Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
MALWARE MIRAI
DOCENTE:
ING. MARLON ALTAMIRANO
INTEGRANTES:
Chavez Daniel
Escobar Zelaya Johanna Elizabeth
Litardo Garaicoa Marcos
Narvaez Galo
CURSO:
N8J
FECHA DE ENTREGA:
Guayaquil, Junio 12 del 2017
Contenido
Introduccin ........................................................................................................................ 2
Funcionamiento ................................................................................................................... 4
Caractersticas ......................................................................................................... 7
Objetivos ................................................................................................................. 8
Implementacin ................................................................................................................... 9
Recomendaciones:............................................................................................................. 26
Conclusiones ..................................................................................................................... 27
Referencias ........................................................................................................................ 28
1
Introduccin
Existe una gran cantidad de malware y nuevos programas maliciosos que son creados a
diario; incluso teniendo un antivirus actualizado algunos especialistas consideran que el software
En este trabajo nos vamos a referir al malware Mirai, el cual pertenece a los del grupo
Botnet software. Este tipo acta de la siguiente manera: Cuando un computador cae bajo el control
de los hackers a travs de malware que contiene una puerta trasera se dice que es un esclavo o
"zombi". Estos esclavos pueden formar parte de una red o "botnet". Utilizados en algunos de los
manual acerca de la implementacin realizada para demostrar como acta este malware.
2
Malware MIRAI
Conceptos previos
programa o cdigo informtico malicioso cuya funcin es daar un sistema o causar un mal
funcionamiento. En este grupo se pueden incluir trminos como virus, gusanos, keyloggers,
Botnet: Un malware del tipo bot es aquel que est diseado para armar botnets y
constituyen una de las principales amenazas en la actualidad. Una botnet es una red de equipos
infectados por cdigos maliciosos, que son controlados por un atacante, disponiendo de sus
IoT o Internet de las cosas: Es una red que interconecta objetos fsicos valindose del
Internet. Los objetos involucrados se valen de hardware especializado que le permite no solo la
conectividad a Internet, sino que adems programa eventos especficos en funcin de las tareas
3
Definicin
Mirai es un tipo de malware diseado para lanzar ataques DDoS. El malware explora
Internet para servidores telnet y luego intenta iniciar sesin e infectarlos usando una lista de
Funcionamiento
La botnet Mirai es una red de dispositivos del IoT que estn controlados de manera remota
por cibercriminales. Cmaras CCTV, DVR e incluso routers de una gran cantidad de pases estn
infectados por un malware que permite controlar los dispositivos de manera remota, y hacer todo
lo que el cibercriminal quiera. Los ataques de origen de esta botnet provienen principalmente de
Mirai es una pieza de malware que infecta dispositivos IoT y se utiliza como plataforma de
lanzamiento para ataques DDoS. El cdigo C & C (comando y control) de Mirai est codificado
Al igual que la mayora de los malware en esta categora, Mirai se construye para dos
propsitos fundamentales:
direcciones IP. El propsito de estas exploraciones es localizar dispositivos IoT con bajo nivel de
proteccin que se pueden acceder de forma remota a travs de credenciales de inicio de sesin
4
fciles de adivinar, usualmente nombres de usuario y contraseas predeterminados (por ejemplo,
admin / admin).
Mirai utiliza una tcnica de fuerza bruta para adivinar las contraseas a.k.a. ataque de
root xc3511
root vizxv
root admin
admin admin
root 888888
root xmhdipc
root default
root juantech
root 123456
root 54321
support support
root (none)
admin password
root root
root 12345
La funcin de ataque de Mirai le permite lanzar inundaciones HTTP y varios ataques DDoS
de la red (capas 3-4 del modelo OSI). Al atacar las inundaciones HTTP, los robots de Mirai se
5
Para ataques de capa de red, Mirai es capaz de lanzar inundaciones de GRE IP y GRE ETH,
as como inundaciones SYN y ACK, inundaciones STOMP (Simple Text Oriented Message
Mira tambin parece poseer algunas capacidades de bypass, que le permiten eludir las
soluciones de seguridad:
Una de las cosas ms interesantes reveladas por el cdigo fue una lista de IPs codificados
en los bots de Mirai que estn programados para evitar ser detectados al realizar sus escaneos de
IP.
