LAPORAN UAS

MATA KULIAH: MALWARE ANALISIS

Dosen Pengampu : Nur Widiyasono, M.Kom., CEH, CHFI.

ANALISIS MIRAI MALWARE TERHADAP SERANGAN PEANGKAT

IoT

Oleh :

Nama : Muhamad Taufik Hidayat

NPM : 147006139

TEKNIK INFORMATIKA
FAKULTAS TEKNIK UNIVERSITAS SILIWANGI
TASIKMALAYA
2017
A. Struktur Malware
Mirai merupakan malware yang menyebabkan sebuah perangkat IoT dapat terinfeksi
dan menyebabkan kemanan menjadi lemah. Mirai adalah sebuah Trojan Linux dengan
kemampuan rootkit (termasuk dalam kategori 'malware ELF'). Dalam komputasi, Format
Executable and Linkable (ELF, sebelumnya disebut Extensible Linking Format) adalah
format file standar umum untuk executable, kode objek, shared library, dan core
dumps.Dengan kata lain: ELF adalah Linux seperti PE (.exe, .com, .scr) adalah Windows dan
Mach-O ke OS X.

Gambar 1.1 Tampilan Struktur Mirai

Gambar 1.2 Tampilan Scanning dengan Virus Total

 Gambar 1.3 Tampilan ELF Struktur Mirai
Perhatikan bahwa VirusTotal telah menambahkan (sejak November 2014) informasi ELF
terperinci dalam laporan juga, yang kira-kira sama dengan keluaran readelf.
 Gambar 1.4 Tampilan File Detail Mirai

B. Reviwe Jurnal / Paper Malware Mirai

No Peneliti / Tahun Judul Journal Metode Hasil Penelitian
1 Constantinos DDoS in the IoT Studi yang dibahas Pada Jurnal ini,
Kolias, Mirai and Other disini yaitu tentang disediakan analisis yang
Georgios Botnets malware Mirai yang komprehensif dari
Kambourakis, menjelaskan tentang kemunculan dan evolusi
Angelos Stavrou, bagaimana cara Mirai, perangkat itu
Jeffrey Voas menyerang pada ditargetkan dan
sistem jaringan dan terinfeksi, dan serangan
struktur penyerangan itu dieksekusi.
yang diukur. Kemunculan mirai
menjadi salah satu
penyebab terjadinya
 kejahatan yang terjadi
pada jaringan cyber.
kemudian step by step
penyerangan pada sistem
jaringan perangkat IoT
yang dilakukan untuk
menemukan perangkat
IoT.
2 Manos Antonakakis Understanding Studi yang dibahas Pada Jurnal ini,
April, Michael the Mirai Botnet disini yaitu tentang disediakan analisis yang
Bailey, malware Mirai yang komprehensif dari
Matthew Bernhard, memanfaatkan kemunculan dan evolusi
Elie Bursztein, berbagai titik Mirai, perangkat itu
Jaime Cochran, jaringan yang lemah ditargetkan dan
Zakir Durumeric, diantaranya adanya terinfeksi, dan serangan
J. Alex Halderman scanning pada itu dieksekusi. Kami
Luca Invernizzi, jaringan, honeypots temukan bahwa
Michalis Kallitsis, Telnet aktif, adanya sementara perangkat IOT
Deepak Kumar, server C2 untuk menyajikan banyak
Chaz Lever, serangan, pasif DNS tantangan keamanan yang
Zane Ma, dan serangan DDoS. unik, munculnya Mirai
Joshua Mason, Pada jurnal ini, terutama didasarkan pada
Damian Menscher, dibahas dari berbagai tidak adanya praktik
Chad Seaman, sumber data dan terbaik keamanan di
Nick Sullivan, dilakukan analisis ruang IOT, yang
Kurt Thomas, terhadap berbagai mengakibatkan
Yi Zhou. aspek lingkungan rapuh matang
karena melanggar.
Sebagai domain IOT
terus berkembang dan
berkembang, kami
berharap Mirai berfungsi
sebagai panggilan untuk
senjata untuk industri,
akademisi, dan para
pemangku kepentingan
pemerintah prihatin
dengan keamanan,
privasi, dan keamanan
dunia yang IOT-enabled
3 Alexandre An extended Studi yang dibahas Pada Jurnal ini,
Dulaunoy, Gérard analysis of an disini yaitu tentang disediakan analisis yang
Wagener, Sami IoT malware malware Mirai yang komprehensif dari
Mokaddem, from a blackhole memanfaatkan kemunculan dan evolusi
Cynthia Wagner network jaringan untuk Mirai, perangkat itu
memnyisipkan ditargetkan dan
malware oleh terinfeksi, dan serangan
penyerang dengan itu dieksekusi.
memanfaatkan Kemunculan mirai ini
ditemukan dan disisipkan
kelemahan pada oleh penyerang pada
jaringan. jaringan untuk
mengeksekusi perangkat
– perangkat IoT yang
tersebar, dengan maksud
untuk menemukan semua
informasi yang di dapat.
Misalnya pada jaringan
cctv jarak jaruh.
C. Data Statistik
Mirai adalah malware yang mengubah sistem komputer yang menjalankan Linux
menjadi 'bot' yang dikendalikan dari jarak jauh, yang dapat digunakan sebagai bagian dari
botnet dalam serangan jaringan berskala besar. Terutama menargetkan perangkat konsumen
online seperti kamera jarak jauh dan router rumah. Botnet Mirai pertama kali ditemukan pada
bulan Agustus 2016 oleh Malware MustDie, sebuah kelompok penelitian malware whitehat,
dan telah digunakan dalam beberapa serangan denial of service (DDoS) terbesar dan paling
mengganggu, termasuk sebuah serangan pada tanggal 20 September 2016 pada jurnal
keamanan komputer Situs web Brian Krebs, sebuah serangan terhadap host web Prancis OVH,
dan demo cyber cyber Oktober 2016. Menurut log chat yang bocor antara Anna-senpai dan
Robert Coelho, Mirai dinamai setelah anime TV 2011 Mirai Nikki.

