Universidad De Guayaquil

Facultad De Ciencias Matemtica Y Fsicas

Carrera De Ingeniera En Networking Y Telecomunicaciones

MALWARE MIRAI
DOCENTE:
ING. MARLON ALTAMIRANO

INTEGRANTES:
Chavez Daniel
Escobar Zelaya Johanna Elizabeth
Litardo Garaicoa Marcos
Narvaez Galo

CURSO:
N8J

FECHA DE ENTREGA:
Guayaquil, Junio 12 del 2017
Contenido
Introduccin ........................................................................................................................ 2

Malware MIRAI .................................................................................................................. 3

Conceptos previos ................................................................................................... 3

Malware: ...................................................................................................... 3
Botnet: ......................................................................................................... 3
IoT o Internet de las cosas: .......................................................................... 3
DDoS: .......................................................................................................... 3
Definicin ............................................................................................................................ 4

Funcionamiento ................................................................................................................... 4

La lista de Mirai Don t Mess With ..................................................................... 6

Objetivos y Caractersticas del Malware Mirai ................................................................... 7

Caractersticas ......................................................................................................... 7
Objetivos ................................................................................................................. 8
Implementacin ................................................................................................................... 9

Pruebas de testeo ............................................................................................................... 20

Recomendaciones:............................................................................................................. 26

Conclusiones ..................................................................................................................... 27

Referencias ........................................................................................................................ 28

1
 Introduccin

Existe una gran cantidad de malware y nuevos programas maliciosos que son creados a

diario; incluso teniendo un antivirus actualizado algunos especialistas consideran que el software

antivirus detecta solamente alrededor de un tercio de los posibles virus.

En este trabajo nos vamos a referir al malware Mirai, el cual pertenece a los del grupo

Botnet software. Este tipo acta de la siguiente manera: Cuando un computador cae bajo el control

de los hackers a travs de malware que contiene una puerta trasera se dice que es un esclavo o

"zombi". Estos esclavos pueden formar parte de una red o "botnet". Utilizados en algunos de los

ataques del tipo DDoS ms grandes y bruscos de la historia.

Explicaremos como funciona, objetivos y caractersticas principales, adems se incluye un

manual acerca de la implementacin realizada para demostrar como acta este malware.

2
 Malware MIRAI

Conceptos previos

Malware: Es la abreviatura de Malicious Software, trmino que enmarca a todo tipo de

programa o cdigo informtico malicioso cuya funcin es daar un sistema o causar un mal

funcionamiento. En este grupo se pueden incluir trminos como virus, gusanos, keyloggers,

botnets, ramsomware, etc.

Botnet: Un malware del tipo bot es aquel que est diseado para armar botnets y

constituyen una de las principales amenazas en la actualidad. Una botnet es una red de equipos

infectados por cdigos maliciosos, que son controlados por un atacante, disponiendo de sus

recursos para que trabajen de forma conjunta y distribuida. (Rivero, 2016)

IoT o Internet de las cosas: Es una red que interconecta objetos fsicos valindose del

Internet. Los objetos involucrados se valen de hardware especializado que le permite no solo la

conectividad a Internet, sino que adems programa eventos especficos en funcin de las tareas

que le sean dictadas remotamente. (jjtorres, 2014)

DDoS: (Distributed Denial of Service). Un Ataque distribuido de denegacion de servicio

es inhabilitar un servidor, un servicio o una infraestructura sobrecargando el ancho de banda del

servidor o acaparando sus recursos hasta agotarlos.

Durante un ataque DDoS se envan multitud de peticiones simultneamente desde

mltiples puntos de la Red. La intensidad de estos envios desestabiliza el servicio o, an peor, lo

inhabilita. (OVH, 2017)

3
 Definicin

Mirai es un tipo de malware diseado para lanzar ataques DDoS. El malware explora

Internet para servidores telnet y luego intenta iniciar sesin e infectarlos usando una lista de

contraseas codificadas, la mayora de las cuales corresponden a sistemas y routers CCTV

conectados a Internet. (Malware Tech, 2016)

Funcionamiento

La botnet Mirai es una red de dispositivos del IoT que estn controlados de manera remota

por cibercriminales. Cmaras CCTV, DVR e incluso routers de una gran cantidad de pases estn

infectados por un malware que permite controlar los dispositivos de manera remota, y hacer todo

lo que el cibercriminal quiera. Los ataques de origen de esta botnet provienen principalmente de

Vietnam, Brasil, Estados Unidos y China. (Luz, 2016)

Mirai es una pieza de malware que infecta dispositivos IoT y se utiliza como plataforma de

lanzamiento para ataques DDoS. El cdigo C & C (comando y control) de Mirai est codificado

en Go, mientras que sus bots estn codificados en C.

Al igual que la mayora de los malware en esta categora, Mirai se construye para dos

propsitos fundamentales:

Localizar y comprometer los dispositivos de IoT para hacer crecer an ms la botnet

Iniciar ataques DDoS basados en instrucciones recibidas de un C & C remoto.

