Mirai是一種破壞性的僵尸網(wǎng)絡(luò)，最早可追溯到2011年，在2016年一度出現(xiàn)頂峰，現(xiàn)在似乎又開始死灰復(fù)燃，變得甚至比前二次可怕。因?yàn)閻阂?span style="background-color: rgb(255, 153, 51);">分子已開始利用Mirai變種來組建一批新的僵尸大軍，再次向企業(yè)級物聯(lián)網(wǎng)設(shè)備呼嘯而來。

Mirai 3年后死灰復(fù)燃

自從Mirai制造者被捕后，Mirai曾一度銷聲匿跡，不過近期又有抬頭的新跡象，那就是網(wǎng)上再次出現(xiàn)了Mirai的新變種。新發(fā)現(xiàn)的Mirai變種包含了27個(gè)漏洞利用，11種是新加入的，其中一種針對的是WePresent WiPG-1000的無線演示系統(tǒng)。另一種針對LG Supersign TV的遠(yuǎn)程執(zhí)行漏洞利用，這兩種設(shè)備屬于企業(yè)級產(chǎn)品，意味著Mirai僵尸網(wǎng)絡(luò)將能擁有更大的帶寬，DDoS火力也將能顯著提升。

此外，與許多物聯(lián)網(wǎng)設(shè)備一樣，未修補(bǔ)的Linux服務(wù)器暴露在互聯(lián)網(wǎng)上，并被黑客大規(guī)模濫用，他們向能找到的每一個(gè)服務(wù)器發(fā)送Mirai漏洞威脅。而關(guān)鍵的是，Mirai新變種將目標(biāo)轉(zhuǎn)為企業(yè)物聯(lián)網(wǎng)設(shè)備，并利用所有的業(yè)務(wù)帶寬，理論上，這有可能引發(fā)更大的破壞力。

Mirai堪稱DDOS發(fā)電站

Mirai僵尸網(wǎng)絡(luò)引發(fā)大規(guī)模關(guān)注是在2016年10月21日，由于提供域名解析服務(wù)的美國Dyn公司遭受到大規(guī)模的“拒絕訪問服務(wù)(DDoS)”，導(dǎo)致美國多座城市互聯(lián)網(wǎng)大癱瘓，涵蓋Twitter、Shopify、Reddit等在內(nèi)的大量互聯(lián)網(wǎng)知名網(wǎng)站數(shù)小時(shí)無法正常訪問。

Mirai是一個(gè)復(fù)雜的惡意軟件程序，它能掌控網(wǎng)絡(luò)設(shè)備的控制權(quán)，并將其轉(zhuǎn)化為不斷增長僵尸網(wǎng)絡(luò)中的一員。利用Mirai，即便是初級程序員也能夠訪問數(shù)千臺計(jì)算機(jī)，并協(xié)調(diào)發(fā)動(dòng)DDoS。事實(shí)證明，ADSL調(diào)制解調(diào)器、無線路由器和網(wǎng)絡(luò)攝像頭都是最容易受到威脅的設(shè)備。

始作俑者都是年輕人

由于Mirai此前在多次高調(diào)的DDoS中發(fā)揮了核心作用，引發(fā)了聯(lián)邦調(diào)查局的介入。2017年12月13日，“Mirai浩劫”的三名始作俑者終于在向法庭認(rèn)罪伏法，主犯為Paras Jha，年僅21歲，負(fù)責(zé)編寫Mirai源代碼及運(yùn)營僵尸網(wǎng)絡(luò)，并以此發(fā)送在線詐騙。而另兩名同謀則是Josiah White(20歲)和 Dalton Norman(21歲)。

最終，法官判處Jha監(jiān)禁6個(gè)月，并處以860萬美元的罰款。雖然引發(fā)這場“浩劫”的三名始作俑者終于向法庭認(rèn)罪伏法，但Mirai僵尸網(wǎng)絡(luò)卻依舊在互聯(lián)網(wǎng)中伺機(jī)而動(dòng)。因?yàn)樵贘ha及其同謀在落網(wǎng)前，已將Mirai的源代碼在互聯(lián)網(wǎng)上傳播起來，埋下了不小的危機(jī)。

光貓路由也是目標(biāo)