Gambar 1.5 Tampilan Statistik data Mirai

Statistik data pada perangkat yang terinfeksi malware mirai ini di kahir tahun 2016
hampir mencapai 3,5 M perangkat yang terinfeksi malware mirai, waloupun mirai ini baru
ditemukan pada tahun 2016 awal tapi peningkatan malware terhadap serangan yang dilakukan
pada perangkat IoT cukup signifikan. Kemudian pada awal 2017 sampai pertengahan 2017
bulan Juli malware mirai ini terus menurus karena pengamanan pada perangkat IoT juga sudah
di kembangkan sedemikian rupa sehingga tidak terlalu mudah bagi penyerang untuk
mengakusisi perangkat tersebut. Tetapi tetap saja sampai saat ini malware mirai adalah
malware yang berbahaya yang dapat menyebabkan perangkat IoT terinfeksi. [Whitehat, 2017]
Melihat geolokasi IP yang menargetkan situs Brian menunjukkan bahwa jumlah
perangkat yang tidak proporsional yang terlibat dalam serangan tersebut berasal dari Amerika
Selatan dan Asia Tenggara. Seperti dilaporkan dalam grafik di atas Brazil, Vietnam dan
Columbia nampaknya menjadi sumber utama perangkat yang ditargetkan.
Gambar 1.6 Tampilan Geographic Distribution Dunia
D. Laporan Analisa Mirai Malware
Langkah pertama untuk mengetahui bagaimana perangkat kita terinfeksi malware atau
terjadi serangan DdoS pada perangkat dengan menyisipkan malware mirai adalah sebagai
berikut :
1. Pertama, penulis akan melakukan serangan DDoS dari mesin penulis ke target yang dipilih
oleh penulis perangkat lunak perusak.

