全球60余万台IOT设备遭Mirai感染 中国成重灾区

2016-10-20 10:07:00 映象网 分享
参与

近期,由恶意软件Mirai组织的僵尸网络成为黑客DDoS攻击的主力,该僵尸网络遍布世界上160多个国家,通过Mirai感染网络摄像头等IOT设备后向企业发动大规模的DDoS攻击。国外安全公司Imperva 报告称,该公司已发现49657个受到Mirai感染的IOT设备IP,而据360网络安全研究院最新数据,全球范围内实际受感染的设备IP数量超过60万个,包括宁夏、甘肃、新疆、西藏等中国西部地区已成为Mirai感染的重灾区。

Mirai主要利用网络摄像设备的弱口令等安全漏洞实施入侵,在硬件Linux系统下生成随机用户,并植入恶意软件构建僵尸网络。据Level3、Flashpoint和F5等多家网络公司调查,遭受攻击的IOT设备主要为大华公司和雄迈科技等DVR生产商等制造的网络摄像设备,有上百万台此类设备暴露在互联网上,随时可能遭到僵尸网络的控制。

图:网络摄像设备是Mirai恶意软件感染的主要载体

以往僵尸网络主要是感染控制电脑和服务器,但近年来,越来越多僵尸网络开始瞄上网络摄像头等IOT硬件设备,比如此前国外另一个DDoS僵尸网络家族GAFGYT,感染对象和攻击手段与Mirai相似,也会扫描23 telnet端口的弱口令,并且主要针对IOT设备。这使得两者很容易被混淆,但其实它们的代码区别很大。

出现这种情况,一方面是因为信息化建设推动了各类IOT设备的普及,一旦感染大量设备可以形成强大的DDoS攻击力量;另一方面,此类IOT设备普遍具有“无更新、无加固、无监控”的三无特性,安全性极其薄弱,也为Mirai等恶意软件的入侵提供了便利。

360网络安全研究院官方博客提供的监测数据显示,Mirai僵尸网络集中出现于今年8、9月份,并且在8月初、8月末以及9月末有三次大规模的爆发。据监测,包括我国在内,俄罗斯、非洲、东南亚等地区成为Mirai僵尸网络肆虐的重灾区,而黑山塔吉克斯坦索马里这样的偏远国家也遭受不同程度的感染。在我国,安全运维水平较差的西部地区部分城市遭到Mirai感染的IOT设备数量相对较多。

今年9月6日,360网络安全研究院发现互联网上针对2323端口的扫描数量激增,经过持续追踪分析,之后确认为最新DDoS家族Mirai引发的大规模攻击。10月7日,国际组织Internet Storm Center也确认2323端口的流量剧烈变化是Mirai作祟。

图:360网络安全研究院监测显示我国成为Mirai感染重灾区

图:360网络安全研究院监测Mirai的活跃情况

调查显示,由Mirai僵尸网络发动的攻击存在很多中间节点和虚假通信来源,很难准确定位真正的幕后攻击者。有些安全研究员仍在调查这两起攻击,并希望找出两起攻击之间的联系和背后攻击力量,但从事网络安全和DDoS攻击防护的专家认为,由于两起DDOS攻击的波及范围和对物联僵尸网络的使用,使此次黑客攻击的追溯和调查毫无先例可循,只能从发掘该攻击指令入手,防止入侵。

目前,360网络安全研究院已成功在主控级别实时捕获Mirai攻击指令,并提供下载查询该僵尸网络IP信息的免费服务,以此帮助安全厂商有效防御DDoS攻击,已经遭到Mirai感染的摄像设备用户也可以通过查询及时清除恶意软件,以免成为DDoS攻击的“帮凶”。

责编:张阳