什么是 Mirai？

Mirai 是惡意軟件，能夠感染在 ARC 處理器上運(yùn)行的智能設(shè)備，將其轉(zhuǎn)變?yōu)檫h(yuǎn)程控制的機(jī)器人或“僵尸”并組成網(wǎng)絡(luò)。這種機(jī)器人網(wǎng)絡(luò)稱為僵尸網(wǎng)絡(luò)，通常用于發(fā)動(dòng) DDoS 攻擊。

惡意軟件是一個(gè)統(tǒng)稱，包括計(jì)算機(jī)蠕蟲、病毒、特洛伊木馬、Rootkit 和間諜軟件。

2016 年 9 月，Mirai 惡意軟件的作者在一個(gè)著名安全專家的網(wǎng)站上發(fā)起了 DDoS 攻擊。一周后，他們向公眾發(fā)布了源代碼，目的可能是為了隱藏這次攻擊的源頭。此代碼很快被其他網(wǎng)絡(luò)罪犯復(fù)制，并且被認(rèn)為是造成 2016 年 10 月域名注冊服務(wù)提供商 Dyn 癱瘓的大規(guī)模攻擊的幕后黑手。

Mirai 如何工作？

Mirai 掃描互聯(lián)網(wǎng)上運(yùn)行于 ARC 處理器上的 IoT 設(shè)備。這種處理器運(yùn)行 Linux 操作系統(tǒng)的精簡版本。如果沒有更改默認(rèn)的用戶名和密碼組合，Mirai 能夠登錄并感染該設(shè)備。

IoT 是物聯(lián)網(wǎng)的簡稱，是可以連入互聯(lián)網(wǎng)的智能設(shè)備的一個(gè)花名。這些設(shè)備可以是嬰兒監(jiān)視器、汽車、網(wǎng)絡(luò)路由器、農(nóng)業(yè)設(shè)備、醫(yī)療設(shè)備、環(huán)境監(jiān)控設(shè)備、家用電器、數(shù)字錄像機(jī)、中央控制攝像頭、耳機(jī)或煙霧探測器等。

Mirai 僵尸網(wǎng)絡(luò)雇用了十萬個(gè)被劫持的 IoT 設(shè)備使 Dyn 癱瘓。

誰是 Mirai 僵尸網(wǎng)絡(luò)的創(chuàng)造者？

21 歲的 Paras Jha 和 20 歲的 Josiah White 共同創(chuàng)立了 Protraf Solutions，這是一家提供 DDoS 攻擊緩解服務(wù)的公司。他們是敲詐勒索的經(jīng)典案例：他們的業(yè)務(wù)是提供 DDoS 緩解服務(wù)，而服務(wù)對(duì)象正是他們自己的惡意軟件所攻擊的組織。

為什么 Mirai 惡意軟件仍然很危險(xiǎn)？

Mirai 在不斷變異。

盡管原始創(chuàng)造者已被抓獲，但他們的源代碼仍然存在。目前已誕生了 Okiru、Satori、Masuta 和 PureMasuta 等變體。例如，PureMasuta 能夠?qū)?D-Link 設(shè)備中的 HNAP 錯(cuò)誤轉(zhuǎn)變?yōu)槲淦�。另一方面，OMG 種類則能使 IoT 設(shè)備變身為讓網(wǎng)絡(luò)犯罪分子保持匿名的代理。

最近還發(fā)現(xiàn)了非常厲害的僵尸網(wǎng)絡(luò)，綽號(hào)為 IoTrooper 和 Reaper，能夠以比 Mirai 快得多的速度入侵 IoT 設(shè)備。Reaper 能夠瞄準(zhǔn)大量設(shè)備制造商，而且對(duì)其機(jī)器人擁有更大的控制力。

僵尸網(wǎng)絡(luò)有哪些不同的模型？

1、集中式僵尸網(wǎng)絡(luò)

如果將僵尸網(wǎng)絡(luò)比作戲劇作品，則 C&C（命令與控制服務(wù)器，也稱為 C2）服務(wù)器是導(dǎo)演。劇中的演員就是被惡意軟件感染并已加入講師網(wǎng)絡(luò)的機(jī)器人。