Para cumplir con su funcin de reclutamiento, Mirai realiza un amplio escaneo de

direcciones IP. El propsito de estas exploraciones es localizar dispositivos IoT con bajo nivel de

proteccin que se pueden acceder de forma remota a travs de credenciales de inicio de sesin

4
fciles de adivinar, usualmente nombres de usuario y contraseas predeterminados (por ejemplo,

admin / admin).

Mirai utiliza una tcnica de fuerza bruta para adivinar las contraseas a.k.a. ataque de

diccionario basado en la siguiente lista:

root xc3511
root vizxv
root admin
admin admin
root 888888
root xmhdipc
root default
root juantech
root 123456
root 54321
support support
root (none)
admin password
root root
root 12345

La funcin de ataque de Mirai le permite lanzar inundaciones HTTP y varios ataques DDoS

de la red (capas 3-4 del modelo OSI). Al atacar las inundaciones HTTP, los robots de Mirai se

esconden detrs de los siguientes user-agents:

Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) C

hrome/51.0.2704.103 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) C
hrome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Ch
rome/51.0.2704.103 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Ch
rome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, l
ike Gecko) Version/9.1.2 Safari/601.7.7

5
 Para ataques de capa de red, Mirai es capaz de lanzar inundaciones de GRE IP y GRE ETH,

as como inundaciones SYN y ACK, inundaciones STOMP (Simple Text Oriented Message

Protocol), inundaciones de DNS y ataques de inundacin UDP.

Mira tambin parece poseer algunas capacidades de bypass, que le permiten eludir las

soluciones de seguridad:

#define TABLE_ATK_DOSARREST 45 // "server: dosarrest"

#define TABLE_ATK_CLOUDFLARE_NGINX 46 // "server: cloudflare-nginx"

if (util_stristr(generic_memes, ret, table_retrieve_val(TABLE_ATK_CLOUDFLARE_NGINX, N

ULL)) != -1)
conn->protection_type = HTTP_PROT_CLOUDFLARE;

if (util_stristr(generic_memes, ret, table_retrieve_val(TABLE_ATK_DOSARREST, NULL)) !

= -1)
conn->protection_type = HTTP_PROT_DOSARREST;

La lista de Mirai Don t Mess With

Una de las cosas ms interesantes reveladas por el cdigo fue una lista de IPs codificados

en los bots de Mirai que estn programados para evitar ser detectados al realizar sus escaneos de

IP.

Esta lista, detallada a continuacin incluye el Servicio Postal de los Estados Unidos, el

Departamento de Defensa, la Autoridad de Nmeros Asignados por Internet (IANA) y los rangos

IP pertenecientes a Hewlett-Packard y General Electric.

127.0.0.0/8 - Loopback
0.0.0.0/8 - Invalid address space
3.0.0.0/8 - General Electric (GE)
15.0.0.0/7 - Hewlett-Packard (HP)
56.0.0.0/8 - US Postal Service
10.0.0.0/8 - Internal network
192.168.0.0/16 - Internal network
172.16.0.0/14 - Internal network

6
100.64.0.0/10 - IANA NAT reserved
169.254.0.0/16 - IANA NAT reserved
198.18.0.0/15 - IANA Special use
224.*.*.*+ - Multicast
6.0.0.0/7 - Department of Defense
11.0.0.0/8 - Department of Defense
21.0.0.0/8 - Department of Defense
22.0.0.0/8 - Department of Defense
26.0.0.0/8 - Department of Defense

El propsito de este comportamiento agresivo es:

Ayuda Mirai maximizar el potencial de ataque de los dispositivos de botnet.

Evitar los intentos de eliminacin similares de otros programas maliciosos. (Ben

Herzberg, 2016)

Objetivos y Caractersticas del Malware Mirai

Caractersticas

Ataques de denegacin de servicio distribuido (DDoS), segn (Garcia, 2017)

Mirai consisten en realizar una gran cantidad de peticiones por segundo desde distintas

ubicaciones (p.3). Es difcil mitigar este tipo de ataques, porque se basan en la fuerza bruta y no

hacen uso de vulnerabilidades concretas o de errores de software. Mirai al ser perteneciente a la

familia de las botnets, es uno de los tipos de ataque que posee como caractersticas las siguientes:

Este software malintencionado infecta mquinas de red basadas en Linux.

Realiza escaneos frecuentes en toda la red en busca de dispositivos vulnerables.

Infecta utilizando telnet y las credenciales por defecto para cada uno de los

dispositivos encontrados, los cuales formarn parte de la botnet hasta que el equipo

sea reiniciado.

7
 Cuenta con diferentes mscaras de red, las cuales son utilizadas para evitar que se

infecten equipos que formen parte de redes privadas.

Cuenta con una licencia de software libre, que le permite a cualquiera poder

utilizarlo y modificarlo, por lo que pueden generar millones de derivados alrededor

del mundo.

Toman como principales vctimas a proveedores de servicios DNS, proveedores de

Internet (ISP), un gran nmero de webs alojadas en Liberia y empresas con un gran

capital econmico.

