1.什么是Mirai?

  Mirai是恶意软件,能够感染在ARC处理器上运行的智能设备,将其转变为远程控制的机器人或“僵尸”并组成网络。这种机器人网络称为僵尸网络,通常用于发动DDoS攻击。

  恶意软件是一个统称,包括计算机蠕虫、病毒、特洛伊木马、Rootkit和间谍软件。

  2016年9月,Mirai 恶意软件的作者在一个著名安全专家的网站上发起了DDoS攻击。一周后,他们向公众发布了源代码,目的可能是为了隐藏这次攻击的源头。此代码很快被其他网络罪犯复制,并且被认为是造成2016年10月域名注册服务提供商Dyn瘫痪的大规模攻击的幕后黑手。

2.Mirai如何工作?

  Mirai扫描Internet上运行于ARC处理器的IoT设备。这种处理器运行Linux操作系统的精简版本。如果设备没有更改默认的用户名和密码组合,Mirai能够登录并感染该设备。

  IoT 是物联网的简称,是可以连入Internet的智能设备的一个花名。这些设备可以是婴儿监视器、汽车、网络路由器、农业设备、医疗设备、环境监控设备、家用电器、数字录像机、中央控制摄像头、耳机或烟雾探测器等。

  Mirai僵尸网络雇用了十万个被劫持的IoT设备使Dyn瘫痪。

3.谁是Mirai僵尸网络的创造者?

  21岁的Paras Jha和20岁的Josiah White共同创立了 Protraf Solutions,这是一家提供DDoS攻击缓解服务的公司。他们是敲诈勒索的经典案例:他们的业务是提供DDoS缓解服务,而服务对象正是他们自己的恶意软件所攻击的组织。

4.为什么Mirai恶意软件仍然很危险?

  Mirai在不断变异。

  尽管原始创造者已被抓获,但他们的源代码仍然存在。目前已诞生了Okiru、Satori、Masuta和PureMasuta 等变体。例如,PureMasuta 能够将 D-Link 设备中的 HNAP 错误转变为武器。另一方面,OMG种类则能使IoT设备变身为让网络犯罪分子保持匿名的代理。

  最近还发现了非常厉害的僵尸网络,绰号为IoTrooper和Reaper,能够以比Mirai快得多的速度入侵IoT设备。Reaper能够瞄准大量设备制造商,而且对其机器人拥有更大的控制力。

5.僵尸网络有哪些不同的模型?

  集中式僵尸网络

  如果将僵尸网络比作戏剧作品,则C&C(命令与控制服务器,也称为C2)服务器是导演。剧中的演员就是被恶意软件感染并已加入讲师网络的机器人。

  当恶意软件感染设备时,机器人发出定时信号通知C&C它已到位。此连接会话保持打开,直到C&C准备好命令机器人执行其指令,例如发送垃圾邮件以及进行密码破解和DDoS 攻击等。

  在集中式僵尸网络中,C&C能够将僵尸主控机的命令直接传达给机器人。但是,C&C也是单一故障点:如果它被关闭,僵尸网络也将失效。

  分层C&C

  僵尸网络控制可以划分为多个层级,拥有多个C&C。专门的服务器组指定用于特定目的,例如,将机器人组织到小组里来传送指定的内容,等等。这使得僵尸网络更难以消灭。

  分散式僵尸网络

  对等(P2P)僵尸网络是新一代僵尸网络。P2P机器人不与集中式服务器通信,而是同时充当命令服务器和接收命令的客户端。这避免了集中式僵尸网络固有的单一故障点问题。由于P2P僵尸网络无需C&C即可运作,因此更难消灭。例如,Trojan.Peacomm和Stormnet就是P2P僵尸网络幕后的恶意软件。

6.恶意软件如何使IoT设备转变为机器人或僵尸?

  通常,电子邮件网络钓鱼是一种明显有效的感染计算机的方式,可以诱使受害者点击指向恶意网站的链接或下载受感染的附件。很多时候,恶意代码经过特意编写,让普通防病毒软件无法检测到。

  对于Mirai而言,用户无需做任何事情,只要新安装的设备上保留默认用户名和密码便可。

7.Mirai和点击欺诈之间有什么联系?

