影響全球的Mirai僵尸網(wǎng)絡(luò)到底有多“狠”?

責(zé)任編輯:editor006

2017-02-16 16:25:56

摘自:360企業(yè)安全

RSA Conference 2017已經(jīng)于美國(guó)時(shí)間2017年2月13日開幕,全球主流信息安全廠商、行業(yè)專家、安全從業(yè)者齊聚舊金山,共享這場(chǎng)行業(yè)盛宴。

 RSA Conference 2017已經(jīng)于美國(guó)時(shí)間2017年2月13日開幕,全球主流信息安全廠商、行業(yè)專家、安全從業(yè)者齊聚舊金山,共享這場(chǎng)行業(yè)盛宴。近兩年來(lái),由于安全威脅的不斷演變和升級(jí),網(wǎng)絡(luò)安全已經(jīng)成為需要全球共同治理和面對(duì)的難題。而在剛剛過(guò)去的2016年發(fā)生的幾起全球重大網(wǎng)絡(luò)安全事件中,都能看到Mirai的影子。在此次RSA大會(huì)上,360網(wǎng)絡(luò)安全研究院研究員李豐沛發(fā)表主題演講,針對(duì)Mirai僵尸網(wǎng)絡(luò)的歷史、危害和演進(jìn)做出了詳細(xì)的解讀。

 

360網(wǎng)絡(luò)安全研究院研究員李豐沛現(xiàn)場(chǎng)發(fā)表演講

李豐沛在演講中提到,Mirai僵尸網(wǎng)絡(luò)的成長(zhǎng)非???,從2016年8月才開始觀察到,到了2016年10月21日就首先把美國(guó)打“斷網(wǎng)”。而這之后,Mirai不斷在全世界留下新的“犯案”記錄,連續(xù)發(fā)動(dòng)了針對(duì)新加坡、利比里亞、德國(guó)的DDoS攻擊。

影響全球的Mirai僵尸網(wǎng)絡(luò)到底有多“狠”?

在美國(guó)斷網(wǎng)事件中,美國(guó)域名解析服務(wù)提供商Dyn公司遭到了峰值達(dá)到1.1Tbps 的DDoS攻擊,造成了美國(guó)東部大面積的網(wǎng)絡(luò)癱瘓,包括Twitter、Facebook在內(nèi)的多家美國(guó)網(wǎng)站無(wú)法通過(guò)域名訪問(wèn)。而造成半個(gè)美國(guó)互聯(lián)網(wǎng)癱瘓的罪魁禍?zhǔn)?,則是Mirai僵尸網(wǎng)絡(luò)控制下的數(shù)以10萬(wàn)計(jì)的物聯(lián)網(wǎng)設(shè)備。Mirai惡意程序通過(guò)掃描物聯(lián)網(wǎng)設(shè)備,嘗試默認(rèn)通用密碼進(jìn)行登錄操作,一旦成功即將這臺(tái)物聯(lián)網(wǎng)設(shè)備作為“肉雞”納入到僵尸網(wǎng)絡(luò)里,進(jìn)而操控其攻擊其他網(wǎng)絡(luò)設(shè)備。

影響全球的Mirai僵尸網(wǎng)絡(luò)到底有多“狠”?

李豐沛認(rèn)為,這是一次典型“拒絕訪問(wèn)服務(wù)”(DDoS)網(wǎng)絡(luò)攻擊。域名服務(wù)商遭到了大量垃圾請(qǐng)求,這讓 DNS 解析商完全無(wú)法應(yīng)對(duì),真正的請(qǐng)求也無(wú)法回答,互聯(lián)網(wǎng)網(wǎng)站癱瘓。

而在之后的德國(guó)斷網(wǎng)事件中,也是由于Mirai僵尸網(wǎng)絡(luò)發(fā)起了針對(duì) 7547 端口的掃描,德國(guó)電信累積大約90萬(wàn)個(gè)路由器被Mirai僵尸網(wǎng)絡(luò)的掃描過(guò)程打宕,并由此導(dǎo)致大面積網(wǎng)絡(luò)訪問(wèn)受限。