Gambar 1.7 Tampilan Mirai Ddos Terhadap Mirai

Pada gambar diatas adalah sebuah proses untuk mencetak koneksi koneksi jaringan /
internet saat ini menggunakan netstat. Gunakan tcpdump untuk mendapatkan analisis lebih
rinci tentang paket yang di kirim. Dari gambar kita bisa melihat ip address yang digunakan
kemudian port-port yang dipakai yang terdapat pada malware mirai tersebut yang kemudian di
sisipkan pada boot untuk melakukan scanning dan attack secara otomatis kemudian hasil dari
penyerangan akan dikirimkan ke komputer penyerang dari perangkat yang ditargetkan.
2. Kedua, indikasi lain adalah melihat proses berjalan dengan nama acak dan file eksekusi
baru yang tiba-tiba dibuat di /etc/init.d/ atau / usr / bin / Entri baru akan ditambahkan ke
crontab kita (/ etc / crontab).
 Gambar 1.8 Tampilan proses yang sedang berjalan
Dari gambar diatas dapat dianalisa bahwa semua proses yang berjalan dengan nama acak dan
file eksekusi baru yang tiba-tiba dibuat di /etc/init.d/ atau / usr / bin / Entri baru akan
ditambahkan ke crontab kita (/ etc / crontab). Kemudian dibuat proses menggunakan perintah
apapun berdasarkan up atau di ps untuk memeriksa proses berbahaya yang sedang berjalan.
Kita akan melihat lebih banyak di bagian mana yang dapat menginfeksi perangkat. Dari
direktori-direktori tersebut banyak boot yang disimpan kemudian berjalan secara acak dan file
tersebut di eksekusi secara tiba-tiba untuk mengetahui sistem perangkat yang ada.
3. Ketiga, jika kita menjalankan server OpenSSH standar, kita mungkin akan melihat login
yang tidak sah namun berhasil dan segera logout setelahnya.

Gambar 1.9 Tampilan log

Dari gambar diatas adalah proses login yang tidak sah, maksudnya adalah log atau
catatan sistem pada perangkat secara realtime dicetak kemudian kita akan melihat sebuah user
yang tidak terdaftar kemudian berhasil logout setelah masuk dalam sistem perangkat tersebut.
Gejala ini sangat jelas, terlebih lagi jika sudah menerapkan beberapa tindakan untuk
melindungi diri dari pengganggu potensial. Jika tidak, maka akan lebih sulit untuk melacak
asal infeksi yang terjadi pada perangkat IoT. Tapi yang lebih sering daripada mengakses SSH
dari pengguna root adalah tindakan kejahatan.
4. Kita harus mengidentifikasi bagaimana malware memasuki sistem. Biasanya, password
root lemah digunakan (seperti admin atau 123456, lihat di sini untuk daftar kata kunci yang
dicoba. Catatan: file txt besar!) Atau penyerangnya kasar memaksa masuk ke mereka
(secara kasar memaksa kredensial SSH dari akar user) Lain, namun kemungkinannya
kurang umum, adalah memanfaatkan layanan yang rentan yang telah Anda jalankan
(Apache misalnya).
 Gambar 1.10 Tampilan Serangan Mirai Pada Jaringan

Gambar diatas menunjukan bagaimana attacker menyerang sebuah perangkat dimulai

dari build root user password kemudian menggunakan SSH romoter command untuk
mengendalikan perangkat dari jarak jauh, ke tiga mengektrak kernel headers dan version
strings untuk mengetaui data string yang digunakan, ke empat mengirim kernel info ke build
server dan disisipkan malware didalamnya. Ke lima perangkat terinfeksi oleh mirai malware
dengan serangan XOR Ddos, kemudian malware menerima hasil dari pada yang dibuat pada
program C&C server pada malware mirai tersebut. Dan yang terahir perangkat berhasil
terinfeksi oleh malware yang kemudian perangkat tersebut sudah menjadi hak milik orang lain
atau attacker karena sudah bisa dikendalikan oleh orang lain.
Varian ini menyalin dirinya ke /lib/libgcc.so, lalu membuat salinan di /etc/init.d dan tautan
simbolis ke /usr /bin. Setelah itu skrip cron baru dibuat dan ditambahkan ke crontab.
Sekarang kita akan melihat salah satu sampel yang dibuat - bernama bmtsfnlgxu.
(SHA1: b34b6f0ec42a0153c043b0665ec47bf6e5aac894)
Cara termudah di Linux adalah dengan hanya menggunakan perintah "file":

