“紅遍全球”的惡意軟體 Mirai 換了個新馬甲，這次瞄上我國2億多台IoT裝置

在一年前的今天（2016.10.21），美國發生了一起規模極大的網際網路癱瘓事故，多個城市的主要網站被攻擊，人們發現連經常登入的推特、亞馬遜、Paypal 等在内的大量網站連續數小時無法正常通路。

事後查明，一種名為“Mirai”的惡意程式，通過掃描智能攝像頭，嘗試預設通用密碼（比如懶人經常設定的123456、admin……）進行登入操作，一旦成功即将這台物聯網裝置作為“殭屍電腦”納入到僵屍網絡裡，進而操控其攻擊其他網絡裝置，當控制的裝置達到一定數量級後，進行 DDoS 攻擊。

不同于以往的是，在這起事件中，“殭屍電腦”不再是 PC 電腦，而是已經大規模普及的物聯網裝置---“智能攝像頭”。而這之後，Mirai 不斷在全世界留下新的“犯案”記錄，連續發動了針對新加坡、賴比瑞亞、德國等的DDoS攻擊。

這個病毒專門用于控制衆多品牌的攝像頭。在 Mirai 的攻擊源碼被釋出到網絡之後，各大安全廠商迅速清除，但是這個病毒的代碼也迅速被各路黑客改寫，成為變種繼續在網絡中生存。 這像極了現實世界中我們和病毒的對抗。每當一種新藥研制成功，就可以殺死大部分的病毒，但是總有以下部分存活下來，适應了新的藥物，進而成為變種，更難被殺死。

就在最近，“Mirai”的新變種就被發現，隻不過，這次的攻擊載體由攝像頭變為了電視機頂盒，而且攻擊目标在中國，數量多達2億多台。雖然入侵方式同樣是破解裝置弱密碼，但采用加殼措施進行自我保護，并采用一定的算法隐藏C&C控制伺服器位址，綁定端口1992，綠盟科技将其命名為“Rowdy”。

▲Mirai 和其變種 Rowdy 的樣本對比

經過對比發現，Rowdy 其bot上線方式與 Mirai 相同，ddos攻擊代碼一緻，代碼結構基本無變化，基于這些特征已經可以确定，Rowdy 樣本是Mirai物聯網惡意軟體的變種。

據綠盟科技安全顧問透露，Rowdy-Bot僵屍網絡已經開始向外發起DDoS攻擊，目前監控到的國内受控制僵屍主機已達2000多台，其中東南部沿海地區為重災區。

經過評估發現，Rowdy在短短數月時間已經形成了規模不小的Bot僵屍網絡，感染的裝置涉及國内5家廠商。據國家統計局2月份釋出的《中華人民共和國2016年國民經濟和社會發展統計公報》顯示，該裝置實際使用者到達2.23億戶，如此龐大的網絡，一旦被Rowdy快速滲透，帶來的後果不堪設想。

根據分析，Rowdy僵屍網絡的C&C控制伺服器，IP位址為185.47.62.133，地理位置位于荷蘭。僵屍主機與C&C控制主機通訊端口為8716。據關聯分析，C&C控制伺服器與僵屍主機通訊協定為TCP協定，通訊包位元組基本都在80~90位元組之間。

Rowdy僵屍通過自動化掃描方式傳播感染，構成整個僵屍網絡。首先，會對目标裝置進行掃描，利用内置使用者名/密碼字典，嘗試登入Telnet服務。然後，再通過裝置的busybox工具下載下傳并執行惡意病毒程式。

目前來看，Rowdy樣本支援多個平台，包括x86、ARM、MIPS。僵屍網絡能發動多種 DDoS 攻擊類型，包括 HTTP Flood、SYN Flood、UDP Flood、DNS Flood、ACK Flood、VSE Flood、GRE IP Flood。組成僵屍網絡的裝置均為上網出口裝置，是以該僵屍網絡具備發起大規模、大流量 DDoS 攻擊的能力。