Objetivos

Los objetivos que posee mirai son los que se presentan a continuacin:

El principal objetivo de Mirai ha sido centrarse en infectar los elementos que se

encuentran en el internet de las cosas o forman el IoT, tales como cmaras web,

impresoras o grabadores de vdeo, e incluso ha infectado routers. Una vez

infectados estos equipos, se pueden utilizar para realizar ataques del tipo DDoS.

Saturar los recursos de red de las vctimas.

Tomar el control y permitir su uso para cualquier propsito que desee el atacante.

8
 Implementacin

Mediante el comando apt-get update y se actualiza la lista de paquetes disponibles y sus

versiones

Luego con el comando apt-get upgrade y, podemos actualizar dichos paquetes

descargados.

9
 Una vez realizada la instalacin, procedemos a la configuracin de Golang-Go:

Digitamos el comando apt-get install gcc golang electric-fense sudo git y, para realizar
la instalacin y configuracin de los paquetes de go golang.

10
 Luego, con el comando apt-get install mysql-server mysql-client y, procedemos a instalar
MySql, los paquetes del servidor y del cliente

11
 Una vez instalado MySql, procedemos a configurarlo. Nos solicitar un contrasea para el
usuario root.

12
 Una vez completada la configuracin de MySql, creamos la carpeta xcompile el comando
mkdir /etc/xcompile, ingresamos al directorio creado

E instalamos los directorios

13
Para descomprimir ficheros, instalamos bzip2 con el comando que se muestra en la pantalla

14
15
Descompilamos los ficheros descargados con el comando:

16
Luego revisamos el contenido del directorio

Luego exportamos el contenido de la carpeta xcompile

17
Error de versin

18
 Del directorio /home/grupo movemos go hacia el directorio /usr/local, seguido de eso
digitamos los comandos sealados en la imagen. Verificamos la versin nuevamente.

Seguido de esto, digitamos:

19
 Pruebas de testeo
Para realizar las pruebas de testeo, ingresamos con el usuario root, nos dirigimos al
directorio grupo y verificamos que este creada la carpeta Mirai-Source-Modded, para poder in

Seguido de esto, verificamos que se encuentre la carpeta mirai, dentro de este directorio,
ejecutamos el siguiente comando:

20
 Verifico que ficheros contiene la carpeta mirai y creamos el directorio debug. Luego
ejecutamos el siguiente comando

Vamos a bot y abrimos las libreras de la tabla c

21
Modificamos la secuencia de domain con la que nos dio el terminal

Verificamos que en la tabla se actualice y se guarde los cambios

22
Creamos el fichero main.go

23
Creamos la base de taos, con las tablas del historial y usuarios

Una vez creado, salimos del editor de MySQL

24
25
 Recomendaciones:

Qu puede hacer para evitar que Botot IoT se propague?

Si bien los ataques DDoS de las botnets de Mirai pueden ser mitigados, no hay manera de

evitar ser un objetivo de ellos. Sin embargo, como propietario de un dispositivo, hay cosas que

puede hacer para que el espacio digital sea ms seguro para todos los usuarios de Internet:

Deje de usar contraseas predeterminadas / genricas.

Deshabilite todo el acceso remoto (WAN) a sus dispositivos.

26
 Conclusiones

Con la gran cantidad de cmaras CCTV en todo el mundo, as como el crecimiento contino

de otros dispositivos IoT, las prcticas bsicas de seguridad como las ya recomendadas deberan

convertirse en una norma para todo usuario de dispositivos de IoT.

Mirai no es ni el primero ni el ltimo malware que se aprovecha de dbiles prcticas de

seguridad

27
 Referencias

Ben Herzberg, D. B. (26 de 10 de 2016). BLOG, BOTS & DDOS, SECURITY. Obtenido de

https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html

Garcia, I. (31 de Enero de 2017). Internet de las cosas y seguridad: el malware Mirai. Obtenido

de http://www.teldat.com/blog/es/internet-of-things-28iot-29-security-ddoscyber-attacks-

by-mirai/

jjtorres. (20 de 10 de 2014). Hipertextual. Obtenido de

https://hipertextual.com/archivo/2014/10/gramofon-actualizacion/:

https://hipertextual.com/archivo/2014/10/gramofon-actualizacion/

Luz, S. D. (23 de 10 de 2016). Redes Zone. Obtenido de

https://www.redeszone.net/2016/10/23/ataque-ddos-dyn-solo-ha-principio-los-

fabricantes-deben-asegurar-los-dispositivos-iot/

Malware Tech. (3 de 10 de 2016). Malware Tech. Obtenido de

https://www.malwaretech.com/2016/10/mapping-mirai-a-botnet-case-study.html

OVH. (2017). OVH Actualidad, Innovacion y Tendencias IT. Obtenido de

https://www.ovh.com/us/es/anti-ddos/principio-anti-ddos.xml

Rivero, M. (01 de 10 de 2016). Info Spyware. Obtenido de

https://www.infospyware.com/articulos/que-son-los-malwares/

28