你了解物聯(lián)網(wǎng)病毒是什么嗎

故事要從一個(gè)叫做“Mirai”(日語(yǔ)詞匯，本意為“未來(lái)”)的病毒說(shuō)起。

美國(guó)東部時(shí)間2016年10月21日上午7：00左右,一場(chǎng)始于東海岸的大規(guī)模互聯(lián)網(wǎng)癱瘓事件開(kāi)始發(fā)生 。前后三次，每次持續(xù)一到兩個(gè)小時(shí)的大規(guī)模DDoS攻擊使大半個(gè)美國(guó)的網(wǎng)絡(luò)陷入癱瘓，包括Twitter、Netflix、Github、Airbnb、Visa等各大熱門(mén)網(wǎng)站均出現(xiàn)了無(wú)法訪問(wèn)的情況，美食博主無(wú)法在推上曬出當(dāng)日早餐，程序員無(wú)法在Github交流切磋，人們的網(wǎng)絡(luò)生活突然變得乏味……但負(fù)擔(dān)最重的還是企業(yè)，被動(dòng)承受了軟硬件維修升級(jí)的財(cái)務(wù)支出以及故障損失。

紅色部分表示民眾反應(yīng)無(wú)法訪問(wèn)網(wǎng)站的區(qū)域，圖源downdetector.com

很快，事件最直接的“受害者”——美國(guó)域名解析服務(wù)商 Dyn確認(rèn)了這是一次跨越多個(gè)攻擊向量及互聯(lián)網(wǎng)位置的復(fù)雜攻擊，涉及數(shù)千萬(wàn)個(gè)IP地址，并且攻擊流量的主要來(lái)源之一就是受到僵尸網(wǎng)絡(luò)感染的聯(lián)網(wǎng)設(shè)備，比如路由器、攝像頭，同時(shí)Dyn還確認(rèn)了這組僵尸網(wǎng)絡(luò)背后的病毒身份，就是一個(gè)月前出現(xiàn)在黑客論壇上的“Mirai”病毒。

簡(jiǎn)化一點(diǎn)來(lái)理解，Mirai發(fā)動(dòng)攻擊的流程分為兩大步：

第一步，擴(kuò)大僵尸網(wǎng)絡(luò)規(guī)模，盡可能多地發(fā)現(xiàn)、攻擊并感染網(wǎng)絡(luò)中存在漏洞的IoT設(shè)備。

黑客首先會(huì)創(chuàng)造一批受Mirai感染的原始設(shè)備，這些設(shè)備會(huì)持續(xù)地、隨機(jī)地在網(wǎng)絡(luò)中掃描發(fā)現(xiàn)更多存在漏洞的IoT設(shè)備。在檢測(cè)到目標(biāo)以后，機(jī)制就會(huì)使用Mirai內(nèi)置的超過(guò)60組默認(rèn)賬戶(hù)密碼(像是admin/admin)進(jìn)行登陸，而一旦登錄成功(因?yàn)楹芏郔oT設(shè)備都使用默認(rèn)設(shè)置，所以這種看起來(lái)低級(jí)的方法其實(shí)效率很高)，就會(huì)向C&C服務(wù)器報(bào)告以向設(shè)備下發(fā)下載Mirai病毒的指令。設(shè)備由此被感染并進(jìn)入”肉雞”狀態(tài)，以備黑客在任何時(shí)候指揮發(fā)動(dòng)攻擊，秉持著“只要干不死，就往死里干”的精神而存在。

第二步，操縱”肉雞”，向目標(biāo)發(fā)起DDoS攻擊。

DDoS攻擊，又稱(chēng)分布式拒絕服務(wù)，通常利用大量的網(wǎng)絡(luò)節(jié)點(diǎn)資源如IDC服務(wù)器、個(gè)人PC、手機(jī)、打印機(jī)、路由器、攝像頭等智能設(shè)備對(duì)目標(biāo)發(fā)送合理的服務(wù)請(qǐng)求，就此占用過(guò)多的服務(wù)資源，使服務(wù)器擁塞而無(wú)法對(duì)外提供正常服務(wù)。擁有足夠肉雞數(shù)量的Mirai向目標(biāo)發(fā)起DDoS攻擊，道理也是如此。

大斷網(wǎng)事件之后，Mirai由此名聲大噪，甚至有發(fā)言認(rèn)為：“Mirai的橫空出世表明DDoS攻擊活動(dòng)出現(xiàn)了新的轉(zhuǎn)折點(diǎn)，IoT僵尸網(wǎng)絡(luò)開(kāi)始成為此類(lèi)攻擊的主力軍?！?/p>

據(jù)測(cè)算，Mirai的威力在2016年11月達(dá)到峰值，當(dāng)時(shí)它已控制了超過(guò)60萬(wàn)個(gè)物聯(lián)網(wǎng)設(shè)備。