當(dāng)惡意軟件感染設(shè)備時(shí)，機(jī)器人發(fā)出定時(shí)信號(hào)通知 C&C 它已到位。此連接會(huì)話保持打開，直到 C&C 準(zhǔn)備好命令機(jī)器人執(zhí)行其指令，例如發(fā)送垃圾郵件以及進(jìn)行密碼破解和 DDoS 攻擊等。

在集中式僵尸網(wǎng)絡(luò)中，C&C 能夠?qū)⒚�令直接傳達(dá)給機(jī)器人。但是，C&C 也是單一故障點(diǎn)：如果它被關(guān)閉，僵尸網(wǎng)絡(luò)也將失效。

2、分層 C&C

僵尸網(wǎng)絡(luò)控制可以劃分為多個(gè)層級(jí)，擁有多個(gè) C&C。專門的服務(wù)器組指定用于特定目的，例如，將機(jī)器人組織到小組里來傳送指定的內(nèi)容，等等。這使得僵尸網(wǎng)絡(luò)更難以消滅。

3、分散式僵尸網(wǎng)絡(luò)

對(duì)等（P2P）僵尸網(wǎng)絡(luò)是新一代僵尸網(wǎng)絡(luò)。P2P 機(jī)器人不與集中式服務(wù)器通信，而是同時(shí)充當(dāng)命令服務(wù)器和接收命令的客戶端。這避免了集中式僵尸網(wǎng)絡(luò)固有的單一故障點(diǎn)問題。由于 P2P 僵尸網(wǎng)絡(luò)無需 C&C 即可運(yùn)作，因此更難消滅。例如，Trojan.Peacomm 和 Stormnet 就是 P2P 僵尸網(wǎng)絡(luò)幕后的惡意軟件。

惡意軟件如何使 IoT 設(shè)備轉(zhuǎn)變?yōu)闄C(jī)器人或僵尸？

通常，電子郵件網(wǎng)絡(luò)釣魚是一種明顯有效的感染計(jì)算機(jī)的方式，可以誘使受害者點(diǎn)擊指向惡意網(wǎng)站的鏈接或下載受感染的附件。很多時(shí)候，惡意代碼經(jīng)過特意編寫，讓普通防病毒軟件無法檢測到。

對(duì)于 Mirai 而言，用戶無需做任何事情，只要新安裝的設(shè)備上保留默認(rèn)用戶名和密碼不更改便可。

Mirai 和點(diǎn)擊欺詐之間有什么聯(lián)系？

按點(diǎn)擊數(shù)付費(fèi)（PPC），也稱為按點(diǎn)擊數(shù)計(jì)費(fèi)（CPC），是一種在線廣告形式，公司通過這種形式向網(wǎng)站付費(fèi)以托管其廣告。付款數(shù)額取決于站點(diǎn)訪問者點(diǎn)擊該廣告的數(shù)量。

以欺詐方式操縱 CPC 數(shù)據(jù)稱為點(diǎn)擊欺詐。這可以通過讓人們手動(dòng)點(diǎn)擊廣告、使用自動(dòng)化軟件或借助機(jī)器人來完成。這一過程可以為網(wǎng)站帶來欺詐性利潤，但要以投放這些廣告的公司的利益為代價(jià)。

Mirai 的原始作者因?qū)⑵浣┦�網(wǎng)絡(luò)出租給 DDoS 攻擊和點(diǎn)擊欺詐而被定罪。

為什么僵尸網(wǎng)絡(luò)很危險(xiǎn)？

僵尸網(wǎng)絡(luò)幾乎能影響到人們生活的每個(gè)方面，不論使用的是 IoT 設(shè)備還是互聯(lián)網(wǎng)。僵尸網(wǎng)絡(luò)能夠：

攻擊 ISP，有時(shí)會(huì)導(dǎo)致合法流量遭受拒絕服務(wù)

