故事要從一個叫做“Mirai”(日語詞匯,本意為“未來”)的病毒說起��。
美國東部時間2016年10月21日上午7:00左右,一場始于東海岸的大規(guī)?���;ヂ?lián)網(wǎng)癱瘓事件開始發(fā)生 ��。前后三次���,每次持續(xù)一到兩個小時的大規(guī)模DDoS攻擊使大半個美國的網(wǎng)絡陷入癱瘓���,包括Twitter、Netflix�、Github、Airbnb�、Visa等各大熱門網(wǎng)站均出現(xiàn)了無法訪問的情況,美食博主無法在推上曬出當日早餐��,程序員無法在Github交流切磋�����,人們的網(wǎng)絡生活突然變得乏味……但負擔最重的還是企業(yè)���,被動承受了軟硬件維修升級的財務支出以及故障損失�����。
紅色部分表示民眾反應無法訪問網(wǎng)站的區(qū)域�����,圖源downdetector.com
很快�,事件最直接的“受害者”——美國域名解析服務商 Dyn確認了這是一次跨越多個攻擊向量及互聯(lián)網(wǎng)位置的復雜攻擊����,涉及數(shù)千萬個IP地址,并且攻擊流量的主要來源之一就是受到僵尸網(wǎng)絡感染的聯(lián)網(wǎng)設備��,比如路由器����、攝像頭,同時Dyn還確認了這組僵尸網(wǎng)絡背后的病毒身份����,就是一個月前出現(xiàn)在黑客論壇上的“Mirai”病毒。
簡化一點來理解�����,Mirai發(fā)動攻擊的流程分為兩大步:
第一步,擴大僵尸網(wǎng)絡規(guī)模�,盡可能多地發(fā)現(xiàn)、攻擊并感染網(wǎng)絡中存在漏洞的IoT設備����。
黑客首先會創(chuàng)造一批受Mirai感染的原始設備,這些設備會持續(xù)地�、隨機地在網(wǎng)絡中掃描發(fā)現(xiàn)更多存在漏洞的IoT設備。在檢測到目標以后�,機制就會使用Mirai內(nèi)置的超過60組默認賬戶密碼(像是admin/admin)進行登陸,而一旦登錄成功(因為很多IoT設備都使用默認設置�,所以這種看起來低級的方法其實效率很高),就會向C&C服務器報告以向設備下發(fā)下載Mirai病毒的指令���。設備由此被感染并進入”肉雞”狀態(tài)�,以備黑客在任何時候指揮發(fā)動攻擊����,秉持著“只要干不死,就往死里干”的精神而存在��。
第二步��,操縱”肉雞”���,向目標發(fā)起DDoS攻擊��。
DDoS攻擊�,又稱分布式拒絕服務,通常利用大量的網(wǎng)絡節(jié)點資源如IDC服務器��、個人PC�����、手機��、打印機�、路由器��、攝像頭等智能設備對目標發(fā)送合理的服務請求���,就此占用過多的服務資源�,使服務器擁塞而無法對外提供正常服務�����。擁有足夠肉雞數(shù)量的Mirai向目標發(fā)起DDoS攻擊�,道理也是如此�����。
大斷網(wǎng)事件之后���,Mirai由此名聲大噪,甚至有發(fā)言認為:“Mirai的橫空出世表明DDoS攻擊活動出現(xiàn)了新的轉(zhuǎn)折點��,IoT僵尸網(wǎng)絡開始成為此類攻擊的主力軍����。”
據(jù)測算,Mirai的威力在2016年11月達到峰值��,當時它已控制了超過60萬個物聯(lián)網(wǎng)設備����。
的確,當黑客們利用Mirai病毒在全世界收割了數(shù)量級如此龐大的設備����,他們便有了一種統(tǒng)帥千軍、發(fā)號施令的感覺�,在利益或名氣的趨勢下做了很多法律允許之外的事,比如先攻擊母校網(wǎng)站�����,再把安全服務賣給學校;比如攻擊專門報道網(wǎng)絡犯罪的博客網(wǎng)站,挫挫對方銳氣;再比如刷單薅羊毛��、網(wǎng)站刷瀏覽量����、利用僵尸網(wǎng)絡挖礦、或者向金主的競爭對手發(fā)起DDoS攻擊……像這樣的事還有很多��。
那么跳到事件結(jié)局���,我們發(fā)現(xiàn)制作Mirai病毒的3位年輕黑客早已被FBI逮捕��,付出了應有的代價�����。但說到這您也許會問,既然幕后黑手已經(jīng)落網(wǎng)����,為什么還需要給Mirai那么長的篇幅特別說明?我們難道只是在看一份卷宗嗎?