Kita bisa melihat itu ELF 32-bit yang bisa dieksekusi untuk i386 - dan itu tidak dilucuti.
Mengapa bagian terakhir itu penting? strip memungkinkan untuk menghapus simbol dan
bagian dari file pilihan, yang pada gilirannya membuat lebih sulit untuk merekayasa balik
(membongkar) juga. Dalam kasus ini, file sepertinya tidak dilucuti, bagus! Misalnya, kita bisa
melihat file sumber dan mendapatkan ide tentang apa yang dilakukan malware ini:
 Gambar 1.11 Tampialn Struktur Mirai
Dari gambar diatas kita akan mulai dengan menggunakan readelf untuk penyelidikan
lebih lanjut tentang file tersebut. Kita tahu, berkat perintah file, ini adalah ELF 32-bit yang bisa
dijalankan untuk i386. Menggunakan readelf dan parameter -h kita akan bisa mengumpulkan
lebih banyak informasi. Pada gambar memberi kita lebih banyak informasi, misalnya; Magic
(7F 45 4C 46 untuk file ELF, file 4D 5A untuk MZ) komplemen 2, little endian, jenis file yang
tepat (file executable, jenis file ELF lainnya mungkin merupakan file yang dapat direlokasi,
objek bersama, inti file atau prosesor tertentu) tapi yang terpenting disini adalah alamat entry
point, atau dimulainya program. Struktur mirai tersebut bisa dilihat pada gambar diatas. Dalam
hal malware itu sendiri, dengan menggunakan parameter, kita bisa membuang satu ton
informasi, kita dapat menemukan output dari perintah ini pada perangkat lunak perusak di
Pastebin: Xor.DDoS - "readelf -a" output.
Untuk membongkar file tersebut, kita dapat menggunakan objdump yang
memungkinkan kita membongkar hanya bagian yang diharapkan mengandung instruksi
(parameter -d) atau untuk membongkar isi semua bagian (-D parameter). Namun, untuk
menngetahu sedikit lebih dalam ke dalam kode malware, kita akan menggunakan IDA,
pembongkar dan debugger multi-prosesor dan Radare, kerangka pembalikan (portable) yang
terkenal. Perhatikan bahwa ini masih akan melirik sekilas, karena MalwareMustDie juga telah
melaporkannya secara ekstensif. Perhatikan bahwa varian Xor.DDoS yang dibahas di malware
mirai ini menggunakan 2 tombol XOR untuk komunikasi (jaringan), yaitu sebagai berikut:
BB2FA36AAA9541F0
ECB6D3479AC3823F

Pada video yang saya buat untuk menganalisa malware menggunakan IDE dengan
menggunakan GUI, berarti memiliki utilitas lain yang berguna: ELFparser. Ini akan melakukan
penilaian berdasarkan beberapa faktor, seperti perintah shell, fungsi HTTP dan manipulasi
proses. Misalnya, untuk file kami:
 Gambar 1.12 Tampilan Aplikasi ELF Preser
Anda bisa melihatnya mencetak cukup tinggi. Aku ingin tahu apa yang harus dikatakan tentang
alamat IP hardcoded.

