故事要從一個叫做“Mirai”(日語詞匯，本意為“未來”)的病毒說起。

美國東部時間2016年10月21日上午7：00左右,一場始于東海岸的大規(guī)?；ヂ?lián)網(wǎng)癱瘓事件開始發(fā)生 。前后三次，每次持續(xù)一到兩個小時的大規(guī)模DDoS攻擊使大半個美國的網(wǎng)絡(luò)陷入癱瘓，包括Twitter、Netflix、Github、Airbnb、Visa等各大熱門網(wǎng)站均出現(xiàn)了無法訪問的情況，美食博主無法在推上曬出當(dāng)日早餐，程序員無法在Github交流切磋，人們的網(wǎng)絡(luò)生活突然變得乏味……但負(fù)擔(dān)最重的還是企業(yè)，被動承受了軟硬件維修升級的財務(wù)支出以及故障損失。

??

紅色部分表示民眾反應(yīng)無法訪問網(wǎng)站的區(qū)域，圖源downdetector.com

很快，事件最直接的“受害者”——美國域名解析服務(wù)商 Dyn確認(rèn)了這是一次跨越多個攻擊向量及互聯(lián)網(wǎng)位置的復(fù)雜攻擊，涉及數(shù)千萬個IP地址，并且攻擊流量的主要來源之一就是受到僵尸網(wǎng)絡(luò)感染的聯(lián)網(wǎng)設(shè)備，比如路由器、攝像頭，同時Dyn還確認(rèn)了這組僵尸網(wǎng)絡(luò)背后的病毒身份，就是一個月前出現(xiàn)在黑客論壇上的“Mirai”病毒。

簡化一點(diǎn)來理解，Mirai發(fā)動攻擊的流程分為兩大步：

第一步，擴(kuò)大僵尸網(wǎng)絡(luò)規(guī)模，盡可能多地發(fā)現(xiàn)、攻擊并感染網(wǎng)絡(luò)中存在漏洞的IoT設(shè)備。

黑客首先會創(chuàng)造一批受Mirai感染的原始設(shè)備，這些設(shè)備會持續(xù)地、隨機(jī)地在網(wǎng)絡(luò)中掃描發(fā)現(xiàn)更多存在漏洞的IoT設(shè)備。在檢測到目標(biāo)以后，機(jī)制就會使用Mirai內(nèi)置的超過60組默認(rèn)賬戶密碼(像是admin/admin)進(jìn)行登陸，而一旦登錄成功(因為很多IoT設(shè)備都使用默認(rèn)設(shè)置，所以這種看起來低級的方法其實效率很高)，就會向C&C服務(wù)器報告以向設(shè)備下發(fā)下載Mirai病毒的指令。設(shè)備由此被感染并進(jìn)入”肉雞”狀態(tài)，以備黑客在任何時候指揮發(fā)動攻擊，秉持著“只要干不死，就往死里干”的精神而存在。

??

第二步，操縱”肉雞”，向目標(biāo)發(fā)起DDoS攻擊。

DDoS攻擊，又稱分布式拒絕服務(wù)，通常利用大量的網(wǎng)絡(luò)節(jié)點(diǎn)資源如IDC服務(wù)器、個人PC、手機(jī)、打印機(jī)、路由器、攝像頭等智能設(shè)備對目標(biāo)發(fā)送合理的服務(wù)請求，就此占用過多的服務(wù)資源，使服務(wù)器擁塞而無法對外提供正常服務(wù)。擁有足夠肉雞數(shù)量的Mirai向目標(biāo)發(fā)起DDoS攻擊，道理也是如此。

??

