有的廠商將Mirai命名為蠕蟲不是很貼切，Mirai利用類似蠕蟲的方式感染(與傳統(tǒng)蠕蟲感染方式不同)，但實(shí)際上是一款僵尸程序。因而稱之為Mirai僵尸蠕蟲更為準(zhǔn)確，后文主要以僵尸稱呼。

　　美國大面積的網(wǎng)絡(luò)癱瘓事件

　　2016年9月30日，黑客Anna-senpai公開發(fā)布Mirai僵尸源碼。其公布源碼的目的一則是發(fā)現(xiàn)有關(guān)機(jī)構(gòu)正在清理其掌控的僵尸設(shè)備;二則是為了讓更多的黑客使用該僵尸進(jìn)行擴(kuò)散，掩人耳目，隱藏自己的蹤跡。

　　2016年10月21日，美國東海岸地區(qū)遭受大面積網(wǎng)絡(luò)癱瘓，其原因?yàn)槊绹蛎馕龇?wù)提供商Dyn公司當(dāng)天受到強(qiáng)力的DDoS攻擊所致。Dyn公司稱此次DDoS攻擊涉及千萬級(jí)別的IP地址(攻擊中UDP/DNS攻擊源IP幾乎皆為偽造IP，因此此數(shù)量不代表僵尸數(shù)量)，其中部分重要的攻擊來源于IOT設(shè)備，攻擊活動(dòng)從上午7:00(美國東部時(shí)間)開始，直到下午1:00才得以緩解，黑客發(fā)動(dòng)了三次大規(guī)模攻擊，但是第三次攻擊被緩解未對(duì)網(wǎng)絡(luò)訪問造成明顯影響。

　　此次攻擊是一次跨越多個(gè)攻擊向量以及互聯(lián)網(wǎng)位置的復(fù)雜攻擊，F(xiàn)lashpoint與Akamai的分析確認(rèn)攻擊流量的來源之一是感染了Mirai僵尸的設(shè)備，因?yàn)椴糠蛛x散攻擊IP地址來自Mirai僵尸網(wǎng)絡(luò)。

　　Mirai僵尸在黑客Anna-senpai公布源碼后，被黑客利用并快速的形成了大量的僵尸網(wǎng)絡(luò)，其中部分黑客參與了此次攻擊，目前不排除黑客Anna-senpai也參與了本次攻擊，其擁有大概30萬-40萬的Mirai僵尸肉雞。

　　啟明星辰ADLab分析發(fā)現(xiàn)，Mirai僵尸借鑒了QBOT的部分技術(shù)，并在掃描技術(shù)、感染技術(shù)等方面做了優(yōu)化，大大提升了感染速度。

　　Mirai僵尸重要事件回溯

　　此次針對(duì)Dyn域名服務(wù)器的攻擊讓古老的DDoS技術(shù)再一次震撼了互聯(lián)網(wǎng)，其中最引人注目是物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的參與，物聯(lián)網(wǎng)概念流行了近7年，大量的智能設(shè)備正不斷地接入互聯(lián)網(wǎng)，其安全脆弱性、封閉性等特點(diǎn)成為黑客爭(zhēng)相奪取的資源。目前已經(jīng)存在大量針對(duì)物聯(lián)網(wǎng)的僵尸網(wǎng)絡(luò)，如QBOT、Luabot、Bashlight、Zollard、Remaiten、KTN-RM等等，并且越來越多的傳統(tǒng)僵尸也開始加入到這個(gè)物聯(lián)網(wǎng)行列中。

　　通過啟明星辰ADLab的調(diào)查分析，Mirai僵尸網(wǎng)絡(luò)有兩次攻擊史，其中一次是針對(duì)安全新聞工作者Brian Krebs的網(wǎng)站，攻擊流量達(dá)到665Gbps。

　　另一次是針對(duì)法國網(wǎng)站主機(jī)OVH的攻擊，其攻擊流量達(dá)到1.1Tbps，打破了DDoS攻擊流量歷史記錄。

　　Mirai僵尸重要事件回顧：

　　(1)2016年8月31日，逆向分析人員在malwaremustdie博客上公布mirai僵尸程序詳細(xì)逆向分析報(bào)告，此舉公布的C&C惹怒黑客Anna-senpai。

　　(2)2016年9月20日，著名的安全新聞工作者Brian Krebs的網(wǎng)站KrebsOnSecurity.com受到大規(guī)模的DDoS攻擊，其攻擊峰值達(dá)到665Gbps，Brian Krebs推測(cè)此次攻擊由Mirai僵尸發(fā)動(dòng)。

　　(3)2016年9月20日，Mirai針對(duì)法國網(wǎng)站主機(jī)OVH的攻擊突破DDoS攻擊記錄，其攻擊量達(dá)到1.1Tpbs，最大達(dá)到1.5Tpbs

　　(4)2016年9月30日，Anna-senpai在hackforums論壇公布Mirai源碼,并且嘲笑之前逆向分析人員的錯(cuò)誤分析。

　　(5)2016年10月21日，美國域名服務(wù)商Dyn遭受大規(guī)模DDoS攻擊，其中重要的攻擊源確認(rèn)來自于Mirai僵尸。

　　在2016年10月初，Imperva Incapsula的研究人員通過調(diào)查到的49,657個(gè)感染設(shè)備源分析發(fā)現(xiàn)，其中主要感染設(shè)備有CCTV攝像頭、DVRs以及路由器。根據(jù)這些調(diào)查的設(shè)備IP地址發(fā)現(xiàn)其感染范圍跨越了164個(gè)國家或地區(qū)，其中感染量最多的是越南、巴西、美國、中國大陸和墨西哥。

　　直到2016年10月26日，我們通過Mirai特征搜索shodan發(fā)現(xiàn)，當(dāng)前全球感染Mirai的設(shè)備已經(jīng)超過100萬臺(tái)，其中美國感染設(shè)備有418,592臺(tái)，中國大陸有145,778臺(tái)，澳大利亞94,912臺(tái)，日本和中國香港分別為47,198和44,386臺(tái)。

 1/5    1 2 3 4 5 下一頁 尾頁