Gambar 1.13 Tampilam Informasi ElF Mirai

Pada gambar diatas kita bisa melihat beberapa informasi yang didapat dari ELF mirai
malware yang kita ingin bongkar dimulai dari informasi network yang digunakan, IP address,
kemudian information gethering, dimana kita bisa mendapatkan informasi sebagai berikut :
103.25.9.228 - VirusTotal - IPvoid - DomainTools (whois)
103.25.9.229 - VirusTotal - IPvoid - DomainTools (whois)
Menggunakan ELF arser kita juga bisa melihat header ELF, bagian, tapi juga semua
kemampuannya seperti Information Gathering and Network Functions. Ini adalah alat kedua
yang berguna. Akhirnya, satu alat terakhir yang tidak boleh dilewatkan saat menganalisis file
ELF: box sugar. Kami akan menggunakan detux, box sugar multiplatform Linux.
 Gambar 1.14 Tampilan DNS Queries
Dari gambar diatas dapat kita lihat bahwa malware tersebut memiliki Analisis Jaringan
(IP yang terhubung dan kueri DNS) dan Analisis Statis (Elf Info and Strings). Kita memiliki
koneksi ke wangzongfacai.com, bukan domain yang asing. Lihat laporan lengkap yang dibuat
oleh Detux di arsip kami di sini. Perlu dicatat bahwa diawal kita sudah mengirim file ke Detux
(dan VirusTotal) yang menghasilkan hasil yang serupa:
Detux melaporkan file itu disini Ketika saya mengirim file yang terakhir ke VirusTotal hanya
ada 12 pendeteksian, setelah mengirimkannya kembali 19 disket. Itu lebih baik dari
sebelumnya namun belum sampai memenuhi prasyart pada system yang ada. Kita mungkin
menemukan gambaran umum dari semua file yang dikumpulkan serta domain yang paling
umum / berulang dan IP mereka terhubung ke / download dari sini, tersedia melalui OTX
AlienVault.
1. Disinfeksi
Mungkin ada beberpa petunjuk untuk menghapus atau mencegah alware dari perangkat
yang terinfeksi.
 Identifikasi proses berbahaya: jalankan ps ef (ps singkatan status proses) untuk
melihat proses yang sedang berjalan. Sebagai alternatif, Anda dapat menggunakan ps
top atau ps dengan parameter lainnya, misalnya ps ej atau ps aux untuk tabel manusia
yang lebih lengkap. Cari proses dengan nama acak; dalam praktik ini dimulai dengan
S90 dan huruf acak sesudahnya, terkait dengan file dengan semua nama acak, seperti
yang terjadi pada contoh malware kami yang bernama bmtsfnlgxu.
 Setelah Anda mengidentifikasi proses berbahaya (es), Anda dapat menggunakan
perintah berikut untuk menemukan file terkait juga: untuk pid di $ (ps -C -o pid =);
lakukan ls -la / proc / $ pid / fd; selesai dimana nama proses mencurigakan. Perintah
ini akan menampilkan file yang terbuka dan terkait. Misalnya, untuk bmtsfnlgxu itu
adalah:
  untuk pid di $ (ps -C bmtsfnlgxu -o pid =); lakukan ls -la / proc / $ pid / fd; selesai.
 Identifikasi file jahat: cari file yang baru dibuat di /etc/init.d/, / boot / dan / usr / bin /.
Sekali lagi, cari file dengan nama acak. Anda juga bisa menggunakan perintah ls -lat
header untuk melihat file yang baru saja diubah.
 Periksa crontab Anda (/ etc / crontab). Hapus tugas cron yang jahat, lebih khusus lagi
pada pekerjaan cron.hourly dan dalam kasus XOR.DDoS mereka akan menjadi yang
berikut:
* / 3 * * * * root /etc/cron.hourly/cron.sh
* / 3 * * * * root /etc/cron.hourly/udev.sh

 Hapus kedua baris ini dari crontab Anda. Jangan lupa simpan. Hapus file terkait,
terletak di /etc/cron.hourly. Dalam kasus kami, isinya adalah sebagai berikut:
cron.sh

hg

Seperti yang dikatakan sebelumnya, hapus file-file ini secara manual, begitu pula file-
file yang disebutkan dalam skrip. (dalam kasus ini: /lib/libgcc.so.bak, /lib/libgcc.so dan
/lib/libgcc4.4.so.) Perhatikan bahwa file-file ini tidak terkait dengan perpustakaan runtime
GCC dan dengan demikian dapat dengan aman dihapus. Ini hanya cara lain bagaimana malware
mencoba untuk menyembunyikan diri.
Juga periksa ulang tidak ada file atau skrip berbahaya di /etc/rc.d. jika tidak ada maka dibuang
saja. Menghentikan dan membunuh proses berbahaya: mengidentifikasi proses yang sudah
lama, Biasanya itu akan menjadi yang paling banyak memakan CPU, yang bisa Anda verifikasi
menggunakan perintah sebelumnya, yang paling mudah. Pertama, pastikan untuk
menghentikan proses induk dan menunggu proses anak mati. Gunakan perintah: kill -STOP $
pid
Saat proses anak mati, bunuh orang tua dengan menggunakan: kill -9 $ pid Jika Anda melihat
proses berbahaya lainnya, baliki 2 perintah terakhir lagi. Hapus file berbahaya yang tersisa,
lokasi tempat malware mungkin berada di tempat yang telah ditentukan sebelumnya, namun
harus lengkap.
/ direktori root, dalam kasus yang jarang terjadi diantaranya :
/tempat sampah/
/ boot /
/etc/init.d/
/etc/rc.d
/etc/rcX.d (di mana X adalah angka)
/ lib /
/ lib / udev /
/ sbin /
/ tmp /
/ usr / bin /

