Mirai源码解析

96
zengfan
2017.07.12 16:17* 字数 1291

Mirai概述

mirai,2016年一个备受关注的DDoS攻击程序,与传统的僵尸网络不同的是,mirai的控制的僵尸主要是摄像头等嵌入式设备,mirai的出现将一大波安全研究者引入了IoT安全领域。

mirai的事迹主要有:

  • 2016.9.20 ,攻击Brian Krebs个人网站,攻击流量达到665Gbps,据称有150万僵尸发起攻击。
  • 2016.9.21, 攻击法国网络服务商OVH,攻击流量达到1Tbps
  • 2016.9.30,mirai开源
  • 2016.10.21, 攻击Dyn DNS,导致Github、Twitter等美国大半个互联网下线
  • 2016.11.28, 攻击德国电信,mirai出现新变种

mirai已经成为IoT DDOS攻击的母体。

mirai能够控制如此大规模的僵尸网络,主要原因是各个设备提供商对安全的不重视,包括雄迈设备、浙江大华等企业,所有设备密码都一样且不能由用户修改,且开放telnet端口以致mirai轻易爆破成功。

当然,mirai开源了,不看白不看。

Mirai特点

  • bot能够感染多种架构,包括:Arm、Arm7、MIPS、PowerPC、X86、SPARC等
  • 服务端实施感染,而不是僵尸自己感染其他bot
  • 强制清除其他IoT类僵尸,独占资源
  • 强制关闭telnet服务、SSH服务和web服务,并占用端口防止复活
  • 内置感染白名单,过滤国防部等无效IP

架构

mirai架构

mirai主要由三部分构成,源码对应四个模块:

  • loader :监听bot的report,并上传payload到要感染的设备
  • cnc: command&control,即控制服务器,主要功能是处理用户登录和下发命令
  • bot: 即payload,僵尸程序
  • tools: 工具

loader源码分析

  • 发起telnet连接
  • 维护状态机

CNC源码分析

CNC部分由golang编写,golang能用goroutine+channel写出高性能的服务器。
CNC源码主要分为:

  • 用户管理
  • 攻击命令管理
  • 感染节点管理
  • 数据库管理

bot源码分析

bot模块划分

bot源码主要分为:

  • attack模块:解析下发的命令,发起DoS攻击
  • scanner模块:扫描telnet弱口令登录,上报给loader
  • killer模块:占用端口,kill同类僵尸(排除异己)
  • public模块: utils

1、bot主流程

1、关闭watchdog,防止设备重启
2、Ensure_single_instance 绑定48101,防止多个实例执行
3、生成随机数,加密进程路径和进程名
4、建立daemon,关闭stdin、stdout、stderr
5、attack_init 主进程, add_attack() 添加攻击类型和回调函数
6、kill_init 创建killer子进程,根据端口号找到pid杀死进程,killer_kill_by_port
7、scanner_init, 扫描子进程,一个死循环
8、主进程,死循环,监听CNC连接,解析攻击参数,发起攻击

2、attack模块

①从table.c获取CNC的域名和端口(cnc.changeme.com,可以在loader中修改),建立连接,然后一个select监听CNC connection
②定时发送心跳,保持连接
③attack_parse解析攻击参数 ,主要包括攻击时长、攻击类型、攻击目标、攻击选项,attack_start发起dos攻击

攻击方式

以attack_tcp_syn为例,用raw socket 构造指定数量的tcp syn包,并sendto给指定目标地址。

  • attack_app.c
  • attack_gre.c
  • attack_tcp.c
    1、attack_tcp_syn()
    2、attack_tcp_ack()
    3、attack_tcp_stomp()
  • attack_udp.c
    1、attack_udp_generic()
    2、attack_udp_vse()
    3、attack_udp_dns()
    4、attack_udp_plain()

3、scanner模块

1、用raw socket试探性扫描telnet的23号端口,有回应才进行telnet登陆尝试
2、用scanner_init中硬编码的弱口令字典去尝试登陆telnet
3、进入登录状态机,执行一系列命令来判断是否登录成功
4、如果登录成功,开启一个子进程,将IP、端口、用户名、密码按照固定格式上报给loader,loader的scanListen.go处理接收暴力扫描的结果

4、killer模块

其实整个killer就做了两件事:
1.杀死端口22,23,80对应的进程,并占用此端口,防止端口被重新启用,killer_kill_by_port
2.查找到anime程序对应的进程并结束进程,并删除文件,即干掉同类竞争对手。

5、public模块

  • talbe.c 存了一些硬编码的数据,并对数据进行加密,向外提供加解密、取出成员和添加成员的接口。
  • resolve.c 提供了根据域名向DNS服务器8.8.8.8查询IP的接口resolv_lookup

tools源码分析

1、scanListen.go
scanListern.go是一个golang实现的服务器,运行在loader那台服务器上,监听48101,每一个bot上报时,新启一个go程处理连接,将收到的

func main() {
    l, err := net.Listen("tcp", "0.0.0.0:48101")  //INADDR_ANY  通配地址
    if err != nil {
        fmt.Println(err)
        return
    }

    for {
        conn, err := l.Accept()//多线程服务器
        if err != nil {
            break
        }
        go handleConnection(conn)   //go  开启一个线程
    }
}
  • 异或加密
  • 反gdb调试
  • 接收扫描结果
网络安全
Web note ad 1