Mirai變種卷土重來小心自家設(shè)備成“馬仔”

周尚彩

Mirai是一種極具破壞性的僵尸網(wǎng)絡(luò)，最早可追溯到2011年，在2016年一度出現(xiàn)頂峰，現(xiàn)在似乎又死灰復(fù)燃，甚至變得比前兩次更可怕。因?yàn)閻阂夤粽咭验_始利用Mirai變種來組建一批新的僵尸大軍，再次向企業(yè)級(jí)物聯(lián)網(wǎng)設(shè)備呼嘯而來。

Mirai三年后死灰復(fù)燃

自從Mirai制造者被捕后，Mirai曾一度銷聲匿跡，不過近期又有抬頭的跡象，網(wǎng)上再次出現(xiàn)了Mirai的新變種。新發(fā)現(xiàn)的Mirai變種包含了27個(gè)漏洞利用，11種是新加入的，其中一種針對的是WePresent WiPG-1000的無線演示系統(tǒng)；另一種針對LG Supersign TV的遠(yuǎn)程執(zhí)行漏洞利用。這兩種設(shè)備屬于企業(yè)級(jí)產(chǎn)品，意味著Mirai僵尸網(wǎng)絡(luò)將擁有更大的帶寬，DDoS攻擊火力也將顯著提升。

此外，與許多物聯(lián)網(wǎng)設(shè)備一樣，未修補(bǔ)的Linux服務(wù)器暴露在互聯(lián)網(wǎng)上，并被攻擊者大規(guī)模濫用，他們向能找到的每一個(gè)易受攻擊的服務(wù)器發(fā)送Mirai漏洞攻擊。關(guān)鍵的是，Mirai新變種將目標(biāo)轉(zhuǎn)為攻擊企業(yè)物聯(lián)網(wǎng)設(shè)備，并利用所有的業(yè)務(wù)帶寬，理論上這有可能引發(fā)更大的攻擊破壞力。

Mirai堪稱DDoS發(fā)電站

Mirai僵尸網(wǎng)絡(luò)首次引發(fā)大規(guī)模關(guān)注是在2016年10月21日，由于提供域名解析服務(wù)的美國Dyn公司遭受到大規(guī)模的“拒絕訪問服務(wù)（DDoS）”攻擊，導(dǎo)致美國多座城市互聯(lián)網(wǎng)大癱瘓，涵蓋Twitter，Shopify，Reddit等在內(nèi)的大量知名網(wǎng)站數(shù)小時(shí)無法正常訪問。

Mirai是一個(gè)復(fù)雜的惡意軟件程序，它能掌控網(wǎng)絡(luò)設(shè)備的控制權(quán)，并將其轉(zhuǎn)化為不斷增長僵尸網(wǎng)絡(luò)中的一員。利用Mirai，即便是初級(jí)程序員也能夠訪問數(shù)千臺(tái)計(jì)算機(jī)，并協(xié)調(diào)發(fā)動(dòng)DDoS攻擊。事實(shí)證明，ADSL調(diào)制解調(diào)器、無線路由器和網(wǎng)絡(luò)攝像頭都是最容易受到攻擊的設(shè)備。

始作俑者都是年輕人

由于Mirai在此前多次高調(diào)的DDoS攻擊中發(fā)揮了核心作用，引發(fā)了聯(lián)邦調(diào)查局的介入。2017年12月13日，“Mirai浩劫”的3名始作俑者終于向法庭認(rèn)罪伏法，主犯為Paras Jha，年僅21歲，負(fù)責(zé)編寫Mirai源代碼及運(yùn)營僵尸網(wǎng)絡(luò)，并以此發(fā)送攻擊和在線詐騙。而另2名同謀則是Josiah White（20歲）和Dalton Norman（21歲）。

最終，法官判處Jha監(jiān)禁6個(gè)月，并處以860萬美元的罰款。雖然引發(fā)這場“浩劫”的3名始作俑者終于向法庭認(rèn)罪伏法，但Mirai僵尸網(wǎng)絡(luò)卻依舊在互聯(lián)網(wǎng)中伺機(jī)而動(dòng)。因?yàn)樵贘ha及其同謀在落網(wǎng)前，已將Mirai的源代碼在互聯(lián)網(wǎng)上傳播，埋下了不小的危機(jī)。

光貓路由也是目標(biāo)