的確，當(dāng)黑客們利用Mirai病毒在全世界收割了數(shù)量級(jí)如此龐大的設(shè)備，他們便有了一種統(tǒng)帥千軍、發(fā)號(hào)施令的感覺(jué)，在利益或名氣的趨勢(shì)下做了很多法律允許之外的事，比如先攻擊母校網(wǎng)站，再把安全服務(wù)賣(mài)給學(xué)校;比如攻擊專(zhuān)門(mén)報(bào)道網(wǎng)絡(luò)犯罪的博客網(wǎng)站，挫挫對(duì)方銳氣;再比如刷單薅羊毛、網(wǎng)站刷瀏覽量、利用僵尸網(wǎng)絡(luò)挖礦、或者向金主的競(jìng)爭(zhēng)對(duì)手發(fā)起DDoS攻擊……像這樣的事還有很多。

那么跳到事件結(jié)局，我們發(fā)現(xiàn)制作Mirai病毒的3位年輕黑客早已被FBI逮捕，付出了應(yīng)有的代價(jià)。但說(shuō)到這您也許會(huì)問(wèn)，既然幕后黑手已經(jīng)落網(wǎng)，為什么還需要給Mirai那么長(zhǎng)的篇幅特別說(shuō)明?我們難道只是在看一份卷宗嗎?

所以，接下來(lái)要說(shuō)的就很關(guān)鍵。

在“大斷網(wǎng)事件”之前一個(gè)月，主謀之一Paras Jha就在自己名為 Anna -Senpai的論壇賬號(hào)上，用“開(kāi)源”的精神完整地發(fā)布了Mirai病毒源代碼，而他這份代碼寫(xiě)得很優(yōu)秀，具備了所有僵尸網(wǎng)絡(luò)病毒的基本功能，可以說(shuō)是底子很好。因此只要后來(lái)者有意愿、有能力在原始文檔上做些改動(dòng)，就可能改造出新的病毒變種，使其具備新的傳染性與危害性，帶來(lái)新的網(wǎng)絡(luò)危機(jī)。

潘多拉魔盒就在此刻打開(kāi)。

01、由黑客BestBuy操縱的變種Mirai

2016年11月27日，歐洲最大的電信運(yùn)營(yíng)商德國(guó)電信(Telekom)旗下90萬(wàn)臺(tái)路由器突然被惡意入侵，大量用戶(hù)無(wú)法正常使用服務(wù)。

事后發(fā)現(xiàn)，當(dāng)時(shí)德國(guó)電信為用戶(hù)提供的路由器存在一個(gè)極大的漏洞，這個(gè)漏洞使路由器的7457端口直接暴露給外部網(wǎng)絡(luò)，黑客正是通過(guò)變種的Mirai病毒瘋狂地掃描互聯(lián)網(wǎng)中所有設(shè)備的7457端口，進(jìn)而把越來(lái)越多的路由器都納入自己僵尸網(wǎng)絡(luò)的麾下。

02、Satori

Satori是在2017年12月被發(fā)現(xiàn)的，名字同樣來(lái)源于日語(yǔ)，意為“覺(jué)醒”。

Satori依然是Mirai的變種，但與Mirai使用掃描器搜索易被攻擊的路由器不同，Satori利用路由器兩個(gè)端口37215和52869中的漏洞來(lái)進(jìn)行攻擊，因此不需要?jiǎng)e的組件就能夠自行傳播，快速擴(kuò)大影響。

據(jù)研究人員表示，該病毒當(dāng)時(shí)僅用了12個(gè)小時(shí)就成功激活超過(guò)28萬(wàn)個(gè)不同的IP，影響了數(shù)十萬(wàn)臺(tái)路由器設(shè)備。

03、Satori的變種——Satori Coin Robber

因?yàn)榭焖?、?lián)合的防御行動(dòng)，Satori的蔓延很快就被抑制住了，但黑客并沒(méi)有善罷甘休。

2018年1月，研究人員檢測(cè)到Satori的變種Satori Coin Robber。該病毒嘗試在端口37215和52869上重新建立整個(gè)僵尸網(wǎng)絡(luò)，并且開(kāi)始滲透互聯(lián)網(wǎng)上的挖礦設(shè)備，通過(guò)攻擊其3333管理端口，把別人挖礦機(jī)的錢(qián)包地址改成自己的，從中獲取直接利益。

04

DvrHelper

因?yàn)镸irai引發(fā)的事件影響太大，許多機(jī)構(gòu)都在此后著重布置了DDoS防御解決方案。DvrHelper作為Mirai的變種，配置了8個(gè)DDoS攻擊模塊來(lái)增加攻擊的力度，IP攝像頭經(jīng)常是它的目標(biāo)。

05、Persirai

Mirai代碼開(kāi)源以后形成了特別大的影響，不僅讓物聯(lián)網(wǎng)產(chǎn)業(yè)看到了風(fēng)險(xiǎn)防控的重要性，也讓很多惡意軟件都選擇以Mirai為參考向物聯(lián)網(wǎng)設(shè)備發(fā)動(dòng)進(jìn)攻，Persirai就是聞?dòng)嵍鴣?lái)的一股強(qiáng)大力量。

