你好 请叫我网络蠕虫界的活雷锋

本篇文章3721字，读完约9分钟

作者:莫邪，《雷锋网络安全》的作者。

智虎身上有这样一个问题:

如果有像金刚狼和蜘蛛侠这样的“超级英雄”，你认为这个世界是变好了还是变坏了？

有些人认为，如果需要一群自以为是的“义务警员”来维护和平，那么世界法律体系将会崩溃，并彻底腐败。有些人认为如果邪恶的人掌权，超级英雄的出现将是一件好事。

这个问题没有定论，因为超级英雄可能永远不会出现在现实世界中。然而，网络空室真的上演了类似的情节:

一个名为mirai的恶意程序席卷了全世界100万台设备，肆意攻击互联网设备。在最严重的案例中，它造成了美国一半以上的网络断开事件(2016年10月美国发生的大规模网络断开事件)

正当每个人都无能为力的时候，另一个奇怪的程序出现了。它也传播很快，但不会造成任何损害。相反，它秘密地“杀死”设备中的mirai恶意程序的感染通道，并提醒人们注意安全。

没人知道这个奇怪的程序是从哪里来的。但这难道不是网络超级英雄电影的情节吗？

一群拥有超能力的变种人(mirai恶意程序)很任性，就在人们无助和绝望的时候，另一群有鬼魂出没的人出现了，试图拯救处于困境中的人们...

这个情节不能再令人愉快了！

▲x战警海报(记得狼叔叔小时候)

一切都要从一个恶魔被揭开开始...

恶魔启封2016年9月30日，愤怒的黑客森派发布了网上世界最恐怖的恶魔之一米拉伊。那天，全世界的安全研究人员都为之疯狂。一个月后，这个恶魔已经感染了全世界100多万台设备，而且这个数字还在急剧上升。

Mirai未来组合其实只是一个小的恶意程序，但它存在于像寄生虫一样的设备中，不断感染更多的设备，操纵设备进行攻击，一次、十次、一百次，不断传播。就像僵尸电影中的病毒感染一样，一个接一个的叮咬，最后僵尸席卷了世界。

人们给这种蠕虫程序起了一个生动的名字——“僵尸网络”。

▲僵尸网络，图片来自网络

在某些方面，米拉伊比真正的僵尸病毒更可怕。

首先，它就在你身边。

我们常说未来是物联网时代，一切都变得智能化。对于僵尸网络来说，这将是一场饕餮盛宴。家中所有联网设备，如网络摄像头、智能电视、智能门锁、电话、路由器、灯、路由器等。，可能会成为mirai僵尸网络的猎物。

▲智能家居，画面来自网络

其次，米拉伊僵尸网络也有强大的“重生”功能。您刚刚清除了受感染设备上的mirai病毒，它可能会在不到一分钟内被其他“僵尸”再次感染。

最可怕的是，电影中的僵尸没有统一的指挥，不会进行有意识的集中攻击，但米拉伊僵尸网络背后有一个操纵者，他可以控制数千个被感染的设备攻击某个目标，形成一个“僵尸军团”。

你能想象成千上万的僵尸在一个人的指挥下攻击你吗？

▲大脑补充场景，来自网络的图片

真实网络僵尸围攻2016年9月20日，著名的安全新闻网站krebsonsecurity遭受了这样的僵尸围攻(ddos分布式拒绝攻击)。大量流量瞬间涌入网站，网站服务器的带宽瞬间爆炸，网络流量峰值达到每秒665gbps。

同一天，法国网站主机ovh也遭到了mirai僵尸的围攻，ddos最大攻击量达到1.5次/秒

1.5 tbps的概念是什么？雷锋。com给出了另一个例子作为比较:

2013年3月，一次300gbps的攻击创造了历史记录，并被评估为“几乎瘫痪欧洲网络”。1.5tbps是那个的三倍。两年前，两三个欧洲人瘫痪了。

据居民所知，中国一些中小城市的总带宽不一定有500克，也就是说，如果某个城市的ip受到如此大的流量冲击，该城市很可能会与网络断开。

这就是米拉的力量。

2016年9月30日，米拉伊的作者森派做了什么？——他在网上发布了米拉伊的源代码，每个人都可以根据这些代码制作自己的米拉伊僵尸网络，他们都有机会指挥成千上万的“网络僵尸”攻击城市。

“我只是赚钱。现在很多人都在关注物联网，所以是时候宣布奇迹了。米拉伊被释放时，森派似乎很平静。

20多天后，美国的一大片互联网被切断。原因是域名解析服务提供商dyn遭到了强大的DDO攻击。研究人员发现了数十万个攻击源，所有这些都指向mirai僵尸网络。

从那以后，网络上感染mirai的设备数量急剧增加，据统计，第一个月就翻了一番。公众海市蜃楼已经被收集和标记了数千次。

Mirai未来组合不是唯一蹂躏物联网的僵尸。

▲吸血鬼，僵尸，僵尸...丰富多样

去年圣诞节前，12月21日上午，在美国观察到一个名为“leet”的僵尸网络发起的攻击，流量高达650个全球定位系统。

之后，一个僵尸网络“健忘症”出现在互联网上，专门针对dvr硬盘录像机感染。根据扫描结果，超过70万个目标受到威胁。

几周前，3月20日，一个新的僵尸网络出现了，它的名字叫brickerbot，类似于mirai僵尸网络。与前者不同，它会直接杀死入侵的设备(永久摧毁它)。例如，让十字路口的摄像头受损，甚至有办法炸毁你的智能电饭锅...

