¿Cómo se dirige la botnet Mirai?

5

Uno de los programas maliciosos recientes que están haciendo las rondas es la botnet Mirai , que parece estar enfocada en Linux dispositivos basados en Internet de las cosas. Se ha utilizado para ataques DDos en muchos sitios web importantes , incluyendo GitHub, Twitter, Reddit, Netflix, Airbnb, y el servicio DNS de Dyn, y supuestamente es responsable de matar negocios en Liberia. Muchas personas han modificado el malware para que sea más potente, y algunos afirman ser su sucesor.

Supongo que esto se aplica a otros programas maliciosos de orientación, pero estoy interesado principalmente en la botnet Mirai.

¿Cómo el creador "controla" la red de bots para enfocarse en un objetivo específico?

    
pregunta esote 15.11.2016 - 23:53
fuente

2 respuestas

5

Mirai usa una estructura de comando y control bastante estándar, la única diferencia real es que el código para C & C se hizo público desde el principio, por lo que se puede actualizar y reutilizar fácilmente.

Este artículo de ars technica sobre Mirai describe uno de los puntos fuertes de C & C de Mirai:

  

La simplicidad de la estructura C & C de Mirai hace que escalar sea relativamente simple. "Una de las cosas que notamos durante el ataque de Dyn fue que el dominio C & C cambiaría su dirección", explicó Nixon. "De esa manera, la red C & C podría segmentar su botnet". Simplemente cambiando una entrada de DNS, el atacante podría usar el mismo dominio para crear y operar múltiples botnets simultáneamente.

     

Cuando se crea un bot Mirai, envía una solicitud al Servicio de nombres de dominio para la dirección "A" de un dominio configurado por su creador. Una vez que tiene la dirección de Internet asociada con esa dirección "A", se bloquea en esa dirección IP. "Cuando un servidor de C & C se llena, [el operador de la red de bots] solo puede cambiar la dirección IP asociada con ese nombre 'A'", explicó Nixon. Los nuevos bots se conectarán a la nueva dirección mientras que los bots más antiguos continúan comunicándose con el servidor etiquetado anteriormente.

     

Si bien este esquema puede causar problemas con la resistencia de la botnet, si se identifica un servidor C & C y se cierra su tráfico, los bots fallan, no es un gran problema para la botnet a largo plazo. La botnet se puede restablecer fácilmente desde otro servidor simplemente volviendo a descubrir dispositivos vulnerables.

    
respondido por el Rory Alsop 16.11.2016 - 00:11
fuente
0

La respuesta puede ser bastante larga. Sin embargo, creo que no debería copiar al por mayor de lo que otros habían hecho.

Si bien hay respuestas bastante buenas aquí a tus preguntas. Creo que el artículo que deberías estar viendo es este.

Incapsula Mirai Botnet Analysis El análisis en profundidad de la cápsula desglosa los componentes de Mirai hasta el nivel de origen, lo que le proporciona una comprensión más profunda.

También hay una vista más ilustrada de Mirai en pwnie express ; una serie de dos partes.

Para información:

Symantec detecta a Mirai como un troyano llamado Linux .gafgyt

    
respondido por el Lester T. 20.02.2017 - 11:55
fuente

Lea otras preguntas en las etiquetas