Лаборатории Касперского: Проведен анализ активности ботнета Mirai


KasperskyLabsЭкспертами Лаборатории Касперского был проведен анализ активности ботнета Mirai. Цель исследования - выяснить устройство ботнета, а также возможность разобраться, какие задачи преследуют владельцы бот-сети.

В ходе анализа исходного кода ботнета удалось установить, что Mirai состоит из ряда компонентов:

  • управляющего сервера - содержит MySQL-базу всех зараженных IoT-устойств (ботов);
  • компонент приема результата сканирования (Scan Receiver) - отвечает за сбор результатов работы ботов и перенаправление данных компоненту загрузки бота на уязвимые устройства;
  • компонента загрузки - осуществляет доставку бинарного файла бота на уязвимое устройство;
  • бота - после запуска на инфицированном устройстве осуществляет подключение к C&C-серверу, сканирует диапазон IP-адресов (SYN-сканирование) на наличие уязвимых IoT-устройств и отправляет результаты  компоненту Scan Receiver.


При попытках подключения к целевому устройству Mirai использует список логинов и паролей. В настоящее время список значительно расширился за счет добавления логинов и паролей "по умолчанию" от различных IoT-устройств. Такое решение свидетельствует о модификации данного бота.

Для оценки текущей активности ботнета исследователями был установлен сервер с открытым telnet-портом. Первая попытка подключения к telnet-порту со стороны различных хостов была зафиксирована спустя три минуты после активации сервера в Сети. При этом попытки подключения осуществляются со стороны ботов оригинального Mirai или его модификаций. Это подтверждает следующее:

  • Во-первых, учетные записи, использованные ботами при попытках подключения, входят в перечень оригинального ботнета.
  • Во-вторых, в большинстве случаев источниками подключения являлись инфицированные IoT-устройства (камеры, маршрутизаторы различных торговых марок).

По мнению экспертов, комбинации логин/пароль позволяют получить представление о том, какие устройства интересны ботнету. Например, пары "root:xc3511" "root:vizxv" - являются учетными записями по умолчанию для IP-камер крупных китайских производителей.

По состоянию на 3 декабря 2016 года отмечено снижение активности ботнета.


Напомним, за последние несколько месяцев ботнет Mirai был задействован в ряде DDoS-атак. Так, например, в октябре нынешнего года мощной DDoS-атаке подверглась инфраструктура Managed DNS крупного DNS-провайдера Dyn. В ноябре уже новый вариант Mirai отключил доступ к интернету порядка 900 тыс. клиентам немецкой телекоммуникационной компании Deutsche Telekom.

Использование Mirai привлекает пользователей, поскольку он представляет собой отличный инструмент для наживы. Из-за этого многие пользователи хакерских форумов даже готовы заплатить деньги за уроки по использованию ботнета.


Обновлено (22.12.2016 20:51)