高危预警！Mirai变种僵尸网络大规模传播

2022/06/09 分类:漏洞通告 1406

一、Mirai：互联网帝国的衰落，物联网帝国的兴起

Mirai僵尸网络的出现已经有多年的历史了, 它是基于一个被浪漫地命名为Mirai（从日语翻译而来, 意为”未来”）的恶意软件。Mirai僵尸网络出现以后不断发展壮大，并随时待命。随着物联网的兴起，为Mirai的发展注入了新的活力。Mirai内置了超过60组常用密码并可以对全网进行扫描，一旦检测到开放的设备将使用内置密码尝试登录。从未考虑过安全性并且没有安装反病毒软件的物联网设备突然开始被大规模感染。被感染的设备会在物联网上跟踪同类的其他设备, 并立即进行感染。自Mirai面世后被控制的“物联鸡”数量呈指数型高速增长，这也是黑客可以发起如此规模DDoS的原因之一。

然后终于有一天，2016年10月21日，这个庞大僵尸网络的“君主”决定测试一下Mirai僵尸网络的能力, 调动数百万台数字录像机、路由器、IP摄像机和其他”智能”设备向DNS服务提供商Dyn发送海量请求。Dyn根本无法承受如此大规模的DDoS攻击。DNS以及依赖DNS的服务随即变得不可用：PayPal、Twitter、Netflix、Spotify、PlayStation在线服务以及美国其他许多服务都受到影响。据了解，在这场被称为“美国东海岸断网”事件中，仅DYN一家公司的直接损失就超过了 1.1 亿美元，事件的整体损失不可估量。Mirai一战成名！Dyn最终恢复了正常运转, 但是Mirai攻击的规模让全世界寝食难安, 迫使大家思考”智能”设备的安全性——正是它敲响了智能设备安全性的警钟，标志着互联网帝国的衰落，和物联网帝国的兴起。

二、打开潘多拉魔盒

2016年10 月，Mirai的开发者突然不卖 Mirai 还直接将其代码开源，此后搜寻物联鸡成为众多攻击者的主要任务。攻击者根据 Mirai 源代码定制自己所需的版本然后发动攻击，在全球范围疯狂感染各种摄像机等物联网设备。这些物联网设备肉鸡组成的庞大僵尸网络在全球攻城略地，对于本身带宽较小的国家来说完全无法应对攻击。例如在“美东断网事件”两周后有攻击者利用 Mirai 感染的肉鸡，向非洲网络较差的国家利比里亚发动 DDoS 攻击。这次攻击事件的攻击峰值流量大约在 500Gbps，但利比里亚全国网络出口带宽就小因此整个国家被攻击下线。

病毒开发者抓了也无法关闭这个魔盒：

现在几乎每时每刻都有基于 Mirai 病毒的变种在疯狂扫描着，如果设备没有更改密码或存在漏洞那么就会感染。例如2017年 11 月下旬有攻击者制作 Mirai 的变种攻击存在漏洞的华为路由器，大约有 9 万台华为路由器遭到病毒感染。虽然华为早已发布新版固件修复路由器中的漏洞，但正如 WannaCry 勒索事件那样很多用户并没有安装补丁。同样的现在有很多物联网设备存在漏洞，但比漏洞更可怕的是很多普通用户并不知道需要或者怎么修改密码。所以 Mirai 源代码发布后针对物联网设备的攻击就不会停歇了，即使在背后开发者被抓了以后也无法消除病毒。