  按点击数付费(PPC),也称为按点击数计费(CPC),是一种在线广告形式,公司通过这种形式向网站付费以托管其广告。付款数额取决于站点访问者点击该广告的数量。

  以欺诈方式操纵CPC数据称为点击欺诈。这可以通过让人们手动点击广告、使用自动化软件或借助机器人来完成。这一过程可以为网站带来欺诈性利润,但要以投放这些广告的公司的利益为代价。

  Mirai的原始作者因将其僵尸网络出租给DDoS攻击和点击欺诈而被定罪。

8.为什么僵尸网络很危险?

  僵尸网络几乎能影响到人们生活的每个方面,不论使用的是IoT设备还是互联网。僵尸网络能够:

    • 攻击ISP,有时会导致合法流量遭受拒绝服务
    • 发送垃圾电子邮件
    • 发动DDoS攻击并关闭网站和API
    • 开展点击欺诈
    • 攻克网站上薄弱的CAPTCHA质询,以在登录过程中模仿人类行为
    • 窃取信用卡信息
    • 利用DDoS攻击威胁迫使公司支付赎金

9.为什么僵尸网络扩散难以遏制?

  阻止僵尸网络扩散如此困难的原因有很多:

  IoT设备所有者

  没有成本或服务中断,因此没有动力去保护智能设备。

  虽可通过重新启动来清除受感染的系统,但由于扫描潜在机器人的频率是恒定的,因此有可能在重新启动后几分钟内重新感染。这意味着,用户必须在重新启动后立即更改默认密码。否则,他们必须阻止设备访问 Internet,直到可以重置固件并离线更改密码。大多数设备所有者既没有专业知识,也没有相应的动力。

  ISP

  受感染设备在其网络上增加的流量通常与媒体流产生的流量无法相比,因此没有太多动机去关心这一点。

  设备制造商

  设备制造商鲜有动力投资于低成本设备的安全性。让他们对攻击承担责任也许是强制改变的一种方法,但在执行不严的地区可能不起作用。

  忽视设备安全性将带来巨大危险:例如,Mirai能够禁用防病毒软件,使检测成为一个难题。

  量级

  每年有超过15亿基于ARC处理器的设备涌向市场,数量如此庞大的设备被收进危害极大的僵尸网络,意味着这些恶意软件变体的潜在影响力正在攀升。

  简单

  僵尸网络工具包现成可用,无需精通技术。只要花费 14.99-19.99美元,就能租用僵尸网络一整个月。

  全球物联网安全标准

  没有全球实体或共识来制定和执行物联网安全标准。

  尽管某些设备有可用的安全补丁,但用户或许没有技能或动机去进行更新。许多低端设备制造商根本不提供任何维护。即使有提供维护的,通常也不长久。另外,一旦不再维护更新,设备便无法停用,因而无限期地处于不安全状态。

  全球执法

  难以追踪和起诉僵尸网络创建者使遏制僵尸网络扩散变得棘手;对于网络犯罪,没有职能与国际刑警组织相当并具有相应调查技能的全球性警察机构。在最新技术方面,全球执法部门通常无法跟上网络犯罪分子的脚步。

  现在,许多僵尸网络都采用一种称为 Fast Flux 的DNS技术,以隐藏用于下载恶意软件或托管网络钓鱼站点的域。这使得它们极难追踪和消灭。

10.僵尸网络感染是否会降低 IoT 设备的性能?

  可能会。偶尔,受感染的设备可能会运行缓慢,但它们大多数都可以正常工作。设备所有者没有很大的动力去想办法清除感染。

什么是Mirai僵尸网络的更多相关文章

  1. Mirai僵尸网络重出江湖

    近年数度感染数十万台路由器的僵尸网络程序Mirai,虽然原创者已经落网判刑,但是Mirai余孽却在网络上持续变种,现在安全人员发现,Mirai已经将焦点转向Linux服务器了. 安全公司Netcout ...

  2. Anna-senpai帖子翻译与Mirai源代码使用

    Anna-senpai这个人太好玩了,整件事就像没有黄段子的无聊世界那样. 无聊翻译了一下,顺便实验了效果. --------------------------------------------- ...

  3. 发送垃圾邮件的僵尸网络——药物(多)、赌博、股票债券等广告+钓鱼邮件、恶意下载链接、勒索软件+推广加密货币、垃圾股票、色情网站(带宏的office文件、pdf等附件)

    卡巴斯基实验室<2017年Q2垃圾邮件与网络钓鱼分析报告> 米雪儿 2017-09-07 from:http://www.freebuf.com/articles/network/1465 ...

