什么是 Mirai？

Mirai 是惡意軟件，能夠感染在 ARC 處理器上運行的智能設備，將其轉變?yōu)檫h程控制的機器人或“僵尸”并組成網(wǎng)絡。這種機器人網(wǎng)絡稱為僵尸網(wǎng)絡，通常用于發(fā)動 DDoS 攻擊。

惡意軟件是一個統(tǒng)稱，包括計算機蠕蟲、病毒、特洛伊木馬、Rootkit 和間諜軟件。

2016 年 9 月，Mirai 惡意軟件的作者在一個著名安全專家的網(wǎng)站上發(fā)起了 DDoS 攻擊。一周后，他們向公眾發(fā)布了源代碼，目的可能是為了隱藏這次攻擊的源頭。此代碼很快被其他網(wǎng)絡罪犯復制，并且被認為是造成 2016 年 10 月域名注冊服務提供商 Dyn 癱瘓的大規(guī)模攻擊的幕后黑手。

Mirai 如何工作？

Mirai 掃描互聯(lián)網(wǎng)上運行于 ARC 處理器上的 IoT 設備。這種處理器運行 Linux 操作系統(tǒng)的精簡版本。如果沒有更改默認的用戶名和密碼組合，Mirai 能夠登錄并感染該設備。

IoT 是物聯(lián)網(wǎng)的簡稱，是可以連入互聯(lián)網(wǎng)的智能設備的一個花名。這些設備可以是嬰兒監(jiān)視器、汽車、網(wǎng)絡路由器、農(nóng)業(yè)設備、醫(yī)療設備、環(huán)境監(jiān)控設備、家用電器、數(shù)字錄像機、中央控制攝像頭、耳機或煙霧探測器等。

Mirai 僵尸網(wǎng)絡雇用了十萬個被劫持的 IoT 設備使 Dyn 癱瘓。

誰是 Mirai 僵尸網(wǎng)絡的創(chuàng)造者？

21 歲的 Paras Jha 和 20 歲的 Josiah White 共同創(chuàng)立了 Protraf Solutions，這是一家提供 DDoS 攻擊緩解服務的公司。他們是敲詐勒索的經(jīng)典案例：他們的業(yè)務是提供 DDoS 緩解服務，而服務對象正是他們自己的惡意軟件所攻擊的組織。

為什么 Mirai 惡意軟件仍然很危險？

Mirai 在不斷變異。

盡管原始創(chuàng)造者已被抓獲，但他們的源代碼仍然存在。目前已誕生了 Okiru、Satori、Masuta 和 PureMasuta 等變體。例如，PureMasuta 能夠將 D-Link 設備中的 HNAP 錯誤轉變?yōu)槲淦�。另一方面，OMG 種類則能使 IoT 設備變身為讓網(wǎng)絡犯罪分子保持匿名的代理。

最近還發(fā)現(xiàn)了非常厲害的僵尸網(wǎng)絡，綽號為 IoTrooper 和 Reaper，能夠以比 Mirai 快得多的速度入侵 IoT 設備。Reaper 能夠瞄準大量設備制造商，而且對其機器人擁有更大的控制力。

僵尸網(wǎng)絡有哪些不同的模型？

1、集中式僵尸網(wǎng)絡

如果將僵尸網(wǎng)絡比作戲劇作品，則 C&C（命令與控制服務器，也稱為 C2）服務器是導演。劇中的演員就是被惡意軟件感染并已加入講師網(wǎng)絡的機器人。

當惡意軟件感染設備時，機器人發(fā)出定時信號通知 C&C 它已到位。此連接會話保持打開，直到 C&C 準備好命令機器人執(zhí)行其指令，例如發(fā)送垃圾郵件以及進行密碼破解和 DDoS 攻擊等。

在集中式僵尸網(wǎng)絡中，C&C 能夠將命令直接傳達給機器人。但是，C&C 也是單一故障點：如果它被關閉，僵尸網(wǎng)絡也將失效。

2、分層 C&C

僵尸網(wǎng)絡控制可以劃分為多個層級，擁有多個 C&C。專門的服務器組指定用于特定目的，例如，將機器人組織到小組里來傳送指定的內(nèi)容，等等。這使得僵尸網(wǎng)絡更難以消滅。

3、分散式僵尸網(wǎng)絡

對等（P2P）僵尸網(wǎng)絡是新一代僵尸網(wǎng)絡。P2P 機器人不與集中式服務器通信，而是同時充當命令服務器和接收命令的客戶端。這避免了集中式僵尸網(wǎng)絡固有的單一故障點問題。由于 P2P 僵尸網(wǎng)絡無需 C&C 即可運作，因此更難消滅。例如，Trojan.Peacomm 和 Stormnet 就是 P2P 僵尸網(wǎng)絡幕后的惡意軟件。

惡意軟件如何使 IoT 設備轉變?yōu)闄C器人或僵尸？

通常，電子郵件網(wǎng)絡釣魚是一種明顯有效的感染計算機的方式，可以誘使受害者點擊指向惡意網(wǎng)站的鏈接或下載受感染的附件。很多時候，惡意代碼經(jīng)過特意編寫，讓普通防病毒軟件無法檢測到。

