Mirai 通过弱密码爆破摄像头形成僵尸网络——尼玛值得深思的是作者居然是做安全研究的

Mirai（日语：ミライ^[1]，中文直译“未来”^[2]^[3]）是一款恶意软件，它可以使运行Linux的计算系统成为被远程操控的“僵尸”，以达到通过僵尸网络进行大规模网络攻击的目的。Mirai的主要感染对象是可访问网络的消费级电子设备，例如网络监控摄像机和家庭路由器等^[4]。Mirai构建的僵尸网络已经参与了几次影响广泛的大型分布式拒绝服务攻击（DDoS攻击），包括2016年9月20日针对计算机安全撰稿人布莱恩·克莱布斯个人网站的攻击、对法国网站托管商OVH的攻击^[5]，以及2016年10月Dyn公司网络攻击事件^[6]^[7]^[8]。当前已经确认上述攻击全部由Mirai作者构建的僵尸网络发起的攻击。

Mirai的源代码已经以开源的形式发布至黑客论坛^[9]，其中的技术也已被其他一些恶意软件采用^[10]。

根据一份泄露的软件作者之聊天记录，Mirai一名来自漫画改编的2011年日本动画《未来日记》^[11]；作者所用网名（意为“安娜前辈”）则可能与日本轻小说《没有黄段子的无聊世界》中的角色——安娜·锦之宫有关。^[12]^[13]

行为

受Mirai感染的设备会持续地在互联网上扫描物联网设备的IP地址。Mirai包含一张IP白名单表，其中包括专用网络的私有IP地址以及分配给美国邮政署和美国国防部的IP地址，使用这些地址的设备将不会受Mirai感染。^[14]

在扫描到IP地址之后，Mirai会通过超过60种常用默认用户名和密码辨别出易受攻击的设备，然后登录这些设备以注入Mirai软件^[15]^[5]^[16]。受感染的设备会继续正常工作，不过偶尔会出现卡顿，而且带宽消耗会增大^[15]。设备在重新启动之前将一直保持受感染的状态。设备重启之后，除非用户立刻修改密码，几分钟之内设备很快会被再次感染^[15]。Mirai还会在成功感染后删除设备上的同类恶意软件，并屏蔽用于远程管理的端口^[17]。

互联网上有成千上万的物联网设备使用默认设置，这些设备都很容易受到感染。受感染的设备会监视一台下发命令与控制的服务器，该服务器将指示发起攻击的目标。^[15]

在DDoS攻击中的使用

2016年9月20日，攻击者通过Mirai和BASHLITE^[18]对Krebs on Security网站发动了DDoS攻击，攻击流量达到了620 Gbps^[19]。Ars Technica报道称在对法国网站托管商OVH的攻击中发现了1 Tbps的攻击流量^[5]。

2016年10月21日，Dyn公司提供的DNS服务遭到了数次通过Mirai发起的大型DDoS攻击，牵涉到的受感染物联网设备数量众多。这次攻击使得数个高访问量的网站无法正常打开，其中包括GitHub、Twitter、Reddit、Netflix和Airbnb等^[20]。Mirai和这次攻击的关联最初是由Level 3 通信在报告中指出的^[18]^[21]。

有深度学习方面的安全专家发现，Mirai构建的僵尸网络数量在Dyn攻击事件发生前后有稳定的上升。^[22]

Mirai亦被用于2016年11月针对利比里亚互联网基础设施的攻击^[23]^[24]^[25]。计算机安全专家Kevin Beaumont认为这次攻击的发动者与Dyn攻击相同^[23]。

其他事件

2016年11月末，90万台德国电信用户的路由器因Mirai变种利用TR-064协议的一次失败尝试而崩溃，这些路由器由智易科技生产，受影响用户的互联网访问因此出现异常^[26]^[27]。尽管另一家名为TalkTalk的运营商随后更新了他们的路由器，但仍有TalkTalk路由器感染上Mirai的另一支新变种^[28]。

作者

Krebs on Security网站在2017年1月发布报告，认为Mirai的作者“Anna-senpai”真名为Paras Jha，是罗格斯大学学生和一家DDoS防御服务提供商总裁^[11]^[29]，但后者否认这一指控的真实性^[30]。美国联邦调查局之后对其进行了盘问^[31]。

2017年12月10日美国联邦调查局已经公布调查结果，而在此之前Mirai的作者已经被捕。该作者确实就是此前Krebs on Security研究人员认为的Paras Jha^[32]。