Come è diretta la botnet Mirai?

5

Uno dei malware recenti che fanno il giro è la botnet Mirai , che sembra essere focalizzata su Linux basati su Internet di cose. È stato utilizzato per gli attacchi DDos su molti siti web importanti , inclusi GitHub, Twitter, Reddit, Netflix, Airbnb, e il servizio Dyn DNS, ed è presumibilmente responsabile per l'uccisione di affari in Liberia. Molte persone hanno modificato il malware per diventare più potente, alcuni affermando di essere il suo successore.

Suppongo che questo si applichi ad altri malware di targeting, ma sono principalmente interessato alla botnet Mirai.

In che modo il creatore "controlla" la botnet per concentrarsi su un target specifico?

    
posta esote 15.11.2016 - 23:53
fonte

2 risposte

5

Mirai utilizza una struttura di comando e controllo abbastanza standard - l'unica vera differenza è che il codice per il C & C è stato reso pubblico nelle prime fasi, quindi può essere facilmente aggiornato e riutilizzato.

Questo articolo di ars technica su Mirai delinea uno dei punti di forza del C & C di Mirai:

The simplicity of Mirai's C&C structure makes scaling it up relatively simple. "One of the things we noticed during the Dyn attack was that the C&C domain would change its address," Nixon explained. "That way, the C&C network could segment its botnet." By simply changing a DNS entry, the attacker could use the same domain to create and operate multiple separate botnets simultaneously.

When a Mirai bot is created, it sends a request to the Domain Name Service for the "A" address of a domain configured by its creator. Once it has the Internet address associated with that "A" address, it locks onto that IP address. "When one C&C server fills up, [the botnet operator] can just change the IP address associated with that 'A' name," Nixon explained. New bots will connect to the new address while older bots continue to communicate with the previously labeled server.

While this scheme can cause problems with resiliency of the botnet—if a C&C server gets identified and its traffic is shut down, the bots fail—it's not a big problem for the botnet long-term. The botnet can easily be re-established from another server by simply re-discovering vulnerable devices.

    
risposta data 16.11.2016 - 00:11
fonte
0

La risposta può essere abbastanza lunga. Comunque penso che non dovrei copiare all'ingrosso da quello che altri avevano fatto.

Mentre ci sono risposte abbastanza buone qui alle tue domande. Credo che l'articolo che dovresti guardare sia questo.

Analisi Botnet Incapsula Mirai L'analisi dell'incapsula in profondità scinde i componenti di Mirai fino al livello sorgente che ti dà una comprensione più profonda.

C'è anche una vista più pittoresca di Mirai da pwnie express ; una serie in due parti.

Per informazioni:

Symantec rileva Mirai come un Trojan denominato Linux .gafgyt

    
risposta data 20.02.2017 - 11:55
fonte

Leggi altre domande sui tag