大斷網(wǎng)事件之后，Mirai由此名聲大噪，甚至有發(fā)言認(rèn)為：“Mirai的橫空出世表明DDoS攻擊活動出現(xiàn)了新的轉(zhuǎn)折點(diǎn)，IoT僵尸網(wǎng)絡(luò)開始成為此類攻擊的主力軍?！?/p>

據(jù)測算，Mirai的威力在2016年11月達(dá)到峰值，當(dāng)時它已控制了超過60萬個物聯(lián)網(wǎng)設(shè)備。

的確，當(dāng)黑客們利用Mirai病毒在全世界收割了數(shù)量級如此龐大的設(shè)備，他們便有了一種統(tǒng)帥千軍、發(fā)號施令的感覺，在利益或名氣的趨勢下做了很多法律允許之外的事，比如先攻擊母校網(wǎng)站，再把安全服務(wù)賣給學(xué)校;比如攻擊專門報道網(wǎng)絡(luò)犯罪的博客網(wǎng)站，挫挫對方銳氣;再比如刷單薅羊毛、網(wǎng)站刷瀏覽量、利用僵尸網(wǎng)絡(luò)挖礦、或者向金主的競爭對手發(fā)起DDoS攻擊……像這樣的事還有很多。

那么跳到事件結(jié)局，我們發(fā)現(xiàn)制作Mirai病毒的3位年輕黑客早已被FBI逮捕，付出了應(yīng)有的代價。但說到這您也許會問，既然幕后黑手已經(jīng)落網(wǎng)，為什么還需要給Mirai那么長的篇幅特別說明?我們難道只是在看一份卷宗嗎?

所以，接下來要說的就很關(guān)鍵。

在“大斷網(wǎng)事件”之前一個月，主謀之一Paras Jha就在自己名為 Anna -Senpai的論壇賬號上，用“開源”的精神完整地發(fā)布了Mirai病毒源代碼，而他這份代碼寫得很優(yōu)秀，具備了所有僵尸網(wǎng)絡(luò)病毒的基本功能，可以說是底子很好。因此只要后來者有意愿、有能力在原始文檔上做些改動，就可能改造出新的病毒變種，使其具備新的傳染性與危害性，帶來新的網(wǎng)絡(luò)危機(jī)。

????

潘多拉魔盒就在此刻打開。

1. 由黑客BestBuy操縱的變種Mirai

2016年11月27日，歐洲最大的電信運(yùn)營商德國電信(Telekom)旗下90萬臺路由器突然被惡意入侵，大量用戶無法正常使用服務(wù)。

事后發(fā)現(xiàn)，當(dāng)時德國電信為用戶提供的路由器存在一個極大的漏洞，這個漏洞使路由器的7457端口直接暴露給外部網(wǎng)絡(luò)，黑客正是通過變種的Mirai病毒瘋狂地掃描互聯(lián)網(wǎng)中所有設(shè)備的7457端口，進(jìn)而把越來越多的路由器都納入自己僵尸網(wǎng)絡(luò)的麾下。

2. Satori

Satori是在2017年12月被發(fā)現(xiàn)的，名字同樣來源于日語，意為“覺醒”。

Satori依然是Mirai的變種，但與Mirai使用掃描器搜索易被攻擊的路由器不同，Satori利用路由器兩個端口37215和52869中的漏洞來進(jìn)行攻擊，因此不需要別的組件就能夠自行傳播，快速擴(kuò)大影響。

據(jù)研究人員表示，該病毒當(dāng)時僅用了12個小時就成功激活超過28萬個不同的IP，影響了數(shù)十萬臺路由器設(shè)備。

3. Satori的變種——Satori Coin Robber

因為快速、聯(lián)合的防御行動，Satori的蔓延很快就被抑制住了，但黑客并沒有善罷甘休。

2018年1月，研究人員檢測到Satori的變種Satori Coin Robber。該病毒嘗試在端口37215和52869上重新建立整個僵尸網(wǎng)絡(luò)，并且開始滲透互聯(lián)網(wǎng)上的挖礦設(shè)備，通過攻擊其3333管理端口，把別人挖礦機(jī)的錢包地址改成自己的，從中獲取直接利益。

4. DvrHelper

因為Mirai引發(fā)的事件影響太大，許多機(jī)構(gòu)都在此后著重布置了DDoS防御解決方案。DvrHelper作為Mirai的變種，配置了8個DDoS攻擊模塊來增加攻擊的力度，IP攝像頭經(jīng)常是它的目標(biāo)。

5. Persirai

Mirai代碼開源以后形成了特別大的影響，不僅讓物聯(lián)網(wǎng)產(chǎn)業(yè)看到了風(fēng)險防控的重要性，也讓很多惡意軟件都選擇以Mirai為參考向物聯(lián)網(wǎng)設(shè)備發(fā)動進(jìn)攻，Persirai就是聞訊而來的一股強(qiáng)大力量。

