Mirai僵尸网络成DDoS攻击主力 360推出免费查询服务

　　近期，由恶意软件Mirai组织的僵尸网络成为黑客DDoS攻击的主力，该僵尸网络遍布世界上160多个国家，通过Mirai感染网络摄像头等IOT设备后向企业发动大规模的DDoS攻击。国外安全公司Imperva 报告称，该公司已发现49657个受到Mirai感染的IOT设备IP，而据360网络安全研究院最新数据，全球范围内实际受感染的设备IP数量超过60万个，包括宁夏、甘肃、新疆、西藏等中国西部地区已成为Mirai感染的重灾区。

　　Mirai主要利用网络摄像设备的弱口令等安全漏洞实施入侵，在硬件Linux系统下生成随机用户，并植入恶意软件构建僵尸网络。据Level3、Flashpoint和F5等多家网络公司调查，遭受攻击的IOT设备主要为大华公司和雄迈科技等DVR生产商等制造的网络摄像设备，有上百万台此类设备暴露在互联网上，随时可能遭到僵尸网络的控制。

　　图：网络摄像设备是Mirai恶意软件感染的主要载体

　　以往僵尸网络主要是感染控制电脑和服务器，但近年来，越来越多僵尸网络开始瞄上网络摄像头等IOT硬件设备，比如此前国外另一个DDoS僵尸网络家族GAFGYT，感染对象和攻击手段与Mirai相似，也会扫描23 telnet端口的弱口令，并且主要针对IOT设备。这使得两者很容易被混淆，但其实它们的代码区别很大。

　　出现这种情况，一方面是因为信息化建设推动了各类IOT设备的普及，一旦感染大量设备可以形成强大的DDoS攻击力量;另一方面，此类IOT设备普遍具有“无更新、无加固、无监控”的三无特性，安全性极其薄弱，也为Mirai等恶意软件的入侵提供了便利。

　　360网络安全研究院官方博客提供的监测数据显示，Mirai僵尸网络集中出现于今年8、9月份，并且在8月初、8月末以及9月末有三次大规模的爆发。据监测，包括我国在内，俄罗斯、非洲、东南亚等地区成为Mirai僵尸网络肆虐的重灾区，而黑山、塔吉克斯坦、索马里这样的偏远国家也遭受不同程度的感染。在我国，安全运维水平较差的西部地区部分城市遭到Mirai感染的IOT设备数量相对较多。

　　今年9月6日，360网络安全研究院发现互联网上针对2323端口的扫描数量激增，经过持续追踪分析，之后确认为最新DDoS家族Mirai引发的大规模攻击。10月7日，国际组织Internet Storm Center也确认2323端口的流量剧烈变化是Mirai作祟。

　　图：360网络安全研究院监测显示我国成为Mirai感染重灾区

　　图：360网络安全研究院监测Mirai的活跃情况

　　调查显示，由Mirai僵尸网络发动的攻击存在很多中间节点和虚假通信来源，很难准确定位真正的幕后攻击者。有些安全研究员仍在调查Mirai僵尸网络对Brian Krebs个人网站和法国网络服务商OVH发动的DDoS攻击事件，并希望找出两起攻击之间的联系和背后攻击力量，但从事网络安全和DDoS攻击防护的专家认为，由于两起DDOS攻击的波及范围和对物联僵尸网络的使用，使此次黑客攻击的追溯和调查毫无先例可循，只能从发掘该攻击指令入手，防止入侵。

　　目前，360网络安全研究院已成功在主控级别实时捕获Mirai攻击指令，并提供下载查询该僵尸网络IP信息的免费服务，以此帮助安全厂商有效防御DDoS攻击，已经遭到Mirai感染的摄像设备用户也可以通过查询及时清除恶意软件，以免成为DDoS攻击的“帮凶”。