僵屍網絡再次來襲急劇膨脹 監控裝置安全告急

在mirai僵屍網絡攻擊造成美國東海岸大面積斷網事件之後，國内也出現了控制大量iot裝置的僵屍網絡。近日360網絡安全研究院釋出報告，率先披露了一個名為http81的新型iot僵屍網絡。

監測資料顯示，http81僵屍網絡在中國已經感染控制了超過5萬台網絡攝像頭。如果按照每個活躍ip擁有10mbps上行帶寬測算，http81僵屍網絡可能擁有高達500gbps的ddos攻擊能力，足以對國内網際網路基礎設施産生重大威脅。

mirai之後，http81瞄上攝像頭

今年3月，南韓安全研究人員pierrekim釋出了一個關于goahead以及其他oem攝像頭的脆弱性分析報告，涉及多家廠商超過1250個不同型号的裝置，估算全球潛在涉及的攝像頭裝置超過18萬個。

利用pierrekim披露的漏洞，http81僵屍網絡的幕後操控者遠端入侵了大量沒有及時修複漏洞的網絡攝像頭裝置，在這些攝像頭中植入惡意代碼，隻要發出指令就可以随時向任何目标實施ddos攻擊。由于網絡攝像頭屬于長期線上的裝置，普遍擁有比較高的帶寬，相比由電腦組成的僵屍網絡具備更強的殺傷力。

360網絡安全研究院發現，http81僵屍網絡借鑒了mirai的端口嗅探手法和部分基礎代碼，但是對比僵屍網絡的關鍵特性，http81在傳播、c2通信協定、攻擊向量等方面與mirai完全不同，屬于新的僵屍網絡家族。

　　圖：http81僵屍網絡分布圖

暗流湧動，http81僵屍網絡急劇膨脹

對普通公衆來說，mirai是在美國斷網事件中“一戰成名”。但在此前數個月，mirai就已經在大規模掃描存在漏洞的物聯網裝置，建構遍布全球的僵屍網絡。統計顯示，mirai僵屍網絡已累計感染超過200萬台錄影機等iot裝置。

http81僵屍網絡也正在急劇擴張。360網絡安全研究院研究員李豐沛介紹說，360全球網絡掃描實時監控系統早在4月15日發現http81僵屍網絡活躍度異常增加，當日掃描事件數量比平時增長4倍到7倍，獨立掃描ip來源增長幅度達到40倍到60倍。4月22日，http81活躍度更是達到高峰，掃描來源的ip位址超過57,000個。與普通僵屍網絡100到1000個ip節點的規模相比，http81已經成為一個巨型僵屍網絡。

監測資料顯示，http81僵屍網絡主要分布在國内，尤其是北京、河南、山東、江蘇、廣州等地區，每日活躍的裝置數量一般在2700到9500個之間。這意味着http81一旦展開ddos攻擊，國内網際網路很可能成為重災區，其他國家和地區也不能完全排除受感染或受攻擊的可能性。為此360網絡安全研究院釋出報告披露了http81僵屍網絡，向全球網絡安全社群發出安全警示。

當http81僵屍網絡被公開曝光後，開始變得更加低調和隐蔽。據360網絡安全研究院追蹤分析，http81控制主機域名的ip位址已改為私網ip位址，其掃描行為也明顯下降，暫時停止了大規模掃描。

但是由于國内的網絡攝像頭等裝置大多缺乏安全更新維護，隻要http81的惡意代碼沒有被攝像頭運維人員清除，攻擊者随時可以控制主機重新上線。如果任由http81僵屍網絡掃描感染更多裝置，其防禦難度也會越來越高。360網絡研究院正在持續監控該僵屍網絡，一旦發現攻擊者重新上線，360将協同相關部門及時采取預防應對措施。

本文轉自d1net（轉載）