、主进程,死循环,监听CNC连接,解析攻击参数,发起攻击
2、attack模块
1从table.c获取CNC的域名和端口,建立连接,然后监听CNC connection
2定时发送心跳,保持连接
3解析攻击参数 ,attack_start发起dos攻击
攻击方式
- attack_app.c
- attack_gre.c
- attack_tcp.c
1、attack_tcp_syn()
2、attack_tcp_ack()
3、attack_tcp_stomp() - attack_udp.c
1、attack_udp_generic()
2、attack_udp_vse()
3、attack_udp_dns()
4、attack_udp_plain()
3、scanner模块
1、用raw socket试探性扫描telnet的23号端口,有回应才进行telnet登陆尝试
2、用scanner_init中硬编码的弱口令字典去尝试登陆telnet
3、进入登录状态机,执行一系列命令来判断是否登录成功
4、如果登录成功,开启一个子进程,将IP、端口、用户名、密码按照固定格式上报给loader,loader的scanListen.go处理接收暴力扫描的结果
4、killer模块
5、public模块
- talbe.c 存了一些硬编码的数据,并对数据进行加密,向外提供加解密、取出成员和添加成员的接口。
tools源码分析
- 异或加密
- 反gdb调试
- 接收扫描结果