10月22日凌晨，美國域名服務(wù)器管理服務(wù)供應(yīng)商Dyn稱其公司遭遇了DDoS（分布式拒絕服務(wù)）攻擊，包括Twitter、Tumblr、Netflix、亞馬遜、Shopify、Reddit、Airbnb、PayPal和Yelp等諸多網(wǎng)站無一幸免。

10月24日，安全博客 Security Affairs 上發(fā)布了一篇日志內(nèi)容，宣稱 RSA 曾在10月初公布了一項(xiàng)新發(fā)現(xiàn)：黑客曾在黑市中宣傳由其控制的、由龐大數(shù)量的 IoT 設(shè)備組成的僵尸網(wǎng)絡(luò)，其大致售價(jià)根據(jù)所購買的設(shè)備數(shù)量相關(guān)聯(lián)，其中50000個(gè)售價(jià)4600美元，100000個(gè)售價(jià)7500美元。

10月24日，國內(nèi)電子產(chǎn)品廠商雄邁表示在上周五美國發(fā)生的大規(guī)模網(wǎng)絡(luò)攻擊中，其產(chǎn)品無意中成為黑客“幫兇”；其產(chǎn)品中與默認(rèn)密碼強(qiáng)度不高有關(guān)的安全缺陷，是引發(fā)上周五美國大規(guī)模互聯(lián)網(wǎng)攻擊的部分原因。

白帽匯的安全研究人員給雷鋒網(wǎng)提供的后續(xù)研究報(bào)告認(rèn)為，這與安全研究人員的發(fā)現(xiàn)相吻合：被稱作Mirai 的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒一直在利用雄邁產(chǎn)品中的缺陷，在其中注入惡意代碼，并利用它們發(fā)動(dòng)大規(guī)模分布式拒絕服務(wù)攻擊，其中包括上周五的攻擊。除此以外，物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒“Mirai”還曾經(jīng)制造過多起DDoS 攻擊事件，包括在上月參與發(fā)起了針對(duì) KrebOnSecurity 安全站點(diǎn)的大規(guī)模分布式DDoS攻擊，流量達(dá)到1T；而 OVH 運(yùn)營商也曾遭到同樣手段的攻擊。

以下內(nèi)容均出自白帽匯的研究報(bào)告。 

1.Mirai功能介紹

這是一款基于Linux的ELF類型木馬，主要針對(duì)IoT設(shè)備，其中包含但不限于網(wǎng)絡(luò)攝像頭，路由器等。它可以高效掃描物聯(lián)網(wǎng)系統(tǒng)設(shè)備，感染采用出廠密碼設(shè)置或弱密碼加密的脆弱物聯(lián)網(wǎng)設(shè)備。被病毒感染后，該設(shè)備成為僵尸網(wǎng)絡(luò)機(jī)器人并可在黑客命令下發(fā)動(dòng)高強(qiáng)度僵尸網(wǎng)絡(luò)攻擊。 

Mirai主要由loader、cnc控制器、bot服務(wù)端構(gòu)成。loader主要用于創(chuàng)建服務(wù)端程序和狀態(tài)監(jiān)控；服務(wù)端程序包含了連接控制端、DDOS攻擊、下載并運(yùn)行文件功能。并且，服務(wù)端實(shí)現(xiàn)了反調(diào)試，近程隱藏，殺死系統(tǒng)進(jìn)程，并建立相應(yīng)端口的功能。DDoS攻擊支持udp、vse（Valve source engine specific flood）、dns、syn、ack、stomp、GRE ip flood、GRE Ethernet flood、http等洪水攻擊方式。傳播方式主要依靠爆破SSH和telnet弱口令。其中，包含了60余組用戶名和密碼的字典，掃描端口主要為23和2323。

2.潛在影響范圍

此次受影響的范圍涉及超過60余萬臺(tái)設(shè)備。

（此圖引用自360網(wǎng)絡(luò)研究院，如有侵權(quán)請(qǐng)聯(lián)系刪除）

目前，根據(jù)白帽匯安全實(shí)驗(yàn)室和廣大白帽子貢獻(xiàn)的fofa檢索規(guī)則，統(tǒng)計(jì)出共有1100萬攝像頭和路由器暴漏在公網(wǎng)（當(dāng)然這還不包括全部）。在此次受影響的設(shè)備中，國內(nèi)的雄邁和大華，中興存在很多。在top10的統(tǒng)計(jì)中就有雄邁和中興。

前十設(shè)備排名(紅色為此次受影響設(shè)備)

排名前五的網(wǎng)站地理位置分布（TOP 5）

 

HuaweiHomeGateway_Global

 

Plesk

  

海康威視（WW）

mikrotik

  

雄邁

3.Mirai的防護(hù)方法

1、若果開啟了telnet服務(wù)，請(qǐng)關(guān)閉Telnet服務(wù).

2、如果沒有使用TCP/48101端口，請(qǐng)禁用。這樣可以免受進(jìn)一步的損害。

3、修改初始口令以及弱口令，加強(qiáng)密碼安全。

4.Mirai清除

進(jìn)入系統(tǒng)后如發(fā)現(xiàn)帶有如下字符串的進(jìn)程請(qǐng)結(jié)束并刪除掉:

./{長字母字符串} alphabet

/dev/.{something}/dvrHelper

 

參考來源

http://blog.nsfocus.net/mirai-source-analysis-report/ 

http://www.toutiao.com/a6344836010480746753 

http://bobao.#/news/detail/3677.html 

http://securityaffairs.co/wordpress/52657/iot/lot-botnet-sale.html 

https://www.easyaq.com/newsdetail/id/359897463.shtml 

http://data.netlab.360.com/mirai-scanner

https://github.com/jgamblin/Mirai-Source-Code?http://data.netlab.360.com/feeds/mirai-scanner/scanner.list 

白帽匯對(duì)雷鋒網(wǎng)表示，后續(xù)會(huì)持續(xù)跟蹤此次事件。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。