 Gunakan rm -rf untuk menghapus file secara permanen. Hati-hati dengan perintah ini.
Memiliki masalah menghapus file, Apakah kita perlu root Jika tidak perlu, coba kill proses atau
hapus file menggunakan root dengan cara menambahkan sudo sebelum perintah. Sebagai
contoh: sudo kill -STOP $ pid
Proses berbahaya terus datang kembali, lakukan langkah-langkah sebelumnya, tapi kali
ini catat tempat malware berada. Buat direktori itu dan file-filenya tidak bisa dimodifikasi
dengan memanfaatkan perintah chattr. Misalnya, malware sedang dibuat kembali di / usr / bin/.
Gunakan perintahnya: chattr -R + i / usr / bin / Kemudian, hentikan yang lama, tunggu sampai
child mati dan bunuh yang lama. Hapus file Jangan lupa gunakan chattr lagi setelah
membersihkan infeksi. (dalam contoh kita: chattr -R -i / usr / bin /). Ini juga mungkin malware
untuk sementara menyimpan file ke / tmp / saat mencoba untuk membunuh prosesnya. Bila itu
terjadi, gunakan perintah chattr yang sama di direktori / tmp / dan mulailah dari awal. Jika
ragu, gunakan perintah chattr pada semua direktori yang disebutkan di atas dan mulailah dari
awal. Sangat penting: jangan lupa gunakan chattr -R -i pada mereka setelah itu. Dalam kasus
yang jarang terjadi, penyerang mungkin masih terhubung ke kotak. Jika memungkinkan,
potong koneksi internet dan lakukan langkah disinfeksi. Jika ini tidak mungkin, pertama
hentikan SSH dengan memasukkan perintah:
sudo /etc/init.d/ssh stop.
Kemudian, gunakan iptables untuk menjatuhkan koneksi ke IP yang malware terhubung ke
(gunakan netstat misalnya, lihat juga Diagnosis) dan untuk melepaskan koneksi dari penyerang
atau cybercriminal. Bagaimana cara melakukannya:
Kami mengetahui bahwa K & C kami 103.25.9.228 dan 103.25.9.229. Jadi, ketik atau copy /
paste 2 perintah berikut ini:
iptables-OUTPUT -d 103.25.9.228 -j DROP
iptables-OUTPUT -d 103.25.9.229 -j DROP
Untuk memblokir koneksi dari penyerang bisa menemukan IP penyerang menggunakan netstat
iptables -A INPUT -s $ attackerIP -j DROP Jangan lupa untuk menyimpan aturan iptables yang
baru dibuat dengan menggunakan perintah /etc/init.d/iptables save Setelah itu, ubah semua kata
sandi. (SSH, pengguna anda, root) Skenario kasus terbaik di sini jelas memulihkan dari
cadangan Jika mesin itu virtual, pulihkan dulu snapshot Bila memiliki salah satu dari ini yang
tersedia, jangan lupa untuk mengganti semua kata kunci setelahnya untuk mencegah infeksi
ulang - dan tempelkan mesin. Beberapa varian XOR.DDoS juga bisa memasukkan rootkit.
Dalam kasus ini, harap Anda memiliki "skenario kasus terbaik" yang tersedia. Setelah sebuah
kotak dikompromikan sepenuhnya, mungkin akan sulit mengembalikannya kembali ke
keadaan normal atau semula.
Untuk pengecekan ganda terhadap rootkit dan malware lainnya, Anda mungkin ingin
memeriksa chkrootkit atau sebaliknya, rkhunter. Selain itu, Anda bisa mendownload dan
menginstal antivirus, misalnya ClamAV. Jika melakukan pembersihan manual seperti
ditunjukkan di atas dan sudah memastikan semuanya beres, Anda dapat menginstal ClamAV
dan melakukan pemindaian ekstra untuk memastikannya. Lebih baik aman daripada menyesal.
Lalu, ikuti tips pencegahan di bawah ini untuk tetap aman.
 Pencegahan
Gunakan kata sandi yang kuat untuk SSH atau gunakan kunci alih-alih kata sandi untuk
otentikasi. Anda bisa membaca bagaimana melakukannya di sini. Jika Anda tidak memerlukan
SSH ke mesin tertentu, nonaktifkan di mesin itu dengan perintah sudo apt-get remove openssh-
server Untuk menonaktifkannya dari start up Anda bisa menggunakan update-rc.d -f ssh delet
Jangan membuka port SSH yang masuk (default 22) ke APAPUN, namun batasi ke alamat IP
tepercaya. Untuk informasi lebih lanjut tentang penggunaan SSH dengan aman, lihat: SSH:
