Mirai僵尸網(wǎng)絡成DDoS攻擊主力 360推出免費查詢服務

2016年10月21日12:21 來源：財經(jīng)新聞網(wǎng)T|T

【移動通信網(wǎng)】近期，由惡意軟件Mirai組織的僵尸網(wǎng)絡成為黑客DDoS攻擊的主力，該僵尸網(wǎng)絡遍布世界上160多個國家，通過Mirai感染網(wǎng)絡攝像頭等IOT設備后向企業(yè)發(fā)動大規(guī)模的DDoS攻擊。國外安全公司Imperva報告稱，該公司已發(fā)現(xiàn)49657個受到Mirai感染的IOT設備IP，而據(jù)360網(wǎng)絡安全研究院最新數(shù)據(jù)，全球范圍內實際受感染的設備IP數(shù)量超過60萬個，包括寧夏、甘肅、新疆、西藏等中國西部地區(qū)已成為Mirai感染的重災區(qū)。

Mirai主要利用網(wǎng)絡攝像設備的弱口令等安全漏洞實施入侵，在硬件Linux系統(tǒng)下生成隨機用戶，并植入惡意軟件構建僵尸網(wǎng)絡。據(jù)Level3、Flashpoint和F5等多家網(wǎng)絡公司調查，遭受攻擊的IOT設備主要為大華公司和雄邁科技等DVR生產(chǎn)商等制造的網(wǎng)絡攝像設備，有上百萬臺此類設備暴露在互聯(lián)網(wǎng)上，隨時可能遭到僵尸網(wǎng)絡的控制。

圖：網(wǎng)絡攝像設備是Mirai惡意軟件感染的主要載體

以往僵尸網(wǎng)絡主要是感染控制電腦和服務器，但近年來，越來越多僵尸網(wǎng)絡開始瞄上網(wǎng)絡攝像頭等IOT硬件設備，比如此前國外另一個DDoS僵尸網(wǎng)絡家族GAFGYT，感染對象和攻擊手段與Mirai相似，也會掃描23telnet端口的弱口令，并且主要針對IOT設備。這使得兩者很容易被混淆，但其實它們的代碼區(qū)別很大。

出現(xiàn)這種情況，一方面是因為信息化建設推動了各類IOT設備的普及，一旦感染大量設備可以形成強大的DDoS攻擊力量;另一方面，此類IOT設備普遍具有“無更新、無加固、無監(jiān)控”的三無特性，安全性極其薄弱，也為Mirai等惡意軟件的入侵提供了便利。

360網(wǎng)絡安全研究院官方博客提供的監(jiān)測數(shù)據(jù)顯示，Mirai僵尸網(wǎng)絡集中出現(xiàn)于今年8、9月份，并且在8月初、8月末以及9月末有三次大規(guī)模的爆發(fā)。據(jù)監(jiān)測，包括我國在內，俄羅斯、非洲、東南亞等地區(qū)成為Mirai僵尸網(wǎng)絡肆虐的重災區(qū)，而黑山、塔吉克斯坦、索馬里這樣的偏遠國家也遭受不同程度的感染。在我國，安全運維水平較差的西部地區(qū)部分城市遭到Mirai感染的IOT設備數(shù)量相對較多。

今年9月6日，360網(wǎng)絡安全研究院發(fā)現(xiàn)互聯(lián)網(wǎng)上針對2323端口的掃描數(shù)量激增，經(jīng)過持續(xù)追蹤分析，之后確認為最新DDoS家族Mirai引發(fā)的大規(guī)模攻擊。10月7日，國際組織InternetStormCenter也確認2323端口的流量劇烈變化是Mirai作祟。

圖：360網(wǎng)絡安全研究院監(jiān)測顯示我國成為Mirai感染重災區(qū)

圖：360網(wǎng)絡安全研究院監(jiān)測Mirai的活躍情況

調查顯示，由Mirai僵尸網(wǎng)絡發(fā)動的攻擊存在很多中間節(jié)點和虛假通信來源，很難準確定位真正的幕后攻擊者。有些安全研究員仍在調查Mirai僵尸網(wǎng)絡對BrianKrebs個人網(wǎng)站和法國網(wǎng)絡服務商OVH發(fā)動的DDoS攻擊事件，并希望找出兩起攻擊之間的聯(lián)系和背后攻擊力量，但從事網(wǎng)絡安全和DDoS攻擊防護的專家認為，由于兩起DDOS攻擊的波及范圍和對物聯(lián)僵尸網(wǎng)絡的使用，使此次黑客攻擊的追溯和調查毫無先例可循，只能從發(fā)掘該攻擊指令入手，防止入侵。

目前，360網(wǎng)絡安全研究院已成功在主控級別實時捕獲Mirai攻擊指令，并提供下載查詢該僵尸網(wǎng)絡IP信息的免費服務(http://data.netlab.360.com/mirai-scanner)，以此幫助安全廠商有效防御DDoS攻擊，已經(jīng)遭到Mirai感染的攝像設備用戶也可以通過查詢及時清除惡意軟件，以免成為DDoS攻擊的“幫兇”。