Mirai僵尸網(wǎng)絡(luò)成DDoS攻擊主力 360推出免費(fèi)查詢服務(wù)

2016年10月21日12:21 來源：財(cái)經(jīng)新聞網(wǎng)T|T

【移動(dòng)通信網(wǎng)】近期，由惡意軟件Mirai組織的僵尸網(wǎng)絡(luò)成為黑客DDoS攻擊的主力，該僵尸網(wǎng)絡(luò)遍布世界上160多個(gè)國家，通過Mirai感染網(wǎng)絡(luò)攝像頭等IOT設(shè)備后向企業(yè)發(fā)動(dòng)大規(guī)模的DDoS攻擊。國外安全公司Imperva報(bào)告稱，該公司已發(fā)現(xiàn)49657個(gè)受到Mirai感染的IOT設(shè)備IP，而據(jù)360網(wǎng)絡(luò)安全研究院最新數(shù)據(jù)，全球范圍內(nèi)實(shí)際受感染的設(shè)備IP數(shù)量超過60萬個(gè)，包括寧夏、甘肅、新疆、西藏等中國西部地區(qū)已成為Mirai感染的重災(zāi)區(qū)。

Mirai主要利用網(wǎng)絡(luò)攝像設(shè)備的弱口令等安全漏洞實(shí)施入侵，在硬件Linux系統(tǒng)下生成隨機(jī)用戶，并植入惡意軟件構(gòu)建僵尸網(wǎng)絡(luò)。據(jù)Level3、Flashpoint和F5等多家網(wǎng)絡(luò)公司調(diào)查，遭受攻擊的IOT設(shè)備主要為大華公司和雄邁科技等DVR生產(chǎn)商等制造的網(wǎng)絡(luò)攝像設(shè)備，有上百萬臺此類設(shè)備暴露在互聯(lián)網(wǎng)上，隨時(shí)可能遭到僵尸網(wǎng)絡(luò)的控制。

圖：網(wǎng)絡(luò)攝像設(shè)備是Mirai惡意軟件感染的主要載體

以往僵尸網(wǎng)絡(luò)主要是感染控制電腦和服務(wù)器，但近年來，越來越多僵尸網(wǎng)絡(luò)開始瞄上網(wǎng)絡(luò)攝像頭等IOT硬件設(shè)備，比如此前國外另一個(gè)DDoS僵尸網(wǎng)絡(luò)家族GAFGYT，感染對象和攻擊手段與Mirai相似，也會(huì)掃描23telnet端口的弱口令，并且主要針對IOT設(shè)備。這使得兩者很容易被混淆，但其實(shí)它們的代碼區(qū)別很大。

出現(xiàn)這種情況，一方面是因?yàn)樾畔⒒�建設(shè)推動(dòng)了各類IOT設(shè)備的普及，一旦感染大量設(shè)備可以形成強(qiáng)大的DDoS攻擊力量;另一方面，此類IOT設(shè)備普遍具有“無更新、無加固、無監(jiān)控”的三無特性，安全性極其薄弱，也為Mirai等惡意軟件的入侵提供了便利。

360網(wǎng)絡(luò)安全研究院官方博客提供的監(jiān)測數(shù)據(jù)顯示，Mirai僵尸網(wǎng)絡(luò)集中出現(xiàn)于今年8、9月份，并且在8月初、8月末以及9月末有三次大規(guī)模的爆發(fā)。據(jù)監(jiān)測，包括我國在內(nèi)，俄羅斯、非洲、東南亞等地區(qū)成為Mirai僵尸網(wǎng)絡(luò)肆虐的重災(zāi)區(qū)，而黑山、塔吉克斯坦、索馬里這樣的偏遠(yuǎn)國家也遭受不同程度的感染。在我國，安全運(yùn)維水平較差的西部地區(qū)部分城市遭到Mirai感染的IOT設(shè)備數(shù)量相對較多。

今年9月6日，360網(wǎng)絡(luò)安全研究院發(fā)現(xiàn)互聯(lián)網(wǎng)上針對2323端口的掃描數(shù)量激增，經(jīng)過持續(xù)追蹤分析，之后確認(rèn)為最新DDoS家族Mirai引發(fā)的大規(guī)模攻擊。10月7日，國際組織InternetStormCenter也確認(rèn)2323端口的流量劇烈變化是Mirai作祟。

圖：360網(wǎng)絡(luò)安全研究院監(jiān)測顯示我國成為Mirai感染重災(zāi)區(qū)

圖：360網(wǎng)絡(luò)安全研究院監(jiān)測Mirai的活躍情況

調(diào)查顯示，由Mirai僵尸網(wǎng)絡(luò)發(fā)動(dòng)的攻擊存在很多中間節(jié)點(diǎn)和虛假通信來源，很難準(zhǔn)確定位真正的幕后攻擊者。有些安全研究員仍在調(diào)查Mirai僵尸網(wǎng)絡(luò)對BrianKrebs個(gè)人網(wǎng)站和法國網(wǎng)絡(luò)服務(wù)商OVH發(fā)動(dòng)的DDoS攻擊事件，并希望找出兩起攻擊之間的聯(lián)系和背后攻擊力量，但從事網(wǎng)絡(luò)安全和DDoS攻擊防護(hù)的專家認(rèn)為，由于兩起DDOS攻擊的波及范圍和對物聯(lián)僵尸網(wǎng)絡(luò)的使用，使此次黑客攻擊的追溯和調(diào)查毫無先例可循，只能從發(fā)掘該攻擊指令入手，防止入侵。

目前，360網(wǎng)絡(luò)安全研究院已成功在主控級別實(shí)時(shí)捕獲Mirai攻擊指令，并提供下載查詢該僵尸網(wǎng)絡(luò)IP信息的免費(fèi)服務(wù)(http://data.netlab.360.com/mirai-scanner)，以此幫助安全廠商有效防御DDoS攻擊，已經(jīng)遭到Mirai感染的攝像設(shè)備用戶也可以通過查詢及時(shí)清除惡意軟件，以免成為DDoS攻擊的“幫兇”。