企業(yè)不是唯一需要擔(dān)心Mirai的群體。實(shí)際上Mirai及其變種的攻擊目標(biāo)已從服務(wù)器、PC、智能手機(jī)，擴(kuò)展向光貓?jiān)O(shè)備、路由器、攝像頭、家居安防系統(tǒng)、智能電視以及智能穿戴設(shè)備，甚至是嬰兒監(jiān)視器，任何互聯(lián)網(wǎng)連接的設(shè)備都可能成為其潛在的攻擊目標(biāo)。

由于Mirai采用自動(dòng)化掃描機(jī)制，能夠不斷在互聯(lián)網(wǎng)上搜索潛在的不安全聯(lián)網(wǎng)設(shè)備，然后使用默認(rèn)登錄憑證進(jìn)行劫持嘗試，而一般用戶很難注意到被感染的狀況，這也導(dǎo)致其危害性進(jìn)一步提升。

4步防止Mirai感染

應(yīng)該說，Mirai新變種比原始版本更為靈活，可以利用更廣泛的目標(biāo)，包括企業(yè)級(jí)無線控制器、無線演示系統(tǒng)和數(shù)字標(biāo)牌等。最新統(tǒng)計(jì)數(shù)字顯示，被Mirai新變種所感染的物聯(lián)網(wǎng)設(shè)備約占21 %。既然已了解到了這些，該采取什么樣的措施來防止感染呢？

首先，清點(diǎn)所有連接到其網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備。

其次，全面更改默認(rèn)密碼。

再有，確保連接到網(wǎng)上的每個(gè)設(shè)備都在采用最新補(bǔ)丁。

最后，創(chuàng)建一個(gè)包括防火墻、VPN、防病毒和反惡意軟件的整套防御策略，甚至可聘請第三方安全專家來確保企業(yè)系統(tǒng)的穩(wěn)固安全。而沒有內(nèi)部IT部門的公司應(yīng)該召集一名安全專家來應(yīng)對Mirai的巨大威脅。

僵尸網(wǎng)絡(luò)陰影波及中國

從近年的監(jiān)測數(shù)據(jù)發(fā)現(xiàn)，Mirai及其變種所控制的僵尸軍團(tuán)大有蔓延之勢，感染設(shè)備分布遍布南美、歐洲和亞洲等地。其中，在2018年3月底安全廠商監(jiān)測到我國境內(nèi)的IP地址也有被俘獲情況，設(shè)備主要分布在福建、湖南、山東以及廣東等區(qū)域。

作為Mirai最初的發(fā)現(xiàn)者和防御者之一，360安全研究院一直在全球范圍內(nèi)監(jiān)控它的“一舉一動(dòng)”。從最新監(jiān)測的數(shù)據(jù)來看，在最近2周內(nèi)，有99萬獨(dú)立IP地址已感染了Mirai及其變種。其中，來自埃及的設(shè)備占比高達(dá)54.68 %，而來自我國的設(shè)備占比也達(dá)到了12.56 %。所以急需國內(nèi)用戶提高防護(hù)意識(shí)，至少杜絕連網(wǎng)設(shè)備依舊在使用默認(rèn)登錄憑證，因?yàn)樵诓环ê诳脱壑?，那些設(shè)備是很好的突破口，也是僵尸網(wǎng)絡(luò)急于尋找的“馬仔”。

應(yīng)該說，在物聯(lián)網(wǎng)設(shè)備、智能硬件暴增的當(dāng)下，僵尸網(wǎng)絡(luò)已成全球共同面臨的問題。誰掌握著的巨型僵尸網(wǎng)絡(luò)，誰就可以在任何時(shí)候?qū)θ魏文繕?biāo)發(fā)動(dòng)DDoS攻擊，君臨互聯(lián)網(wǎng)。而這種“滅霸”式的力量存在，對于不法黑客來說，顯然是極具誘惑力，也致使這些變種僵尸網(wǎng)絡(luò)在短時(shí)間內(nèi)不可能被徹底消滅。在筆者看來，所有人都要意識(shí)到Mirai及其惡意軟件產(chǎn)生的威脅。上次Mirai僵尸網(wǎng)絡(luò)事件已對全球數(shù)百萬人造成影響，而下一次的Mirai攻擊或可能引發(fā)更為巨大的混亂，不得不防。