故事始于一种名为“Mirai”(日语词汇,原意为“未来”)的病毒。美国东部时间2016年10月21日早上7点左右,一场始于东海岸的大规模网络瘫痪事件开始发生。前后三次,每次持续一到两个小时的大规模DDoS攻击瘫痪了美国一半以上的网络,包括Twitter、Netflix、Github、Airbnb、Visa等各大热门网站。主播无法在推特上发布当天的早餐,程序员无法在Github上交流思想,人们的网络生活顿时变得乏味……但最沉重的负担仍然是企业,它被动地承担着软件的财务支出和硬件维护和升级以及故障损失。红色部分为公众反映无法访问网站的区域。图片来源downdetector.com。很快,事件最直接的“受害者”——美国域名解析服务商Dyn证实,这是一次跨越多个攻击向量和互联网位置的复杂攻击。此次攻击涉及数千万个IP地址,攻击流量的主要来源之一是路由器、摄像头等被僵尸网络感染的联网设备。同时,Dyn也确认了这群僵尸网络背后的病毒身份,就是一个月前出现在黑客论坛上的“Mirai”病毒。为了简化理解,将Mirai的攻击过程分为两步:第一步是扩大僵尸网络的规模,尽可能多地发现、攻击和感染网络中存在漏洞的物联网设备。黑客首先会创建一批被Mirai感染的原始设备,这些设备会持续随机扫描网络以寻找更多易受攻击的物联网设备。检测到目标后,该机制会使用Mirai内置的60多组默认账户密码(如admin/admin)进行登录,一旦登录成功(因为很多IoT设备都使用默认设置,这个看似低-level方法其实是非常高效的),它会向C&C服务器发出指令,将Mirai病毒下载到设备上。设备由此被感染,进入“肉鸡”状态,随时准备接受黑客的指挥和发动攻击,本着“能不干就干不干”的精神.第二步,操纵“肉鸡”对目标发起DDoS攻击。DDoS攻击又称分布式拒绝服务攻击,通常利用IDC服务器、个人PC、手机、打印机、路由器、摄像头等智能设备等大量网络节点资源向目标发送合理的服务请求,从而占用过多的服务资源。服务器拥塞,无法对外提供正常服务。Mirai也是如此,有足够多的机器人可以对目标发起DDoS攻击。网络中断事件后,Mirai名声大噪,甚至有人说:“Mirai的出现表明DDoS攻击已经到了一个新的拐点,物联网僵尸网络成为此类攻击的主力军。”据估计,Mirai的势力在2016年11月达到顶峰,当时它控制着超过60万台物联网设备。确实,当黑客利用Mirai病毒在全球范围内收割如此大量的设备时,有一种统领千军万马、发号施令的感觉,在大势所趋下做了很多法律不允许的事情。利益或名誉。比如先攻击母校网站,再向学校出售安全服务;大师的对手发起的DDoS攻击……这个例子不胜枚举。然后跳到事件的最后,我们发现制造Mirai病毒的三名年轻黑客已经被FBI逮捕并付出了应有的代价。不过说到这里,你可能会问,既然幕后黑手已经落网,为什么还要给Mirai做这么长的特别说明呢?我们只是在看档案吗?所以,接下来要说的很重要。在“大断网事件”发生前一个月,主谋之一帕拉斯·杰哈本着“开源”的精神,在其名为Anna-Senpai的论坛账号上完全公开了Mirai病毒的源代码,并编写了这段代码它非常优秀,具备僵尸网络病毒的所有基本功能,可以说是底子非常好。因此,只要后来者有意愿和能力对原有文件进行一些改动,就有可能改造出新的病毒变种,使其具有新的传染性和危害性,带来新的网络危机。潘多拉魔盒马上就要打开了。1、黑客BestBuy操纵的变种Mirai2016年11月27日,欧洲最大电信运营商Telekom的90万台路由器突然遭到恶意入侵,大量用户无法正常使用服务。事后发现,当时德国电信提供的路由器存在巨大漏洞。这个漏洞直接将路由器的7457端口暴露给了外网。黑客通过变种Mirai病毒疯狂扫描互联网上所有设备的7457端口。然后越来越多的路由器被包含在他们自己的僵尸网络中。