Praktik terbaik Gunakan firewall yang kuat. Di Linux ada banyak pilihan, iptables adalah
pilihan yang solid. Dasar iptables dasar yang baik bisa ditemukan disini. Dalam jaringan atau
jika perlu melindungi beberapa mesin, Anda mungkin ingin mempertimbangkan alat perangkat
keras terpisah sebagai pilihan firewall / UTM / .
Perintah 'n kontrol Mirai Server (CNC) mengakuisisi bots melalui telnet, yang
ditemukan diaktifkan dan terkena sebagai kerentanan dalam perangkat IOT berlebihan
menjalankan berbagai bentuk tertanam Linux. Dikombinasikan dengan hardware default akun
produsen login, Mirai dapat dengan cepat memperoleh akses shell pada perangkat (bot). The
Mirai CNC server diberi makan berbagai perintah melalui antarmuka admin untuk
melaksanakan Denial of Service (DoS) serangan pada jaringan outbound perangkat Terdiri ini.
Selain itu, CNC perangkat panen alamat IP dan meta-data yang diperoleh melalui
pemindaian bot dan penemuan dari perangkat yang diberikan. Setelah dikompromikan
perangkat akan “telepon rumah” untuk CNC. Sementara perangkat terus muncul beroperasi
secara normal ketika sedang leveraged oleh server CNC dalam botnet besar terdiri dari ratusan
ribu perangkat IOT.
 Build
Membangun script naskah Bash sederhana yang menyediakan fungsionalitas standar
seperti membersihkan artefak, memungkinkan bendera compiler, dan bangunan debug atau
rilis binari via pergi dan compiler gcc. Rilis membangun mendukung kompilasi binari bot
untuk berbagai platform (prosesor & terkait set instruksi): SPC, MIPS, x86, ARM (lengan, 7,
5n), PowerPC, Motorola 6800, dan SuperH (SH4).
 Command and Control (CNC)
Ini adalah perintah dan kontrol (CNC) logika bahwa server (s) berlaku untuk botnet. Itu semua
kode sumber Go yang mendefinisikan berbagai API dan fungsi perintah untuk mengeksekusi per
perangkat “bot”.
 Admin
Ada login administratif dan fungsi didukung melalui admin.go ini adalah antarmuka
admin utama untuk masalah kontrol untuk mengeksekusi terhadap botnet (misalnya
membuat user admin, memulai serangan, dll). Permata favorit saya dalam sini adalah
pada membangun koneksi masuk ke server CNC pengguna diperlakukan dengan
STDOUT besar menyambut prompt “Saya suka chicken nugget”, atau setidaknya itulah
yang Google Translate disediakan dari prompt.txt yang dari sini pengguna harus
memberikan mandat yang tepat (username & password), yang divalidasi terhadap
MySQL DBMS melalui database.go
Setelah berhasil dikonfirmasi server memberikan kiasan bahwa ia
menyembunyikan koneksi dibajak dari netstat dan menghapus jejak akses pada mesin
(misalnya variabel lingkungan ditetapkan sebelumnya). Mencetak ke stdout bahwa itu
melaksanakan jejak penghapusan tersebut, namun pada kenyataannya tidak apa-apa.
Berikutnya panel admin akan memberikan hitungan update dari jumlah total bot
terhubung dan menunggu masukan perintah seperti jenis serangan, panjang durasi dan
jumlah bot. Ini adalah antarmuka utama untuk mengeluarkan perintah serangan untuk
botnet.
 Daftar klien
The clientList.go berisi semua data yang terkait untuk mengeksekusi serangan termasuk
peta / hashtable dari semua bot yang dialokasikan untuk serangan diberikan ini. Kode
ini bertanggung jawab untuk menjaga beberapa antrian tergantung pada negara bot
eksekusi (misalnya siap menyerang, menyerang, menghapus / serangan saat selesai.
 Attack
attack.go bertanggung jawab untuk menangani permintaan serangan diprakarsai oleh
server CNC. Ini mem-parsing perintah shell yang disediakan melalui Admin interface,
format & membangun perintah (s), mem-parsing target (s), yang dapat dipisahkan koma
daftar target, dan mengirimkan perintah ke bot yang tepat melalui api.go Hal yang
menarik adalah bahwa durasi ambang batas diperbolehkan bahwa per serangan per bot
dapat dijalankan pada (minimal 1 detik untuk maksimal 60 menit).
 API