該病毒以暴露在公網(wǎng)中的IP攝像機(jī)為感染目標(biāo)，在感染設(shè)備之后還會采用特殊的方法寄存在內(nèi)存中并刪除痕跡來躲避用戶或者安全軟件的檢測。

此外，病毒作者竟考慮到IP攝像頭資源有限，且針對這類的惡意軟件實在太多，因此在感染設(shè)備后直接封堵漏洞，阻止后來者的感染攻擊。

6. Hajime

Hajime病毒首次出現(xiàn)在安全研究人員視野中，是在2016年10月。

它有很多與Mirai相似的地方，比如抓”肉雞”，利用存在漏洞的IoT設(shè)備進(jìn)行傳播，且預(yù)設(shè)的用戶名和密碼組合與Mirai完全相同而只是多出兩組，但Hajime有一處關(guān)鍵的不同——它沒有攻擊性，不具備任何DDoS攻擊功能。

因此Hajime更像是用一種“不管做什么，先把位子占了”的模式對病毒提出反抗，畢竟當(dāng)設(shè)備被Hajime感染后，就能夠阻擋外界通過23、7547、5555和5358這些常被Mirai利用的端口進(jìn)行攻擊。但Hajime的立場有很大爭議，畢竟善惡只在一念間，而這些設(shè)備確確實實被其控制，未來的走向難以確定。

7. BrickerBot

物聯(lián)網(wǎng)病毒中立場存疑的還有BrickerBot。

如果說Mirai是為了把設(shè)備組成僵尸網(wǎng)絡(luò)以做黑產(chǎn)使用，BrickerBot卻不這么想。

它不指望受感染設(shè)備變成”肉雞”，反而通過一系列的指令清除設(shè)備文件，切斷網(wǎng)絡(luò)連接，直接讓設(shè)備“變磚”。

后來網(wǎng)絡(luò)中有人跳出稱自己是BrickerBot作者，此舉本意是為提醒用戶自己的設(shè)備有安全問題，希望盡快修補(bǔ)漏洞，但這種把設(shè)備直接破壞卻說“我是為你好”的方式也很難讓人領(lǐng)情。

我們應(yīng)該怎么做?

時至今日，安全研究員們已經(jīng)捕獲了數(shù)百種Mirai的變種樣本，針對Mirai的長期研究足夠被稱得上是行業(yè)中的“Mirai學(xué)”。在此之外雖然還有其他的病毒網(wǎng)絡(luò)，正對著物聯(lián)網(wǎng)體系虎視眈眈，但這都是歷史發(fā)展的必然， Windows/Linux系統(tǒng)、Android/IOS系統(tǒng)也是這樣走過來的。只是到了IoT時代，步子邁得快了些，很多設(shè)備出現(xiàn)了漏洞，給了心懷不軌的人可乘之機(jī)。尤其是使用了弱口令及默認(rèn)密碼、內(nèi)置密碼;存在邏輯漏洞、公共組件歷史漏洞的物聯(lián)網(wǎng)設(shè)備風(fēng)險最大。

對此的解決方案也有不少：

降低物聯(lián)網(wǎng)設(shè)備風(fēng)險的解決方案

• 關(guān)閉暴露在公網(wǎng)中的設(shè)備端口。
• 及時更改設(shè)備出廠默認(rèn)密碼，對于一些無法更改的老舊設(shè)備暫停使用。
• 廠商持續(xù)監(jiān)控設(shè)備出入流量及設(shè)備行為，盡早發(fā)現(xiàn)異常。
• 廠商定期排查現(xiàn)有設(shè)備中的風(fēng)險與漏洞并做出修復(fù)。
• 設(shè)備廠商積極與監(jiān)管部門和網(wǎng)絡(luò)安全公司密切合作，做好事件發(fā)生時的應(yīng)急響應(yīng)。

最后想說的是，物聯(lián)網(wǎng)病毒沒有那么可怕，自互聯(lián)網(wǎng)誕生以來就必然會出現(xiàn)這種情況。做好預(yù)防，找好安全合作伙伴，發(fā)現(xiàn)情況正確應(yīng)對，一切就都會有答案。