該病毒以暴露在公網(wǎng)中的IP攝像機(jī)為感染目標(biāo)，在感染設(shè)備之后還會(huì)采用特殊的方法寄存在內(nèi)存中并刪除痕跡來(lái)躲避用戶(hù)或者安全軟件的檢測(cè)。

此外，病毒作者竟考慮到IP攝像頭資源有限，且針對(duì)這類(lèi)的惡意軟件實(shí)在太多，因此在感染設(shè)備后直接封堵漏洞，阻止后來(lái)者的感染攻擊。

06、Hajime

Hajime病毒首次出現(xiàn)在安全研究人員視野中，是在2016年10月。

它有很多與Mirai相似的地方，比如抓”肉雞”，利用存在漏洞的IoT設(shè)備進(jìn)行傳播，且預(yù)設(shè)的用戶(hù)名和密碼組合與Mirai完全相同而只是多出兩組，但Hajime有一處關(guān)鍵的不同——它沒(méi)有攻擊性，不具備任何DDoS攻擊功能。

因此Hajime更像是用一種“不管做什么，先把位子占了”的模式對(duì)病毒提出反抗，畢竟當(dāng)設(shè)備被Hajime感染后，就能夠阻擋外界通過(guò)23、7547、5555和5358這些常被Mirai利用的端口進(jìn)行攻擊。但Hajime的立場(chǎng)有很大爭(zhēng)議，畢竟善惡只在一念間，而這些設(shè)備確確實(shí)實(shí)被其控制，未來(lái)的走向難以確定。

07、BrickerBot

物聯(lián)網(wǎng)病毒中立場(chǎng)存疑的還有BrickerBot。

如果說(shuō)Mirai是為了把設(shè)備組成僵尸網(wǎng)絡(luò)以做黑產(chǎn)使用，BrickerBot卻不這么想。

它不指望受感染設(shè)備變成”肉雞”，反而通過(guò)一系列的指令清除設(shè)備文件，切斷網(wǎng)絡(luò)連接，直接讓設(shè)備“變磚”。

后來(lái)網(wǎng)絡(luò)中有人跳出稱(chēng)自己是BrickerBot作者，此舉本意是為提醒用戶(hù)自己的設(shè)備有安全問(wèn)題，希望盡快修補(bǔ)漏洞，但這種把設(shè)備直接破壞卻說(shuō)“我是為你好”的方式也很難讓人領(lǐng)情。

我們應(yīng)該怎么做？

時(shí)至今日，安全研究員們已經(jīng)捕獲了數(shù)百種Mirai的變種樣本，針對(duì)Mirai的長(zhǎng)期研究足夠被稱(chēng)得上是行業(yè)中的“Mirai學(xué)”。在此之外雖然還有其他的病毒網(wǎng)絡(luò)，正對(duì)著物聯(lián)網(wǎng)體系虎視眈眈，但這都是歷史發(fā)展的必然， Windows/Linux系統(tǒng)、Android/IOS系統(tǒng)也是這樣走過(guò)來(lái)的。只是到了IoT時(shí)代，步子邁得快了些，很多設(shè)備出現(xiàn)了漏洞，給了心懷不軌的人可乘之機(jī)。尤其是使用了弱口令及默認(rèn)密碼、內(nèi)置密碼;存在邏輯漏洞、公共組件歷史漏洞的物聯(lián)網(wǎng)設(shè)備風(fēng)險(xiǎn)最大。

對(duì)此的解決方案也有不少：

降低物聯(lián)網(wǎng)設(shè)備風(fēng)險(xiǎn)的解決方案

1

關(guān)閉暴露在公網(wǎng)中的設(shè)備端口。

2

及時(shí)更改設(shè)備出廠默認(rèn)密碼，對(duì)于一些無(wú)法更改的老舊設(shè)備暫停使用。

3

廠商持續(xù)監(jiān)控設(shè)備出入流量及設(shè)備行為，盡早發(fā)現(xiàn)異常。

4

廠商定期排查現(xiàn)有設(shè)備中的風(fēng)險(xiǎn)與漏洞并做出修復(fù)。

5

設(shè)備廠商積極與監(jiān)管部門(mén)和網(wǎng)絡(luò)安全公司密切合作，做好事件發(fā)生時(shí)的應(yīng)急響應(yīng)。

最后想說(shuō)的是，物聯(lián)網(wǎng)病毒沒(méi)有那么可怕，自互聯(lián)網(wǎng)誕生以來(lái)就必然會(huì)出現(xiàn)這種情況。做好預(yù)防，找好安全合作伙伴，發(fā)現(xiàn)情況正確應(yīng)對(duì)，一切就都會(huì)有答案。