 

我們看到,Mirai僵尸網(wǎng)絡(luò)充分利用了防護(hù)薄弱且數(shù)量巨大的物聯(lián)網(wǎng)設(shè)備,白帽子們以往總是針對(duì)物聯(lián)網(wǎng)設(shè)備的脆弱性在喊狼來(lái)了,結(jié)果Mirai一出現(xiàn)就成為讓人頭疼的威脅。而時(shí)至今日,越來(lái)越多的物聯(lián)網(wǎng)設(shè)備開始接入互聯(lián)網(wǎng),防護(hù)困難甚至對(duì)安全性的忽視,使得物聯(lián)網(wǎng)設(shè)備里的應(yīng)用程序體異常脆弱,很容易被攻擊者發(fā)現(xiàn)漏洞并利用。Mirai僵尸網(wǎng)絡(luò)的規(guī)模很快就要到兩百萬(wàn),這個(gè)量級(jí)比大多數(shù)的僵尸網(wǎng)絡(luò)大2~3個(gè)數(shù)量級(jí)。

另外,由于物聯(lián)網(wǎng)設(shè)備存在設(shè)備分散、責(zé)權(quán)不清,早期設(shè)備甚至都沒法遠(yuǎn)程升級(jí)等問(wèn)題,這就導(dǎo)致了就算知道其防護(hù)不力,也沒有辦法進(jìn)行修復(fù)。

Mirai僵尸網(wǎng)絡(luò)的出現(xiàn)可謂影響深遠(yuǎn),美國(guó)在斷網(wǎng)事件發(fā)生26天后,美國(guó)國(guó)土安全部DHS就發(fā)布了《保障物聯(lián)網(wǎng)安全戰(zhàn)略原則》,其中提出,物聯(lián)網(wǎng)制造商必須在產(chǎn)品設(shè)計(jì)階段構(gòu)建安全,否則可能會(huì)被起訴。DHS網(wǎng)絡(luò)政策助理部長(zhǎng)Robert Silvers表示,“需要在設(shè)計(jì)階段構(gòu)建安全。安全不應(yīng)該是馬后炮。例如,我們需要內(nèi)置、難以破解的密碼,可靠的操作系統(tǒng)升級(jí),并促進(jìn)安全更新和漏洞管理。”

我國(guó)在工信部發(fā)布的《物聯(lián)網(wǎng)發(fā)展規(guī)劃(2016-2020年)》中,也提出了物聯(lián)網(wǎng)產(chǎn)業(yè)未來(lái)五年發(fā)展的主要任務(wù),在物聯(lián)網(wǎng)關(guān)鍵技術(shù)標(biāo)準(zhǔn)制定、關(guān)鍵核心技術(shù)創(chuàng)新、行業(yè)標(biāo)準(zhǔn)研制、物聯(lián)網(wǎng)與行業(yè)領(lǐng)域的深度融合等方面給出了詳細(xì)的指導(dǎo)意見。

最后,李豐沛談到,由Mirai僵尸網(wǎng)絡(luò)而導(dǎo)致的一系列斷網(wǎng)事件,不僅僅會(huì)是年度DDoS事件,甚至在未來(lái)幾年內(nèi)都會(huì)有著重要的影響。目前,全世界的安全社區(qū)都在針對(duì)Mirai僵尸網(wǎng)絡(luò)及物聯(lián)網(wǎng)安全問(wèn)題進(jìn)行研究,360也在本屆RSA大會(huì)上向全世界安全社區(qū)推出了ScanMon系統(tǒng),ScanMon系統(tǒng)可提供全球范圍內(nèi)實(shí)時(shí)和歷史掃描行為的監(jiān)控和分析。360網(wǎng)絡(luò)安全研究院在針對(duì) mirai 僵尸網(wǎng)絡(luò)出現(xiàn)、發(fā)展、新變種的持續(xù)跟蹤中,就大量借助了 ScanMon 的能力。目前,該系統(tǒng)免費(fèi)向安全社區(qū)開放。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)