當(dāng)然，企業(yè)不是僅有的需要擔(dān)心Mirai的群體。實(shí)際上Mirai及其變種的目標(biāo)已從服務(wù)器、PC、智能手機(jī)，擴(kuò)展向光貓?jiān)O(shè)備、路由器、攝像頭、家居安防系統(tǒng)、智能電視、智能穿戴設(shè)備，甚至是嬰兒監(jiān)視器，任何互聯(lián)網(wǎng)連接的設(shè)備都可能成為其潛在的目標(biāo)。

由于Mirai采用自動(dòng)化掃描機(jī)制，能夠不斷在互聯(lián)網(wǎng)上搜索潛在的不安全聯(lián)網(wǎng)設(shè)備，然后使用默認(rèn)登錄憑證進(jìn)行劫持嘗試，而一般用戶是很難注意到被感染的狀況的，這也導(dǎo)致其危害性的進(jìn)一步提升。

四步防止Mirai感染

應(yīng)該說，Mirai新變種比原始版本更為靈活，可以利用更廣泛的目標(biāo)，包括企業(yè)級無線控制器、無線演示系統(tǒng)和數(shù)字標(biāo)牌等。統(tǒng)計(jì)數(shù)字顯示，被Mirai新變種所感染的物聯(lián)網(wǎng)設(shè)備已約占21%。那么既然大家了解到了這些，該采取什么樣的措施來防止感染呢?

• 首先，清點(diǎn)所有連接到其網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備。
• 其次，全面更改默認(rèn)密碼。
• 再有，確保連接到網(wǎng)上的每個(gè)設(shè)備都在采用的當(dāng)下補(bǔ)丁。
• 創(chuàng)建一個(gè)包括防火墻、防病毒和反惡意軟件的整套防御策略，甚至可聘請第三方安全專家來確保企業(yè)系統(tǒng)的穩(wěn)固安全。而沒有內(nèi)部IT部門的公司絕對應(yīng)該召集一名安全專家來應(yīng)對Mirai的巨大威脅。

僵尸網(wǎng)絡(luò)陰影波及中國

從近年的監(jiān)測數(shù)據(jù)發(fā)現(xiàn)，Mirai及其變種所控制的僵尸軍團(tuán)大有蔓延之勢，感染設(shè)備分布遍布南美、歐洲、亞洲等地。其中，在2018年3月底安全廠商監(jiān)測到我國境內(nèi)的IP地址也有被俘獲情況，設(shè)備則主要分布在福建、湖南、山東以及廣東等區(qū)域。

作為Mirai最初的發(fā)現(xiàn)者和防御者之一，360安全研究院一直在全球范圍內(nèi)，監(jiān)控它的“一舉一動(dòng)”。從其監(jiān)測到的數(shù)據(jù)來看，在最近2周內(nèi)，有99萬獨(dú)立IP地址已感染了Mirai及其變種。其中，來自埃及的設(shè)備占比高達(dá)54.68%，而來自我國的設(shè)備占比也達(dá)到了12.56%。所以急需國內(nèi)用戶提高防護(hù)意識，至少杜絕連網(wǎng)設(shè)備依舊在使用默認(rèn)登錄憑證，因?yàn)樵诓环ê诳脱壑校切┰O(shè)備是很好的突破口，也是僵尸網(wǎng)絡(luò)急于尋找的“馬仔”。

結(jié)束語

應(yīng)該說，在物聯(lián)網(wǎng)設(shè)備、智能硬件暴增的當(dāng)下，僵尸網(wǎng)絡(luò)已成全球共同面臨的問題。誰掌握著的巨型僵尸網(wǎng)絡(luò)，誰就可以在任何時(shí)候?qū)θ魏文繕?biāo)發(fā)動(dòng)DDoS，君臨互聯(lián)網(wǎng)。而這種“滅霸”式的力量存在，對于不法黑客來說，顯然是有誘惑力的，也致使這些變種僵尸網(wǎng)絡(luò)在短時(shí)間內(nèi)是不可能被徹底消滅的。在筆者看來，所有人都要意識到Mirai及其惡意軟件產(chǎn)生的威脅。上次Mirai僵尸網(wǎng)絡(luò)事件已對全球數(shù)百萬人造成影響，而下一次的Mirai可能引發(fā)更為巨大的混亂，不得不防。