Mirai概述

mirai，2016年一个备受关注的DDoS攻击程序，与传统的僵尸网络不同的是，mirai的控制的僵尸主要是摄像头等嵌入式设备，mirai的出现将一大波安全研究者引入了IoT安全领域。

mirai的事迹主要有：

• 2016.9.20 ，攻击Brian Krebs个人网站，攻击流量达到665Gbps，据称有150万僵尸发起攻击。
• 2016.9.21， 攻击法国网络服务商OVH，攻击流量达到1Tbps
• 2016.9.30，mirai开源
• 2016.10.21， 攻击Dyn DNS，导致Github、Twitter等美国大半个互联网下线
• 2016.11.28， 攻击德国电信，mirai出现新变种

mirai已经成为IoT DDOS攻击的母体。

mirai能够控制如此大规模的僵尸网络，主要原因是各个设备提供商对安全的不重视，包括雄迈设备、浙江大华等企业，所有设备密码都一样且不能由用户修改，且开放telnet端口以致mirai轻易爆破成功。

当然，mirai开源了，不看白不看。

Mirai特点

• bot能够感染多种架构，包括：Arm、Arm7、MIPS、PowerPC、X86、SPARC等
• 服务端实施感染，而不是僵尸自己感染其他bot
• 强制清除其他IoT类僵尸，独占资源
• 强制关闭telnet服务、SSH服务和web服务，并占用端口防止复活
• 内置感染白名单，过滤国防部等无效IP

架构

mirai架构

mirai主要由三部分构成，源码对应四个模块：

• loader ：监听bot的report，并上传payload到要感染的设备
• cnc： command&control，即控制服务器，主要功能是处理用户登录和下发命令
• bot： 即payload，僵尸程序
• tools： 工具

loader源码分析

• 发起telnet连接
• 维护状态机

CNC源码分析

CNC部分由golang编写，golang能用goroutine+channel写出高性能的服务器。
CNC源码主要分为：

• 用户管理
• 攻击命令管理
• 感染节点管理
• 数据库管理

bot源码分析

bot模块划分

bot源码主要分为：

• attack模块：解析下发的命令，发起DoS攻击
• scanner模块：扫描telnet弱口令登录，上报给loader
• killer模块：占用端口，kill同类僵尸（排除异己）
• public模块： utils

1、bot主流程

1、关闭watchdog，防止设备重启
2、Ensure_single_instance 绑定48101，防止多个实例执行
3、生成随机数，加密进程路径和进程名
4、建立daemon，关闭stdin、stdout、stderr
5、attack_init 主进程， add_attack() 添加攻击类型和回调函数
6、kill_init 创建killer子进程，根据端口号找到pid杀死进程，killer_kill_by_port
7、scanner_init， 扫描子进程，一个死循环
8、主进程，死循环，监听CNC连接，解析攻击参数，发起攻击

2、attack模块

①从table.c获取CNC的域名和端口（cnc.changeme.com，可以在loader中修改），建立连接，然后一个select监听CNC connection
②定时发送心跳，保持连接
③attack_parse解析攻击参数 ，主要包括攻击时长、攻击类型、攻击目标、攻击选项，attack_start发起dos攻击

攻击方式

以attack_tcp_syn为例，用raw socket 构造指定数量的tcp syn包，并sendto给指定目标地址。

• attack_app.c
• attack_gre.c
• attack_tcp.c
  1、attack_tcp_syn()
  2、attack_tcp_ack()
  3、attack_tcp_stomp()
• attack_udp.c
  1、attack_udp_generic()
  2、attack_udp_vse()
  3、attack_udp_dns()
  4、attack_udp_plain()

3、scanner模块

1、用raw socket试探性扫描telnet的23号端口，有回应才进行telnet登陆尝试
2、用scanner_init中硬编码的弱口令字典去尝试登陆telnet
3、进入登录状态机，执行一系列命令来判断是否登录成功
4、如果登录成功，开启一个子进程，将IP、端口、用户名、密码按照固定格式上报给loader，loader的scanListen.go处理接收暴力扫描的结果

4、killer模块

其实整个killer就做了两件事：
1.杀死端口22，23,80对应的进程，并占用此端口，防止端口被重新启用，killer_kill_by_port
2.查找到anime程序对应的进程并结束进程，并删除文件，即干掉同类竞争对手。

5、public模块

• talbe.c 存了一些硬编码的数据，并对数据进行加密，向外提供加解密、取出成员和添加成员的接口。
• resolve.c 提供了根据域名向DNS服务器8.8.8.8查询IP的接口resolv_lookup

tools源码分析

1、scanListen.go
scanListern.go是一个golang实现的服务器，运行在loader那台服务器上，监听48101，每一个bot上报时，新启一个go程处理连接，将收到的

func main() {
    l, err := net.Listen("tcp", "0.0.0.0:48101")  //INADDR_ANY  通配地址
    if err != nil {
        fmt.Println(err)
        return
    }

    for {
        conn, err := l.Accept()//多线程服务器
        if err != nil {
            break
        }
        go handleConnection(conn)   //go  开启一个线程
    }
}

• 异或加密
• 反gdb调试
• 接收扫描结果