周尚彩
Mirai是一种极具破坏性的僵尸网络,最早可追溯到2011年,在2016年一度出现顶峰,现在似乎又死灰复燃,甚至变得比前两次更可怕。因为恶意攻击者已开始利用Mirai变种来组建一批新的僵尸大军,再次向企业级物联网设备呼啸而来。
Mirai三年后死灰复燃
自从Mirai制造者被捕后,Mirai曾一度销声匿迹,不过近期又有抬头的迹象,网上再次出现了Mirai的新变种。新发现的Mirai变种包含了27个漏洞利用,11种是新加入的,其中一种针对的是WePresent WiPG-1000的无线演示系统;另一种针对LG Supersign TV的远程执行漏洞利用。这两种设备属于企业级产品,意味着Mirai僵尸网络将拥有更大的带宽,DDoS攻击火力也将显著提升。
此外,与许多物联网设备一样,未修补的Linux服务器暴露在互联网上,并被攻击者大规模滥用,他们向能找到的每一个易受攻击的服务器发送Mirai漏洞攻击。关键的是,Mirai新变种将目标转为攻击企业物联网设备,并利用所有的业务带宽,理论上这有可能引发更大的攻击破坏力。
Mirai堪称DDoS发电站
Mirai僵尸网络首次引发大规模关注是在2016年10月21日,由于提供域名解析服务的美国Dyn公司遭受到大规模的“拒绝访问服务(DDoS)”攻击,导致美国多座城市互联网大瘫痪,涵盖Twitter,Shopify,Reddit等在内的大量知名网站数小时无法正常访问。
Mirai是一个复杂的恶意软件程序,它能掌控网络设备的控制权,并将其转化为不断增长僵尸网络中的一员。利用Mirai,即便是初级程序员也能够访问数千台计算机,并协调发动DDoS攻击。事实证明,ADSL调制解调器、无线路由器和网络摄像头都是最容易受到攻击的设备。
始作俑者都是年轻人
由于Mirai在此前多次高调的DDoS攻击中发挥了核心作用,引发了联邦调查局的介入。2017年12月13日,“Mirai浩劫”的3名始作俑者终于向法庭认罪伏法,主犯为Paras Jha,年仅21岁,负责编写Mirai源代码及运营僵尸网络,并以此发送攻击和在线诈骗。而另2名同谋则是Josiah White(20岁)和Dalton Norman(21岁)。
最终,法官判处Jha监禁6个月,并处以860万美元的罚款。虽然引发这场“浩劫”的3名始作俑者终于向法庭认罪伏法,但Mirai僵尸网络却依旧在互联网中伺机而动。因为在Jha及其同谋在落网前,已将Mirai的源代码在互联网上传播,埋下了不小的危机。
光猫路由也是目标
企业不是唯一需要担心Mirai的群体。实际上Mirai及其变种的攻击目标已从服务器、PC、智能手机,扩展向光猫设备、路由器、摄像头、家居安防系统、智能电视以及智能穿戴设备,甚至是婴儿监视器,任何互联网连接的设备都可能成为其潜在的攻击目标。
由于Mirai采用自动化扫描机制,能够不断在互联网上搜索潜在的不安全联网设备,然后使用默认登录凭证进行劫持尝试,而一般用户很难注意到被感染的状况,这也导致其危害性进一步提升。
4步防止Mirai感染
应该说,Mirai新变种比原始版本更为灵活,可以利用更广泛的目标,包括企业级无线控制器、无线演示系统和数字标牌等。最新统计数字显示,被Mirai新变种所感染的物联网设备约占21 %。既然已了解到了这些,该采取什么样的措施来防止感染呢?
首先,清点所有连接到其网络的物联网设备。
其次,全面更改默认密码。
再有,确保连接到网上的每个设备都在采用最新补丁。
最后,创建一个包括防火墙、VPN、防病毒和反恶意软件的整套防御策略,甚至可聘请第三方安全专家来确保企业系统的稳固安全。而没有内部IT部门的公司应该召集一名安全专家来应对Mirai的巨大威胁。
僵尸网络阴影波及中国
从近年的监测数据发现,Mirai及其变种所控制的僵尸军团大有蔓延之势,感染设备分布遍布南美、欧洲和亚洲等地。其中,在2018年3月底安全厂商监测到我国境内的IP地址也有被俘获情况,设备主要分布在福建、湖南、山东以及广东等区域。
作为Mirai最初的发现者和防御者之一,360安全研究院一直在全球范围内监控它的“一举一动”。从最新监测的数据来看,在最近2周内,有99万独立IP地址已感染了Mirai及其变种。其中,来自埃及的设备占比高达54.68 %,而来自我国的设备占比也达到了12.56 %。所以急需国内用户提高防护意识,至少杜绝连网设备依旧在使用默认登录凭证,因为在不法黑客眼中,那些设备是很好的突破口,也是僵尸网络急于寻找的“马仔”。
应该说,在物联网设备、智能硬件暴增的当下,僵尸网络已成全球共同面临的问题。谁掌握着的巨型僵尸网络,谁就可以在任何时候对任何目标发动DDoS攻击,君临互联网。而这种“灭霸”式的力量存在,对于不法黑客来说,显然是极具诱惑力,也致使这些变种僵尸网络在短时间内不可能被彻底消灭。在笔者看来,所有人都要意识到Mirai及其恶意软件产生的威脅。上次Mirai僵尸网络事件已对全球数百万人造成影响,而下一次的Mirai攻击或可能引发更为巨大的混乱,不得不防。