歹意软件也有破绽,Mirai C2奔溃剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

歹意软件也有破绽,Mirai C2奔溃剖析

申博_新闻事件 申博 72次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

简介

与其他代码一样,歹意软件也会存在破绽。事实上,大多数歹意软件并不会举行质量掌握,以是存在破绽的几率更大。本文引见Mirai代码中的一个小bug,该破绽存在于多个变种中。其他攻击者能够应用该破绽来损坏C2服务器。

破绽应用

当用户名是1025+ “a”字符序列时Mirai服务器会奔溃

当有用户连接到Mirai C2服务器时,会请求输入用户名和暗码来举行认证。若是用户在用户名处输入1025+字符串时,C2服务器可能会奔溃,如上图所示。

下面剖析奔溃的缘由,起首诠释一个简朴顺序,然后剖析Mirai。

编程作风很差的顺序

下图是用GO言语编写的顺序,功用是输入name并打印出来。该顺序起首将name保存为字符串,然后复制到字节缓存中,然后将缓存打印出来。虽然看似没有什么问题,然则该顺序有一个破绽。由于缓存的巨细声明为10。

【平安研讨】Domain fronting域名前置收集进击手艺

千里百科 Domain Fronting基于HTTPS通用规避技术,也被称为域前端网络攻击技术。这是一种用来隐藏Metasploit,Cobalt Strike等团队控制服务器流量,以此来一定程度绕过检查器或防火墙检测的技术,如Amazon ,Google,Akamai 等大型厂商会提供一些域前端技术服务。 下列将会使用Amazon 提供CloudFront (CDN)服务举例。 背景 在虚拟主机中搭建多个网站服务,为了方便我们区分它们,可以 IP+Port 名称 等方式去访问它们,但是如果是SSL/TLS的话。根据HTTPS的工作原理,浏览器在访问一个HTTPS站点时,先与服务器建立SSL连接。 建立连接的第一步就是请求服务器的证书。而服务器在发送证书时,是不知道浏览器访问的是哪个域名的,所以不能根据不同域名发送不同的证书。因此就引入一个扩展叫SNI,SNI是为了解决一个服务器使用多个域名和证书的SSL/TLS扩展,做法就是在 Client Hello 中补上 Host 信息。 图1 域前端的关键思想是在不同的通信层使用不同的域名,是一种隐藏连接真实端点来规避互联网审查的技术。在应用层上运作时,域前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。 此技术的原理为在不同通信层使用不同的域名。在明文的DNS请求和TLS

缓存巨细为10,可能会致使溢出

若是输入比较小的话,顺序运转是一般的,好比Ankit如许的输入。然则若是输入值大于10,如Ankitxxxxxxxxxxxxxxxxxxxx,顺序的运转就会涌现毛病。

Mirai代码剖析

下面看一下Mirai的源码:

Github上的局部Mirai代码

能够看出username传递给了Readline函数。从函数名能够看出该函数应该是个库函数,实际上这是一个定制的函数,声明其流动缓存巨细为1024。这也是为何当username的长度大于1025时该模块会奔溃的缘由。

总结

今年以来发明的大多数IoT僵尸收集都是基于Mirai的,该破绽也存在于多个变种中。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明歹意软件也有破绽,Mirai C2奔溃剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址