Api.go bertanggung jawab untuk mengirimkan perintah (s) ke bot individu dari server
CNC. Itu menegakkan beberapa aturan / batas pemeriksaan. Sebagai contoh, pengguna
CNC dialokasikan jumlah N bot maksimum mereka dapat digunakan dalam serangan
tertentu. Kecuali Anda seorang administrator Anda pasti batas pada jumlah bot Anda
dialokasikan.Selain itu akan memeriksa apakah atau tidak target yang diberikan telah
masuk daftar putih dalam database. Terakhir, logika akan memverifikasi negara bot.
Jika bot sudah digunakan akan dihapus / diabaikan dari permintaan serangan.
 Main
main.go adalah titik masuk ke dalam biner CNC server. Hal mendengarkan koneksi
masuk TCP pada port 23 (telnet) dan 101 (tanggapan api bot). Jika sambungan diterima
pada port API itu ditangani sesuai dalam api.go. Sementara jika koneksi telnet didirikan
sumber / alamat IP yang masuk mengakuisisi ditambahkan sebagai mesin baru
dikompromikan dengan botnet (clientList).
 Bot
Dalam direktori bot berbagai metode serangan server CNC mengirim ke botnet untuk
mengeksekusi DDoS terhadap target.
 Attack UDP
Bot mendukung bentuk yang berbeda dari serangan atas User Datagram Protocol
(UDP). Kode sumber attack_udp.c mengimplementasikan serangan berikut yang akan
dilakukan oleh IOT (bot) perangkat tak terduga:
Generic Routing Encapsulation (GRE) Serangan
TSource Query - reflektif Denial of Service (bandwidth amplifikasi)
DNS Banjir melalui Query tipe A record (peta hostname ke alamat IP)
Banjir byte acak melalui paket polos
 Serangan TCP
Seperti UDP ada beberapa jenis serangan didukung melalui Transmission Control
Protocol (TCP) dalam attack_tcp.c
SYN Banjir
ACK Banjir
PSH Banjir
 Serangan HTTP
Selain banjir paket cacat dan / atau UDP atau TCP, Mirai bot juga mendukung DoS
melalui HTTP dalam attack_app.c yang setelah sambungan berhasil dibuat (tetap-hidup
didukung) bot akan mengirim HTTP GET atau POST terdiri dari berbagai cookie dan
data payload acak ketika berlaku (misalnya POST). Banyak pengguna-agen yang sah
dimanfaatkan untuk menyamar permintaan sebagai klien yang valid. Selama koneksi
diadakan (menerima respon valid) endpoint target terus dibanjiri permintaan HTTP
berasal dari bot.
 Scanner
Selain serangan bot juga akan melakukan scanning kekerasan alamat IP melalui
scanner.c mencari perangkat lain untuk memperoleh dalam botnet. bot mencari alamat
IP yang tersedia (brute force melalui pilih set IP berkisar) dan menerapkan port scan
(SYN scan) terhadap hal itu.
Jika bot ini berhasil terhubung ke IP dan port yang terbuka maka akan berusaha untuk
otentikasi dengan menjalankan melalui kamus kredensial dikenal (brute kekuatan
AuthN) atau memeriksa apakah itu dapat terhubung langsung melalui telnet. Jika
otentikasi atau telnet sesi negosiasi berhasil bot kemudian akan mencoba untuk
mengaktifkan sistem shell / sh dan drop ke shell (jika diperlukan dan belum di shell).
Setelah akses shell didirikan bot akan memverifikasi masuk ke perangkat baru saja
diakuisisi. Jika diverifikasi dan bekerja sesi telnet informasi tersebut dilaporkan
 kembali (alamat IP korban, pelabuhan, dan kredensial otentikasi) dengan perintah dan
server kontrol. default domain CNC server untuk cnc.chageme.com CNC server
memiliki corpus mesin yang tersedia yang sekarang dapat berhasil mengendalikan
seperti melihat cocok dengan mendorong ke bawah biner bot dan menjalankan perintah
serangan yang tepat.
 Killer
killer.c yang menyediakan fungsionalitas untuk membunuh berbagai proses yang
berjalan pada bot (misalnya telnet, ssh, dll).
 Main
main.c adalah titik masuk ke dalam executable bot ini. Hal ini bertanggung jawab untuk
membangun koneksi kembali ke server CNC, memulai serangan, menewaskan procs,
dan memindai perangkat tambahan dengan harapan menyita mereka dalam botnet.k
yang