發(fā)送垃圾電子郵件

發(fā)動(dòng) DDoS 攻擊并關(guān)閉網(wǎng)站和 API

開展點(diǎn)擊欺詐

攻克網(wǎng)站上薄弱的 CAPTCHA 質(zhì)詢，以在登錄過程中模仿人類行為

竊取信用卡信息

利用 DDoS 攻擊威脅迫使公司支付贖金

為什么僵尸網(wǎng)絡(luò)擴(kuò)散難以遏制？

阻止僵尸網(wǎng)絡(luò)擴(kuò)散如此困難的原因有很多：

1、IoT 設(shè)備所有者

沒有成本或服務(wù)中斷，因此沒有動(dòng)力去保護(hù)智能設(shè)備。

雖可通過重新啟動(dòng)來清除受感染的系統(tǒng)，但由于掃描潛在機(jī)器人的頻率是恒定的，因此有可能在重新啟動(dòng)后幾分鐘內(nèi)重新感染。這意味著，用戶必須在重新啟動(dòng)后立即更改默認(rèn)密碼。否則，他們必須阻止設(shè)備訪問互聯(lián)網(wǎng)，直到可以重置固件并離線更改密碼。大多數(shù)設(shè)備所有者既沒有專業(yè)知識(shí)，也沒有相應(yīng)的動(dòng)力。

2、ISP

受感染設(shè)備在其網(wǎng)絡(luò)上增加的流量通常與媒體流產(chǎn)生的流量無法相比，因此沒有太多動(dòng)機(jī)去關(guān)心這一點(diǎn)。

3、設(shè)備制造商

設(shè)備制造商鮮有動(dòng)力投資于低成本設(shè)備的安全性。讓他們對(duì)攻擊承擔(dān)責(zé)任也許是強(qiáng)制改變的一種方法，但在執(zhí)行不嚴(yán)的地區(qū)可能不起作用。

忽視設(shè)備安全性將帶來巨大危險(xiǎn)：例如，Mirai 能夠禁用防病毒軟件，使檢測成為一個(gè)難題。

4、量級(jí)

每年有超過 15 億基于 ARC 處理器的設(shè)備涌向市場，數(shù)量如此龐大的設(shè)備被收進(jìn)危害極大的僵尸網(wǎng)絡(luò)，意味著這些惡意軟件變體的潛在影響力正在攀升。

5、簡單

僵尸網(wǎng)絡(luò)工具包現(xiàn)成可用，無需精通技術(shù)。只要花費(fèi) 14.99-19.99 美元，就能租用僵尸網(wǎng)絡(luò)一整個(gè)月。

6、全球物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)

沒有全球?qū)嶓w或共識(shí)來制定和執(zhí)行物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)。

盡管某些設(shè)備有可用的安全補(bǔ)丁，但用戶可能沒有技能或動(dòng)機(jī)去進(jìn)行更新。許多低端設(shè)備制造商根本不提供任何維護(hù)。即使有提供維護(hù)的，通常也不長久。另外，一旦不再維護(hù)更新，設(shè)備便無法淘汰，因而無限期地處于不安全狀態(tài)。

7、全球執(zhí)法

難以追蹤和起訴僵尸網(wǎng)絡(luò)創(chuàng)建者使遏制僵尸網(wǎng)絡(luò)擴(kuò)散變得棘手；對(duì)于網(wǎng)絡(luò)犯罪，沒有職能與國際刑警組織相當(dāng)并具有相應(yīng)調(diào)查技能的全球性警察機(jī)構(gòu)。在最新技術(shù)方面，全球執(zhí)法部門通常無法跟上網(wǎng)絡(luò)犯罪分子的腳步。

現(xiàn)在，許多僵尸網(wǎng)絡(luò)都采用一種稱為 Fast Flux 的 DNS 技術(shù)，以隱藏用于下載惡意軟件或托管網(wǎng)絡(luò)釣魚站點(diǎn)的域。這使得它們極難追蹤和消滅。

僵尸網(wǎng)絡(luò)感染是否會(huì)降低 IoT 設(shè)備的性能？

可能會(huì)。偶爾，受感染的設(shè)備可能會(huì)運(yùn)行緩慢，但它們大多數(shù)都可以正常工作。設(shè)備所有者沒有很大的動(dòng)力去想辦法清除感染。

物聯(lián)網(wǎng)安全解決方案詳詢電話400-638-8808 官網(wǎng)：m.51huadong.com

本文鏈接：http://m.51huadong.com/cloundnews/11007303.html