据网络安全公司flashpoint对美国断网事件的调查发现,黑客操控感染了恶意软件Mirai的物联网设备发起了DDOS攻击,影响波及Twitter、Reddit等知名网站,强大的攻击流量甚至使域名服务商DYN多地网络服务直接中断。恶意软件Mirai就是此次攻击的罪魁祸首。
让我们随着FreeBuf来简单了解一下Mirai吧!
1 Mirai以物联网设备(IoT)为感染目标形成僵尸网络
Mirai通过感染那些存在漏洞或内置有默认密码的IoT设备,像“寄生虫”一样存在设备中,操控它们,针对目标网络系统发起定向攻击。网络监控摄像头、DVRs、路由器等其它家用网络设备都可能成为Mirai僵尸网络的“猎物”,据ISP服务商Level3调查,全球受Mirai感染的IoT设备达50万,其中:美国29%,巴西23%,哥伦比亚8%
2 Mirai使Amazon、Spotify、Twitter等知名公司网站遭到DDoS攻击
10月21日的DDoS攻击从上午开始,致使大面积网络中断,其中包括域名提供商DYN,而DYN为Amazon、Spotify、Twitter等知名网站提供域名服务,攻击导致众多网站与在线服务无法访问。而另据报道可能还有其它恶意软件僵尸网络参与攻击。在CNBC的采访中,DYN声称黑客使用了数千万个IP地址,是一场精心策划的攻击。
此次受影响的在线服务网站涉及:
ActBlue
Amazon
AthenaNet
Basecamp
BlueHost
Box
Braintree
CNN
Credit Karma
DYN
Eventbrite
Etsy
Fox News
Freshbooks
Github
HBO Now
Heroku
Imgur
Indeed
Intercom
Kayak
Netflix
New York Times
NHL
Okta
Pagerduty
Paypal
People
Playstation Network
Qualtrics
Recode
Shopify
Soundcloud
SpeedTest
Spotify
Storify
The Verge
Weebly
Wikia
Wired
WSJ
Yelp
Zendesk
Zillow
3 Mirai 恶意软件作者与日本动漫角色AnnaNishikinomiya昵称同名,而Mirai的日语意思为“未来”
AnnaNishikinomiya,安娜·锦之宫,昵称Anna-Senpai,为日本动漫作品《没有黄段子存在的无聊世界》中的女角色,担任时冈学园学生会会长一职,“姿容端丽、头脑明晰、品行端正三要素齐全的淑女”,该动漫背景为一个充满道德警察的可怕未来。Mirai源代码作者在黑客社区发布信息的昵称也为Anna-Senpai:
Mirai与另一恶意软件Bashlight是互为竞争的两种物联网僵尸网络家族, 都利用了相同的物联网设备漏洞,主要涉及设备运行的嵌入式Linux系统使用的busybox漏洞。不同之处是,Mirai加密了感染设备和指令控制服务器之间的流量,它还能接管被Bashlight感染的设备,为设备打上补丁防止它们再次被竞争对手感染。据安全公司分析,目前,Bashlight僵尸网络中的8万台设备已被Mirai控制。
4 Mirai可以删除,但也能“重生”
Mirai可以从被感染的IoT设备系统上清除,但其僵尸网络强大的传播范围,设备可能在下一分钟就能重新感染。安全专家警告,对于存在漏洞的物联网设备,简单的清除和重启不能彻底排除Mirai。对近年不断升温的物联网和智能家居市场来说,Mirai简直就是一个麻烦。Level 3公司建议对IoT设备进行固件升级并设置强壮口令。
5 Mirai作者在黑客论坛Hackforums公布了Mirai源代码
Mirai作者首先在论坛Hackforums公布了源代码,并在其GITHUB中声称“初入DDoS行业时,我就不打算长期干这行。我只管赚钱。而现在,很多人都把关注目光放在IOT物联网上,我想是时候把Mirai公布出来了。”
Flashpoint指出,Mirai公布之后,其他恶意黑客们会开始借此组建自己的僵尸网络,从而发动更多DDoS攻击。而也有研究人员表示,对于研究和分析来说,Mirai是个很好的范例,安全专家可以从中发现僵尸网络如何操控大量僵尸设备发动攻击,进一步帮助和防范今后可能更强大的僵尸网络攻击。