2.SatoriSatori于2017年12月被发现,这个名字也来自日文,意为“觉醒”。Satori仍然是Mirai的一个变种,但与Mirai使用扫描器搜索易受攻击的路由器不同,Satori利用路由器37215和52869这两个端口的漏洞进行攻击,因此无需其他组件即可自行传播,迅速扩张影响。据研究人员称,该病毒仅用了12个小时就成功激活了超过28万个不同的IP,影响了数十万台路由器设备。3.Satori的变种——SatoriCoinRobber由于行动迅速,联合防御,Satori的传播很快被压制,但黑客们并没有放弃。2018年1月,研究人员发现了Satori的一个变种,SatoriCoinRobber。该病毒试图在37215和52869端口重新建立整个僵尸网络,并开始渗透到互联网上的挖矿设备。通过攻击其3333管理端口,将其他矿机的钱包地址更改为自己的,并从中获取直接利益。4.DvrHelper受Mirai事件影响太大,此后很多机构开始着重部署DDoS防御方案。作为Mirai的一个变种,DvrHelper配置了8个DDoS攻击模块来增加攻击强度,IP摄像头往往是它的目标。5、PersiraiMirai开源代码后产生了特别大的影响,不仅让物联网行业看到了风险防控的重要性,也让很多恶意软件选择以Mirai为参考发起攻击在物联网设备上。一股强大的力量袭来。该病毒感染暴露在公共网络上的网络摄像机。感染设备后,它会以特殊方式存储在内存中,并删除痕迹,避免被用户或安全软件检测到。另外,病毒作者其实是考虑到网络摄像头资源有限,这类恶意软件太多,所以在感染设备后直接堵住漏洞,防止后来者感染和攻击。6.HajimeHajime病毒于2016年10月首次出现在安全研究人员的视野中。它和Mirai有很多相似之处,比如抓“肉鸡”,利用易受攻击的IoT设备进行传播,预设的用户名和密码组合除了多了两个组外,和Mirai完全一样,但Hajime有一个关键的区别——它是非攻击性,不具备任何DDoS攻击功能。所以,Hajime更像是在用一种“不管做什么,先占位子”的模式来对抗病毒。毕竟当设备被Hajime感染后,可以阻止外界通过Mirai经常使用的23、7547、5555和5358。用于攻击的端口。但是阿一的立场很有争议。毕竟善恶只是一念之差,而这些装置也确实在他的掌控之中,未来的走向很难确定。7.BrickerBot对物联网病毒的中立性表示怀疑。如果说Mirai是用来组成僵尸网络进行黑产的,BrickerBot并不这么认为。它不希望受感染的设备成为“肉鸡”。而是通过一系列指令清除设备文件,切断网络连接,直接将设备“变砖”。后来网上冒出一个人,自称是BrickerBot的作者。此举的初衷是提醒用户自己的设备存在安全问题,希望尽快修复漏洞。但是,直接销毁设备并说出“我是为你好”是很难的。欣赏。我们应该做什么?如今,安全研究人员已经捕获了数百个Mirai变种样本,对Mirai的长期研究足以被业界称为“Miraiology”。除此之外,虽然还有其他病毒网络对物联网系统虎视眈眈,但这是历史发展的必然,Windows/Linux系统、Android/IOS系统也纷纷来袭。只是物联网时代,节奏更快,很多设备都有漏洞,这就给居心叵测的人提供了可乘之机。特别是使用弱密码、默认密码和内置密码的物联网设备;有逻辑漏洞和历史漏洞的公共组件风险最大。对此也有很多解决方案:降低物联网设备风险的解决方案关闭暴露在公共网络中的设备端口。及时更改设备出厂默认密码,对部分无法更改的旧设备暂停使用。供应商持续监控设备进出流量和设备行为,以尽早发现异常。供应商定期检查现有设备的风险和漏洞并进行维修。设备制造商积极与监管部门和网络安全公司密切合作,做好事件发生时的应急响应工作。最后要说的是,物联网病毒并没有那么可怕,从互联网诞生开始就是如此。做好预防,找好安全伙伴,正确应对,一切都会有答案。