為啥黑客頻頻盯上物聯網裝置，連洗碗機都不放過！

無論是去年的“Mirai”還是最近的“Rowdy”，越來越多的物聯網裝置成為了黑客攻擊的目标。

在今年初，外媒 TheRegister 就曾報道過德國的一個百年家電品牌 Miele 的一款洗碗機存在漏洞，該裝置其實主要作為醫療裝置使用，用于實驗室和手術器械消毒。

很多人好奇，為何這樣一款裝置要連接配接網絡？Miele 的産品頁上有提到，這台裝置連接配接區域網路是為了生成文本報告。

這台裝置的 web 伺服器漏洞編号為 CVE-2017-7240，此漏洞可導緻未經授權的入侵者通路web伺服器的任意目錄，攻擊者可以從中竊取敏感資訊，甚至植入自己的惡意代碼、讓web伺服器執行這些代碼。

美國去年在網際網路“大癱瘓”後曾緊急出台過一個《保障物聯網安全戰略原則》，其中提出，物聯網制造商必須在産品設計階段建構安全，否則可能會被起訴！以此來強制廠商提高對安全問題的重視。

那頻頻被黑客盯上的物聯網攻擊到底有何特殊之處呢？綠盟科技安全顧問向雷鋒網編輯這樣解釋：

從技術角度來講，真實的物聯網裝置都采用了真實的 IP，作為安全廠商來講，我們很難把裝置IP和真實的使用者區分開，是以檢測時會花費更多的時間。 與此同時，物聯網裝置基本上是長期線上的，它不像我們的PC還會有關機和開機的時候，是以随時都可以攻擊，為黑客提供了便利。 還有就是捕獲手段非常簡單，可以在短時間内大量組織起來發動 DDoS 攻擊的裝置。隻要裝置搭載了相關的作業系統，并且能夠聯網，那麼黑客就可以入侵作業系統，讓這台裝置去幹些什麼。

那為什麼物聯網裝置的捕獲手段會比較簡單呢？

綠盟科技安全顧問告訴雷鋒網(公衆号：雷鋒網)編輯，在 IOT裝置這些年的發展中，廠商更注重的是裝置功能的完善和使用者體驗的提升，而對于安全沒有足夠的重視，使黑客能利用像預設密碼這樣簡單的漏洞進行攻擊。

雖然由于及時發現，Rowdy僵屍網絡被有效遏制了，但類似的物聯網僵屍網絡一定會再次出現。物聯網裝置，包括攝像頭、路由器、智能電視、機頂盒、智能家居和可穿戴裝置，隻要接入網際網路，搭載了相關作業系統，就有可能成為攻擊者的潛在目标。攻擊者利用存在漏洞的物聯網裝置，尤其是預設弱密碼的裝置，組成龐大的僵屍網絡，為其發動大規模DDoS攻擊做準備，威脅網際網路安全。

其實利用預設密碼進行攻擊并不是一種高難度的攻擊，綠盟科技安全顧問建議，

對于廠商來說，需要在生産的過程當中，就對固件進行保護，以路由器的内置密碼為例，廠商一定要注意不要使用類似123456這樣的弱密碼，而是要用數字、字母、特殊符号等更複雜的密碼。而且密碼不能以明文的形式，要做一些加密處理。發現了相關的漏洞，及時跟安全廠商聯系，快速的更新，替換。 對于購買了 IOT裝置的普通的使用者，及時的去檢視官網，更新固件。此外，需要遵守裝置安裝手冊，按照要求修改預設密碼。以防IOT裝置變成網絡僵屍。

▲針對DDoS攻擊防護建議

受Rowdy感染的僵屍網絡具備發起多種複雜DDoS攻擊的能力。當遭受此類攻擊時，可以通過部署本地或者雲端的抗拒絕服務系統進行流量清洗。

本文作者：郭佳