對于 Mirai 而言，用戶無需做任何事情，只要新安裝的設備上保留默認用戶名和密碼不更改便可。

Mirai 和點擊欺詐之間有什么聯(lián)系？

按點擊數(shù)付費（PPC），也稱為按點擊數(shù)計費（CPC），是一種在線廣告形式，公司通過這種形式向網(wǎng)站付費以托管其廣告。付款數(shù)額取決于站點訪問者點擊該廣告的數(shù)量。

以欺詐方式操縱 CPC 數(shù)據(jù)稱為點擊欺詐。這可以通過讓人們手動點擊廣告、使用自動化軟件或借助機器人來完成。這一過程可以為網(wǎng)站帶來欺詐性利潤，但要以投放這些廣告的公司的利益為代價。

Mirai 的原始作者因將其僵尸網(wǎng)絡出租給 DDoS 攻擊和點擊欺詐而被定罪。

為什么僵尸網(wǎng)絡很危險？

僵尸網(wǎng)絡幾乎能影響到人們生活的每個方面，不論使用的是 IoT 設備還是互聯(lián)網(wǎng)。僵尸網(wǎng)絡能夠：

攻擊 ISP，有時會導致合法流量遭受拒絕服務

發(fā)送垃圾電子郵件

發(fā)動 DDoS 攻擊并關閉網(wǎng)站和 API

開展點擊欺詐

攻克網(wǎng)站上薄弱的 CAPTCHA 質詢，以在登錄過程中模仿人類行為

竊取信用卡信息

利用 DDoS 攻擊威脅迫使公司支付贖金

為什么僵尸網(wǎng)絡擴散難以遏制？

阻止僵尸網(wǎng)絡擴散如此困難的原因有很多：

1、IoT 設備所有者

沒有成本或服務中斷，因此沒有動力去保護智能設備。

雖可通過重新啟動來清除受感染的系統(tǒng)，但由于掃描潛在機器人的頻率是恒定的，因此有可能在重新啟動后幾分鐘內(nèi)重新感染。這意味著，用戶必須在重新啟動后立即更改默認密碼。否則，他們必須阻止設備訪問互聯(lián)網(wǎng)，直到可以重置固件并離線更改密碼。大多數(shù)設備所有者既沒有專業(yè)知識，也沒有相應的動力。

2、ISP

受感染設備在其網(wǎng)絡上增加的流量通常與媒體流產(chǎn)生的流量無法相比，因此沒有太多動機去關心這一點。

3、設備制造商

設備制造商鮮有動力投資于低成本設備的安全性。讓他們對攻擊承擔責任也許是強制改變的一種方法，但在執(zhí)行不嚴的地區(qū)可能不起作用。

忽視設備安全性將帶來巨大危險：例如，Mirai 能夠禁用防病毒軟件，使檢測成為一個難題。

4、量級

每年有超過 15 億基于 ARC 處理器的設備涌向市場，數(shù)量如此龐大的設備被收進危害極大的僵尸網(wǎng)絡，意味著這些惡意軟件變體的潛在影響力正在攀升。

5、簡單

僵尸網(wǎng)絡工具包現(xiàn)成可用，無需精通技術。只要花費 14.99-19.99 美元，就能租用僵尸網(wǎng)絡一整個月。

6、全球物聯(lián)網(wǎng)安全標準

沒有全球實體或共識來制定和執(zhí)行物聯(lián)網(wǎng)安全標準。

盡管某些設備有可用的安全補丁，但用戶可能沒有技能或動機去進行更新。許多低端設備制造商根本不提供任何維護。即使有提供維護的，通常也不長久。另外，一旦不再維護更新，設備便無法淘汰，因而無限期地處于不安全狀態(tài)。

7、全球執(zhí)法

難以追蹤和起訴僵尸網(wǎng)絡創(chuàng)建者使遏制僵尸網(wǎng)絡擴散變得棘手；對于網(wǎng)絡犯罪，沒有職能與國際刑警組織相當并具有相應調(diào)查技能的全球性警察機構。在最新技術方面，全球執(zhí)法部門通常無法跟上網(wǎng)絡犯罪分子的腳步。

現(xiàn)在，許多僵尸網(wǎng)絡都采用一種稱為 Fast Flux 的 DNS 技術，以隱藏用于下載惡意軟件或托管網(wǎng)絡釣魚站點的域。這使得它們極難追蹤和消滅。

僵尸網(wǎng)絡感染是否會降低 IoT 設備的性能？

可能會。偶爾，受感染的設備可能會運行緩慢，但它們大多數(shù)都可以正常工作。設備所有者沒有很大的動力去想辦法清除感染。

物聯(lián)網(wǎng)安全解決方案詳詢電話400-638-8808 官網(wǎng)：m.51huadong.com

本文鏈接：http://m.51huadong.com/cloundnews/11007303.html