Esta lista, detallada a continuacin incluye el Servicio Postal de los Estados Unidos, el
Departamento de Defensa, la Autoridad de Nmeros Asignados por Internet (IANA) y los rangos
127.0.0.0/8 - Loopback
0.0.0.0/8 - Invalid address space
3.0.0.0/8 - General Electric (GE)
15.0.0.0/7 - Hewlett-Packard (HP)
56.0.0.0/8 - US Postal Service
10.0.0.0/8 - Internal network
192.168.0.0/16 - Internal network
172.16.0.0/14 - Internal network
6
100.64.0.0/10 - IANA NAT reserved
169.254.0.0/16 - IANA NAT reserved
198.18.0.0/15 - IANA Special use
224.*.*.*+ - Multicast
6.0.0.0/7 - Department of Defense
11.0.0.0/8 - Department of Defense
21.0.0.0/8 - Department of Defense
22.0.0.0/8 - Department of Defense
26.0.0.0/8 - Department of Defense
Herzberg, 2016)
Caractersticas
Mirai consisten en realizar una gran cantidad de peticiones por segundo desde distintas
ubicaciones (p.3). Es difcil mitigar este tipo de ataques, porque se basan en la fuerza bruta y no
familia de las botnets, es uno de los tipos de ataque que posee como caractersticas las siguientes:
Infecta utilizando telnet y las credenciales por defecto para cada uno de los
dispositivos encontrados, los cuales formarn parte de la botnet hasta que el equipo
sea reiniciado.
7
Cuenta con diferentes mscaras de red, las cuales son utilizadas para evitar que se
Cuenta con una licencia de software libre, que le permite a cualquiera poder
del mundo.
Internet (ISP), un gran nmero de webs alojadas en Liberia y empresas con un gran
capital econmico.
Objetivos
Los objetivos que posee mirai son los que se presentan a continuacin:
encuentran en el internet de las cosas o forman el IoT, tales como cmaras web,
infectados estos equipos, se pueden utilizar para realizar ataques del tipo DDoS.
Tomar el control y permitir su uso para cualquier propsito que desee el atacante.
8
Implementacin
9
Una vez realizada la instalacin, procedemos a la configuracin de Golang-Go:
Digitamos el comando apt-get install gcc golang electric-fense sudo git y, para realizar
la instalacin y configuracin de los paquetes de go golang.
10
Luego, con el comando apt-get install mysql-server mysql-client y, procedemos a instalar
MySql, los paquetes del servidor y del cliente
11
Una vez instalado MySql, procedemos a configurarlo. Nos solicitar un contrasea para el
usuario root.
12
Una vez completada la configuracin de MySql, creamos la carpeta xcompile el comando
mkdir /etc/xcompile, ingresamos al directorio creado
13
Para descomprimir ficheros, instalamos bzip2 con el comando que se muestra en la pantalla
14
15
Descompilamos los ficheros descargados con el comando:
16
Luego revisamos el contenido del directorio
17
Error de versin
18
Del directorio /home/grupo movemos go hacia el directorio /usr/local, seguido de eso
digitamos los comandos sealados en la imagen. Verificamos la versin nuevamente.
19
Pruebas de testeo
Para realizar las pruebas de testeo, ingresamos con el usuario root, nos dirigimos al
directorio grupo y verificamos que este creada la carpeta Mirai-Source-Modded, para poder in
Seguido de esto, verificamos que se encuentre la carpeta mirai, dentro de este directorio,
ejecutamos el siguiente comando:
20
Verifico que ficheros contiene la carpeta mirai y creamos el directorio debug. Luego
ejecutamos el siguiente comando
21
Modificamos la secuencia de domain con la que nos dio el terminal
22
Creamos el fichero main.go
23
Creamos la base de taos, con las tablas del historial y usuarios
24
25
Recomendaciones:
Si bien los ataques DDoS de las botnets de Mirai pueden ser mitigados, no hay manera de
evitar ser un objetivo de ellos. Sin embargo, como propietario de un dispositivo, hay cosas que
puede hacer para que el espacio digital sea ms seguro para todos los usuarios de Internet:
26
Conclusiones
Con la gran cantidad de cmaras CCTV en todo el mundo, as como el crecimiento contino
de otros dispositivos IoT, las prcticas bsicas de seguridad como las ya recomendadas deberan
seguridad
27
Referencias
Ben Herzberg, D. B. (26 de 10 de 2016). BLOG, BOTS & DDOS, SECURITY. Obtenido de
https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html
Garcia, I. (31 de Enero de 2017). Internet de las cosas y seguridad: el malware Mirai. Obtenido
de http://www.teldat.com/blog/es/internet-of-things-28iot-29-security-ddoscyber-attacks-
by-mirai/
https://hipertextual.com/archivo/2014/10/gramofon-actualizacion/:
https://hipertextual.com/archivo/2014/10/gramofon-actualizacion/
https://www.redeszone.net/2016/10/23/ataque-ddos-dyn-solo-ha-principio-los-
fabricantes-deben-asegurar-los-dispositivos-iot/
https://www.malwaretech.com/2016/10/mapping-mirai-a-botnet-case-study.html
https://www.ovh.com/us/es/anti-ddos/principio-anti-ddos.xml
https://www.infospyware.com/articulos/que-son-los-malwares/
28