所以,接下來要說的就很關(guān)鍵����。
在“大斷網(wǎng)事件”之前一個月����,主謀之一Paras Jha就在自己名為 Anna -Senpai的論壇賬號上����,用“開源”的精神完整地發(fā)布了Mirai病毒源代碼,而他這份代碼寫得很優(yōu)秀�����,具備了所有僵尸網(wǎng)絡病毒的基本功能�����,可以說是底子很好����。因此只要后來者有意愿、有能力在原始文檔上做些改動���,就可能改造出新的病毒變種��,使其具備新的傳染性與危害性���,帶來新的網(wǎng)絡危機�。
潘多拉魔盒就在此刻打開�����。
01��、由黑客BestBuy操縱的變種Mirai
2016年11月27日����,歐洲最大的電信運營商德國電信(Telekom)旗下90萬臺路由器突然被惡意入侵,大量用戶無法正常使用服務���。
事后發(fā)現(xiàn)�,當時德國電信為用戶提供的路由器存在一個極大的漏洞���,這個漏洞使路由器的7457端口直接暴露給外部網(wǎng)絡�,黑客正是通過變種的Mirai病毒瘋狂地掃描互聯(lián)網(wǎng)中所有設備的7457端口�,進而把越來越多的路由器都納入自己僵尸網(wǎng)絡的麾下����。
02���、Satori
Satori是在2017年12月被發(fā)現(xiàn)的,名字同樣來源于日語���,意為“覺醒”����。
Satori依然是Mirai的變種�����,但與Mirai使用掃描器搜索易被攻擊的路由器不同����,Satori利用路由器兩個端口37215和52869中的漏洞來進行攻擊,因此不需要別的組件就能夠自行傳播�����,快速擴大影響��。
據(jù)研究人員表示��,該病毒當時僅用了12個小時就成功激活超過28萬個不同的IP,影響了數(shù)十萬臺路由器設備����。
03、Satori的變種——Satori Coin Robber
因為快速�����、聯(lián)合的防御行動�����,Satori的蔓延很快就被抑制住了��,但黑客并沒有善罷甘休����。
2018年1月,研究人員檢測到Satori的變種Satori Coin Robber��。該病毒嘗試在端口37215和52869上重新建立整個僵尸網(wǎng)絡�����,并且開始滲透互聯(lián)網(wǎng)上的挖礦設備����,通過攻擊其3333管理端口,把別人挖礦機的錢包地址改成自己的�,從中獲取直接利益。
04
DvrHelper
因為Mirai引發(fā)的事件影響太大�,許多機構(gòu)都在此后著重布置了DDoS防御解決方案。DvrHelper作為Mirai的變種����,配置了8個DDoS攻擊模塊來增加攻擊的力度,IP攝像頭經(jīng)常是它的目標��。
05�、Persirai
Mirai代碼開源以后形成了特別大的影響,不僅讓物聯(lián)網(wǎng)產(chǎn)業(yè)看到了風險防控的重要性����,也讓很多惡意軟件都選擇以Mirai為參考向物聯(lián)網(wǎng)設備發(fā)動進攻,Persirai就是聞訊而來的一股強大力量���。
該病毒以暴露在公網(wǎng)中的IP攝像機為感染目標�,在感染設備之后還會采用特殊的方法寄存在內(nèi)存中并刪除痕跡來躲避用戶或者安全軟件的檢測���。
此外�,病毒作者竟考慮到IP攝像頭資源有限,且針對這類的惡意軟件實在太多�,因此在感染設備后直接封堵漏洞,阻止后來者的感染攻擊�。
06、Hajime
Hajime病毒首次出現(xiàn)在安全研究人員視野中�,是在2016年10月。
它有很多與Mirai相似的地方�,比如抓”肉雞”,利用存在漏洞的IoT設備進行傳播����,且預設的用戶名和密碼組合與Mirai完全相同而只是多出兩組,但Hajime有一處關(guān)鍵的不同——它沒有攻擊性�����,不具備任何DDoS攻擊功能��。
因此Hajime更像是用一種“不管做什么���,先把位子占了”的模式對病毒提出反抗��,畢竟當設備被Hajime感染后�,就能夠阻擋外界通過23���、7547����、5555和5358這些常被Mirai利用的端口進行攻擊��。但Hajime的立場有很大爭議����,畢竟善惡只在一念間,而這些設備確確實實被其控制�����,未來的走向難以確定��。
07����、BrickerBot
物聯(lián)網(wǎng)病毒中立場存疑的還有BrickerBot。
如果說Mirai是為了把設備組成僵尸網(wǎng)絡以做黑產(chǎn)使用��,BrickerBot卻不這么想�����。
它不指望受感染設備變成”肉雞”,反而通過一系列的指令清除設備文件���,切斷網(wǎng)絡連接�����,直接讓設備“變磚”��。
后來網(wǎng)絡中有人跳出稱自己是BrickerBot作者�����,此舉本意是為提醒用戶自己的設備有安全問題���,希望盡快修補漏洞,但這種把設備直接破壞卻說“我是為你好”的方式也很難讓人領(lǐng)情����。
我們應該怎么做?
時至今日��,安全研究員們已經(jīng)捕獲了數(shù)百種Mirai的變種樣本����,針對Mirai的長期研究足夠被稱得上是行業(yè)中的“Mirai學”�。在此之外雖然還有其他的病毒網(wǎng)絡���,正對著物聯(lián)網(wǎng)體系虎視眈眈���,但這都是歷史發(fā)展的必然, Windows/Linux系統(tǒng)�、Android/IOS系統(tǒng)也是這樣走過來的����。只是到了IoT時代,步子邁得快了些�����,很多設備出現(xiàn)了漏洞�����,給了心懷不軌的人可乘之機��。尤其是使用了弱口令及默認密碼�、內(nèi)置密碼;存在邏輯漏洞、公共組件歷史漏洞的物聯(lián)網(wǎng)設備風險最大����。
對此的解決方案也有不少:
降低物聯(lián)網(wǎng)設備風險的解決方案
1
關(guān)閉暴露在公網(wǎng)中的設備端口���。
2
及時更改設備出廠默認密碼,對于一些無法更改的老舊設備暫停使用�。
3
廠商持續(xù)監(jiān)控設備出入流量及設備行為,盡早發(fā)現(xiàn)異常��。
4
廠商定期排查現(xiàn)有設備中的風險與漏洞并做出修復����。
5
設備廠商積極與監(jiān)管部門和網(wǎng)絡安全公司密切合作,做好事件發(fā)生時的應急響應��。
最后想說的是�����,物聯(lián)網(wǎng)病毒沒有那么可怕���,自互聯(lián)網(wǎng)誕生以來就必然會出現(xiàn)這種情況��。做好預防�,找好安全合作伙伴,發(fā)現(xiàn)情況正確應對�,一切就都會有答案。