  4. 护航者,腾讯云: 2017年度游戏行业DDoS态势报告—回溯与前瞻

    欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~ 作者:腾讯游戏云 前言 自14年开始,全球DDoS攻击持续爆发,攻击峰值不断创记录.2017年,这种依靠超大流量不断冲击服务器和带宽造成业务 ...

  5. 自学华为IoT物联网_07 物联网安全

    点击返回自学华为IoT物流网 自学华为IoT物联网_07 物联网安全 1. 物联网安全的事件 事件1: 特斯拉事件 车载终端被入侵,通过CAN总线命令可远程控制车辆启停: 本地关键信息存储未做保护,印 ...

  6. 知物由学 | 如何利用人工智能来对抗DDoS攻击?

    欢迎访问网易云社区,了解更多网易技术产品运营经验. "知物由学"是网易云易盾打造的一个品牌栏目,词语出自汉·王充<论衡·实知>.人,能力有高下之分,学习才知道事物的道理 ...

  7. DGA域名——可以每天只生成一个域名,因此最多存在365个 DGA域名;

    Mirai变种中的DGA 分享到: 发布时间:2016-12-12 16:02:57 作者:360网络安全研究院 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 那个导致美国断网 ...

  8. 2018_oakland_linuxmalware

    2018年oakland论文:理解linux恶意软件 论文地址:http://www.s3.eurecom.fr/~yanick/publications/2018_oakland_linuxmalw ...

  9. IoT设备上的恶意软件——通过漏洞、弱密码渗透

    2018年,是 IoT 高速发展的一年,从空调到电灯,从打印机到智能电视,从路由器到监控摄像头统统都开始上网.随着5G网络的发展,我们身边的 IoT 设备会越来越多.与此同时,IoT 的安全问题也慢慢 ...

随机推荐

  1. 重新整理 .net core 实践篇————配置应用[一]

    前言 本来想整理到<<重新整理.net core 计1400篇>>里面去,但是后来一想,整理 .net core 实践篇 是偏于实践,故而分开. 因为是重新整理,那么就从配置开 ...

  2. 登录框-element-ui 样式调节

    element-ui样式调节 首先设置布局 如果想要实现如下效果 需要两行,然后设置偏移,第一行中间只是站位,没有内容,可以考虑使用div占位,设置最小高度 el-card调整圆角 border-ra ...

  3. [云计算] OpenStack 发展史

    传统数据中心面临的问题 无法管理,资源利用率不高 资源分配不合理 初始成本高 发展阶段 IDC 托管/租用 VPS(虚拟专用主机/OpenVZ/XEN) 虚拟主机 云主机 虚拟化 服务器虚拟化 KVM ...

  4. 【转载】基于Linux命令行KVM虚拟机的安装配置与基本使用

    基于Linux命令行KVM虚拟机的安装配置与基本使用 https://alex0227.github.io/2018/06/06/%E5%9F%BA%E4%BA%8ELinux%E5%91%BD%E4 ...

  5. 微信收藏了很多语音,有一些比较有意义的,但是发现只能收藏在微信,没有办法导出了,请大神看清楚,是微信【收藏】的语音,ios或者安卓的方法都可以

  6. 单臂路由实现不同vlan间通信

    单臂路由实现不同vlan间通信 拓扑图 PC配置 PC1 :192.168.1.1 vlan10 192.168.1.254 PC2 :192.168.2.1 vlan20 192.168.2.254 ...

  7. megacli修复raid1硬盘

    megacli修复raid1硬盘 By HKL, Tuesday 27 August 2019, 评论 [ Hardware Operating ] 使用megaraid修复raid1掉线硬盘 使用说 ...

  8. Ubuntu 18.04安装 Adob Flash player

    1.Ctrl + Alt + T 打开命令终端,启用Canonical Partners Repository存储库 (最新的Flash插件位于Canonical Partners的存储库中,默认情况 ...

  9. Mac 使用 Parallels Desktop 虚拟机安装 win10 教程

    Parallels Desktop 介绍 Parallels Desktop 是一款运行在 Mac 电脑上的极为优秀的虚拟机软件,用户可以在 Mac OS X下非常方便运行 Windows.Linux ...

  10. Oracle中Table函数简单应用实例

    说明 表函数可接受查询语句或游标作为输入参数,并可输出多行数据. 该函数可以平行执行,并可持续输出数据流,被称作管道式输出. 应用表函数可将数据转换分阶段处理,并省去中间结果的存储和缓冲表. 优势 1 ...