RSA Conference 2017已經(jīng)于美國時間2017年2月13日開幕，全球主流信息安全廠商、行業(yè)專家、安全從業(yè)者齊聚舊金山，共享這場行業(yè)盛宴。近兩年來，由于安全威脅的不斷演變和升級，網(wǎng)絡(luò)安全已經(jīng)成為需要全球共同治理和面對的難題。而在剛剛過去的2016年發(fā)生的幾起全球重大網(wǎng)絡(luò)安全事件中，都能看到Mirai的影子。在此次RSA大會上，360網(wǎng)絡(luò)安全研究院研究員李豐沛發(fā)表主題演講，針對Mirai僵尸網(wǎng)絡(luò)的歷史、危害和演進(jìn)做出了詳細(xì)的解讀。

360網(wǎng)絡(luò)安全研究院研究員李豐沛現(xiàn)場發(fā)表演講

李豐沛在演講中提到，Mirai僵尸網(wǎng)絡(luò)的成長非?？?，從2016年8月才開始觀察到，到了2016年10月21日就首先把美國打“斷網(wǎng)”。而這之后，Mirai不斷在全世界留下新的“犯案”記錄，連續(xù)發(fā)動了針對新加坡、利比里亞、德國的DDoS攻擊。

在美國斷網(wǎng)事件中，美國域名解析服務(wù)提供商Dyn公司遭到了峰值達(dá)到1.1Tbps 的DDoS攻擊，造成了美國東部大面積的網(wǎng)絡(luò)癱瘓，包括Twitter、Facebook在內(nèi)的多家美國網(wǎng)站無法通過域名訪問。而造成半個美國互聯(lián)網(wǎng)癱瘓的罪魁禍?zhǔn)?，則是Mirai僵尸網(wǎng)絡(luò)控制下的數(shù)以10萬計(jì)的物聯(lián)網(wǎng)設(shè)備。Mirai惡意程序通過掃描物聯(lián)網(wǎng)設(shè)備，嘗試默認(rèn)通用密碼進(jìn)行登錄操作，一旦成功即將這臺物聯(lián)網(wǎng)設(shè)備作為“肉雞”納入到僵尸網(wǎng)絡(luò)里，進(jìn)而操控其攻擊其他網(wǎng)絡(luò)設(shè)備。

李豐沛認(rèn)為，這是一次典型“拒絕訪問服務(wù)”(DDoS)網(wǎng)絡(luò)攻擊。域名服務(wù)商遭到了大量垃圾請求，這讓 DNS 解析商完全無法應(yīng)對，真正的請求也無法回答，互聯(lián)網(wǎng)網(wǎng)站癱瘓。

而在之后的德國斷網(wǎng)事件中，也是由于Mirai僵尸網(wǎng)絡(luò)發(fā)起了針對 7547 端口的掃描，德國電信累積大約90萬個路由器被Mirai僵尸網(wǎng)絡(luò)的掃描過程打宕，并由此導(dǎo)致大面積網(wǎng)絡(luò)訪問受限。

我們看到，Mirai僵尸網(wǎng)絡(luò)充分利用了防護(hù)薄弱且數(shù)量巨大的物聯(lián)網(wǎng)設(shè)備，白帽子們以往總是針對物聯(lián)網(wǎng)設(shè)備的脆弱性在喊狼來了，結(jié)果Mirai一出現(xiàn)就成為讓人頭疼的威脅。而時至今日，越來越多的物聯(lián)網(wǎng)設(shè)備開始接入互聯(lián)網(wǎng)，防護(hù)困難甚至對安全性的忽視，使得物聯(lián)網(wǎng)設(shè)備里的應(yīng)用程序體異常脆弱，很容易被攻擊者發(fā)現(xiàn)漏洞并利用。Mirai僵尸網(wǎng)絡(luò)的規(guī)模很快就要到兩百萬，這個量級比大多數(shù)的僵尸網(wǎng)絡(luò)大2～3個數(shù)量級。

另外，由于物聯(lián)網(wǎng)設(shè)備存在設(shè)備分散、責(zé)權(quán)不清，早期設(shè)備甚至都沒法遠(yuǎn)程升級等問題，這就導(dǎo)致了就算知道其防護(hù)不力，也沒有辦法進(jìn)行修復(fù)。

Mirai僵尸網(wǎng)絡(luò)的出現(xiàn)可謂影響深遠(yuǎn)，美國在斷網(wǎng)事件發(fā)生26天后，美國國土安全部DHS就發(fā)布了《保障物聯(lián)網(wǎng)安全戰(zhàn)略原則》，其中提出，物聯(lián)網(wǎng)制造商必須在產(chǎn)品設(shè)計(jì)階段構(gòu)建安全，否則可能會被起訴。DHS網(wǎng)絡(luò)政策助理部長Robert Silvers表示，“需要在設(shè)計(jì)階段構(gòu)建安全。安全不應(yīng)該是馬后炮。例如，我們需要內(nèi)置、難以破解的密碼，可靠的操作系統(tǒng)升級，并促進(jìn)安全更新和漏洞管理。”

我國在工信部發(fā)布的《物聯(lián)網(wǎng)發(fā)展規(guī)劃(2016-2020年)》中，也提出了物聯(lián)網(wǎng)產(chǎn)業(yè)未來五年發(fā)展的主要任務(wù)，在物聯(lián)網(wǎng)關(guān)鍵技術(shù)標(biāo)準(zhǔn)制定、關(guān)鍵核心技術(shù)創(chuàng)新、行業(yè)標(biāo)準(zhǔn)研制、物聯(lián)網(wǎng)與行業(yè)領(lǐng)域的深度融合等方面給出了詳細(xì)的指導(dǎo)意見。

最后，李豐沛談到，由Mirai僵尸網(wǎng)絡(luò)而導(dǎo)致的一系列斷網(wǎng)事件，不僅僅會是年度DDoS事件，甚至在未來幾年內(nèi)都會有著重要的影響。目前，全世界的安全社區(qū)都在針對Mirai僵尸網(wǎng)絡(luò)及物聯(lián)網(wǎng)安全問題進(jìn)行研究，360也在本屆RSA大會上向全世界安全社區(qū)推出了ScanMon系統(tǒng)，ScanMon系統(tǒng)可提供全球范圍內(nèi)實(shí)時和歷史掃描行為的監(jiān)控和分析。360網(wǎng)絡(luò)安全研究院在針對 mirai 僵尸網(wǎng)絡(luò)出現(xiàn)、發(fā)展、新變種的持續(xù)跟蹤中，就大量借助了 ScanMon 的能力。目前，該系統(tǒng)免費(fèi)向安全社區(qū)開放。