各种各样的僵尸网络，它们以自己的节奏入侵世界，它们也为一个攻击目标而战。

最近，一个名为“bashlight”的僵尸网络家族与mirai展开了激烈的竞争。因为感染目标大致相同，使用的方法也相似，它们都包含了运行在设备上的嵌入式linux系统所使用的busybox漏洞。

所以米拉伊开枪了。它对受感染设备和命令控制服务器之间的流量进行加密，接管被bashlight感染的设备，并对设备进行修补以防止它们再次被竞争对手感染。

当一个猎物同时被吸血鬼和僵尸咬了，他会被吸血鬼或僵尸感染吗？答案当然是看谁的毒性最强。当一个设备同时被两个僵尸网络感染时，谁能控制？看看谁的技术。

目前，bashlight僵尸网络中有近10万台设备被mirai控制。显然米拉伊更好。

“滚出去，这是老子的猎物。”

这样，网络世界中成千上万的脆弱设备不断被各种僵尸网络入侵和分割，每个僵尸网络都想控制更多物联网设备的控制权。在混乱中，两个“僵尸家族”脱颖而出，争夺主宰物联网的头衔。

他们的名字是米拉伊和哈吉姆。巧合的是，它们在日语中的意思是“未来”-“开始”

▲蓝色是朝日，橙色是米拉伊

这两种僵尸工具的传播方式类似，它们都是利用网络设备不采取保护措施的特性(如网络路由器打开远程登录端口并使用默认密码)传播的。

但是hajime的行为更加隐秘，技术更加先进。

与mirai的命令和控制c&c服务器的硬编码地址不同，hajime建立在对等网络上。也就是说，mirai可能会发现幕后操纵者(c&c服务器)，而hajime的幕后操纵者隐藏在任何被感染者体内，这更难追踪和摧毁。

▲就像电影《黑客帝国》中无法杀死的病毒史密斯

安全公司赛门铁克告诉雷锋，在过去的几个月里，朝觐迅速蔓延。据保守估计，世界上受感染设备的数量已达数万台，而中国是受感染市场之一。

▲朝觐感染区域的分布，来源:赛门铁克安全公告

然而，安全研究人员惊讶地发现，hajime不执行恶意操作，也不包括任何分布式拒绝攻击(ddos)功能和代码。相反，它每10分钟向受感染的设备发送一条消息:

我们是保护系统的白帽子。我们将以这种方式显示重要信息！

哈金制片人

接点闭合

请保持警惕！

甚至hajime也采取了一系列措施来提高安全性，比如封锁mirai攻击的端口(23、7547、5555和5358)，关闭这些端口将有效地组织设备被mirai感染！

没有人知道谁是hajime的制作人，但他在物联网上用自己的方式帮助设备阻止mirai感染。

▲哈吉姆全球感染情况

争议，白帽白虫？所谓的正义人士试图保护脆弱的物联网设备，Hajime并不是第一个蠕虫。

从2014年到2015年，赛门铁克发现了一款名为linux.wifatch的蠕虫软件。该软件由怀特团队编写，与hajime的目的相似，旨在为物联网设备提供安全保护。

这难道不是超级英雄电影《蜘蛛侠》和《死魂灵》的风格吗？-“你们都让开，让我来。”

正如电影中的幽灵是有争议的一样，这只白虫也是有争议的。

▲蜘蛛侠的正义与黑暗面，图片来源“蜘蛛侠3”

有些人认为对hajime的强制保护是非法的，很难保证有一天hajime的作者会背弃他。

根据hajime的代码，制造商可以随时打开网络中人们易受影响的设备的外壳脚本。由于模块化代码的使用，设计人员可以随时添加新的功能。一旦制作人改变主意并计划做些什么，他可以立即将被感染的设备变成一个巨大的恶意僵尸网络。

有些人认为这是一件好事。由于一些不负责任的制造商不采取行动，人们对僵尸网络无能为力。为什么他们不能用自己的方式对待彼此？

甚至一些安全研究人员也向hajime提供帮助。在一份关于hajime的研究报告中，安全人员发现了hajime蠕虫的漏洞，因此他们免费提供了一份质量保证报告，并提供了检测这些漏洞的签名。之后，hajime逐一修复了这些漏洞。

在电影《蜘蛛侠3》中，蜘蛛侠被外星生物引诱，变成了黑暗的蜘蛛侠。经过一系列的遭遇，蜘蛛侠决定撕裂黑暗，回归本质。在网络世界，经常出没的黑客也受到金钱、贪婪等的诱惑。他们可以选择成为“超级英雄”或者成为邪恶的暴徒。无论如何，其他人对人性的质疑和自我折磨是不可避免的。

作者:莫邪，《雷锋》网络安全作者(公开号:雷锋)。

雷锋原创文章。严禁擅自转载。详情请参考转载说明。

来源：搜狐微门户