http81僵尸网络预警：专门攻击摄像头，国内5万台设备已沦陷

勒索软件不必多说，由于长期占据头条位置，许多安全公司把2016年直接命名为“勒索软件之年”。如果你还不清楚，赶紧在嘶吼网站学习下。

与强行要钱的勒索软件相比，Mirai蠕虫则显得有些和风细雨，日常只是不停地寻找WiFi摄像头，感染、感染、再感染。但它一旦爆发，后果极为惊人，像针对KrebsOnSecurity、OVH打出了创纪录DDoS流量，Dyn被D导致数百个知名网站无法访问，造成了美国过半地区类似“断网”的效果。

Mirai开启了一扇地狱之门，让大家去认清IoT设备的薄弱安全现状。它不是孤例，现在，新的恶鬼来了。

Mirai的新同伴

自2016年9月曝光以来，Mirai蠕虫首度迎来新同伴。

根据360网络安全研究院监测，从今年4月16日开始，有一个新的IoT僵尸网络在HTTP 81端口进行大范围传播。

这个僵尸网络利用一组公开不久的OEM摄像头安全漏洞进行传播，由于是OEM贴牌设备，许多品牌摄像头也受影响，漏洞作者评估有超过1250个不同厂商、型号的摄像头受影响，通过Shodan估算目前互联网上有超过15万设备易被攻击。

http81僵尸网络的扩张极为迅猛。经过前期初步试探，在4月16日-24日9天时间内，它开始全网疯狂扫描寻找问题摄像头，每日扫描至少150万次，最多的一天用57400个IP扫描了将近270万次。

其主要分布在国内，目前已经感染了超过5万台摄像头，量级正在接近Mirai。

360网络安全研究员李丰沛透露，在积累上量过程，http81僵尸网络还尝试向一个境外IP发起过DDoS攻击，IP对应的网站是某个俄罗斯银行。

4月24日，360发布博客披露了这一僵尸网络，随后不久攻击者把它的主控域名解析到一个内网地址，暂时进行了下线。

从弱口令到远程控制漏洞

尽管http81僵尸网络暂时性下线了，但其所表现的特征需要特别警惕。

李丰沛说，http81僵尸网络利用一组OEM摄像头高危安全漏洞进行传播，而这组漏洞从公开到被利用，时间不足一月。

这意味着什么呢？我们来看看过去的IoT僵尸网络。

在Mirai之前，曾经有过一些小型的IoT僵尸网络，比如Wifatch、Lizard Squad蠕虫、智魁等，它们基本上都是利用路由器、摄像头的硬编码后台弱口令来进行攻击的。即使Mirai，早期版本也主要依靠弱口令，它内置了六十多组常见弱口令。

Mirai开源后，出现过一些使用路由器TR-069/TR-064漏洞进行攻击的变种。TR-069/TR-064漏洞在2016年11月7日披露，大约20天后，有人利用漏洞制作新的Mirai变种，感染了德国电信90万台路由器，导致德国电信大范围网络故障，几近断网。5个月后，又有人利用漏洞控制了近十万台路由器，专门向WordPress网站发起撞库攻击。

相关迹象表明，黑产们正紧紧盯着IoT设备新曝光的安全漏洞，一有好使的立马用起来，其效率之高，目前的厂商修复速度大概只有望尘莫及了。

沉默的厂商

http81僵尸网络还有个有趣的插曲。嘶吼编辑在检索资料的时候，了解到知道创宇今年3月分析过利用漏洞，当时创宇的人根据相关特征查看全网数据，发现许多OEM设备在16年没有漏洞，17年却有了漏洞。

他们由此推测，该漏洞出现时间大约是去年，后来旧摄像头通过更新有漏洞固件的方式导致出现了漏洞，而那些新生产的有问题摄像头则被销售到世界各地。

一堆坏消息里，或许这算是个好消息，至少它证明OEM厂商是有更新能力的。到现在为止，我们仍不清楚OEM厂商是谁，也不清楚对方是否知晓漏洞信息，只能寄希望对方看到漏洞后会积极地修复。

在IoT设备安全形势严峻的大环境下，怎么样才能让厂商做得更安全？我们可以在历史中能找到一些借鉴。

“2000年左右的Windows，要比现在的IoT设备系统复杂很多，出漏洞的空间大很多，但Windows的安全状况改变得很好。因为微软有整套安全流程，它坚持了二十多年持续不断地改进，一直和安全社区保持沟通。”李丰沛说。

就安全社区而言，我们没有什么很好的办法来推动原始厂商往前走。只能期待厂商意识和安全响应能力的增强。无论如何，通过具体的攻击事件推动发展的代价是巨大的，对所有人都如此。