僵尸网络新世界：摄像头的背叛和战争

本篇文章4881字，读完约12分钟

你正坐在窗前，喝着30杯咖啡，走在树下，太阳正在杀死你。

有没有这样的时刻，你突然觉得这个世界是错的？

一点都不对。

你是唯一一个站在同一个地方的人，在你身后，一张巨大的网正在形成它的纹理，注入血液并向你靠近。

你突然转身！

什么都没有。

雷锋的历史。com。

受访者| 360安全研究员李凤培

在僵尸网络的新世界里，你可能玩过“大球大战”或“大蛇大战”。

这些游戏就像戏剧中的场景，其中重复着冷酷无情的铁律:

“在这里，你我都不会蠢到告诉对手‘真相’，因为你的力量和体型是唯一的真相。”

在网络空间，每个人都退化成一个ip，甚至一串字符。隐藏在数字背后的弱肉强食法则更加简单明了。在现实世界中，山是王，在这里它变成了一个陷阱。这个网络是一个僵尸网络。

在黑客眼中，你的个人电脑、手机、ipad和硬件设备只是一个“强人”。他们用病毒木马来控制这些年轻人，谁控制了最多的年轻人，谁就拥有了最强大的“军队”，他们可以在网络世界中肆意战斗和攻击城市。

简而言之，使用恶意代码控制互联网上的设备会使它们像僵尸一样失去原有的“意识”。这些僵尸网络在c2(即控制器)的命令下一致行动，从而形成僵尸网络。僵尸网络的一个重要作用是ddos攻击，即同时启动这些硬件来访问特定的服务器，导致对方的网络瘫痪，无法正常运行。

李凤培在雷锋家的嘉宾频道上说。

他是360网络安全研究所的工程师。360年，网络安全研究所是神秘和保密的，并持有由全球网络数据组成的“世界地图”。

你认为世界是安静有序的。但是从这张数据图中，我们可以看到僵尸网络缠绕在你的周围，它们甚至爬进了你的家里，在角落里闪烁着微弱的灯光。

“僵尸军团”是这样传播的:

恶意机器人会扫描整个网络，一旦发现易受攻击的设备(计算机、硬件等)。)，他们会立即入侵并控制它们，把它们带进僵尸大军，然后用新的僵尸设备作为跳板继续感染其他设备。这与僵尸电影中病毒的指数传播模式非常相似。

这些僵尸军队从数千个设备到数百万个设备不等。事实上，你的装备很可能被一只僵尸军队控制着，而且你已经在网络世界中参与了几次火灾，但是你仍然是无知的。

网络世界中的第一次世界大战:幻影及其变种传统的僵尸网络主要控制个人电脑或服务器，但那是上一个时代的产物。新版本的僵尸网络瞄准了一个新目标，那就是许多人角落里的安静摄像头。

不要低估这些相机。世界上照相机的总数已达数千万，但这个数字只是几年前的一小部分。摄像机低调而安静，所以大多数人不会检查他们是否“健康”。但是这款摄像头同时也非常强大，它比普通硬件有更多的处理能力和网络带宽(因为它必须处理和上传视频数据)，这是僵尸网络攻击的最佳选择。

我现在说的不是什么新鲜事。一场大战已经爆发。

2016年，该病毒的制造商在互联网上发布了名为米拉伊的源代码。这种病毒专门用于控制许多品牌的相机。在被发布到网络上后，各大安全厂商迅速杀死了病毒，但病毒的代码很快被各行各业的黑客改写，成为变种并继续在网络中生存。

这就像我们在现实世界中对抗病毒一样。每当一种新药被成功开发出来，大多数病毒都可以被杀死，但是下面的部分总是能存活下来，适应新的药物，并成为更难杀死的变种。

黑客利用米拉伊家族迅速控制了全球数百万台摄像机，但在普通人眼里，一切都和以前一样平静。直到10月的一个晚上，美国东海岸的大多数人发现他们甚至不能登录twitter和cnn(我们从来没有登录过，也没有抱怨过，美国人只是在夸张)，相关部门才意识到一个主要的dns服务提供商，也就是URL解析服务，正受到mirai的攻击！

攻击持续了几个小时，黑客才选择停止。在此期间，美国经济最发达的东海岸处于网络瘫痪状态，经济损失超过20亿美元。这无异于又一次针对美国的“911”。

作为一名顶级安全研究员，李凤培对这个网络世界的“911”进行了评论:

因为米拉伊病毒的控制端不断变化，而且是匿名的，所以调查真正的凶手是非常昂贵的。

但这次袭击对我来说很愚蠢。从攻击者的角度来看，他至少做错了三件事:

1.他攻击了美国的域名解析服务，这将立刻导致许多网站瘫痪，引起公众的极大关注。

2.他攻击的流量非常大，远远超出了服务器的需求，这将引起政府的高度重视。

3.他被攻击的时间是在美国大选之前，这相当敏感，可能会邀请更多部门对他进行调查。

因为从病毒代码来看，质量非常高，而且很多地方都设计精美，我们可以知道作者是一个非常聪明的人，但是这次攻击导致了美国切断了互联网。所以我怀疑他的僵尸网络是租给别人的。

然而，即便如此，网络世界的最新一次世界大战仍然没有定论。到目前为止，美国人甚至不确定当时他们的对手是谁(如果不是因为美国的秘密)。

这是由摄像头组成的物联网设备僵尸网络的恐怖之处。

第二次世界大战即将来临:重组的摄像机然而，我们周围的噩梦远未结束。

2016年的僵尸网络世界大战更像是一场事故或示威。僵尸网络的正确使用类似于雇佣军。黑客收集金钱，为黄金所有者攻击敌人。这些攻击可能是金融机构攻击竞争对手，或者一些游戏攻击另一个团队。它们经常在地下涌动，攻击者不愿意说出来，也不愿意暴露它们。

在米拉伊造成美国互联网断网后，黑客控制的摄像头数量不仅没有减少，反而呈指数级增长。有人估计，通过在线设备检索平台shodan和了解于闯的空网络检测平台zoomeye，可能被mirai感染的摄像机数量在2000万到3000万之间。

根据360网络安全研究所发布的检测数据，可以确定捕获的被感染设备为200瓦，每天新增的活跃设备在1w-2w到2w之间..

▲截至2017年5月10日，mirai感染的僵尸设备累计已达近250万台，数据来自360网络安全研究所信息发布平台datalab.360

目前，我们检测到的由marai及其变种控制的设备可以通过单个控制终端攻击1tbps ddos(每秒1t流量)，这比人类历史上公布的最大攻击要大得多——去年，cdn服务巨头akamai遭受了约620g ddos攻击。

李凤培说这种情况令人担忧。

但这并不是所有的黑暗势力。

在浩瀚的网络海洋中有更多的“怪物”，一种名叫“哈吉姆”的特洛伊木马。像mirai一样，这个特洛伊木马也日夜攻击网络空房间的摄像头。然而，全世界都很难理解在整个hajime特洛伊木马中没有攻击代码。

就像我们身体中95%的dna一样，它不参与遗传和表达特征。它们的存在就像寄生一样，它的快速入侵使人们看不到动机，却又极度恐惧。

目前，hajime已经成为整个网络中的“隐形巨人”，就像房间里的一头大象。人们知道它的存在，但往往忽视它的影响。李凤培说道。

卡巴斯基首先报道了hajime，现在它的规模与mirai大致相当。它有大量的感染。虽然没有攻击代码，但在传播过程中可能会造成网络灾难。此外，仅仅因为它今天没有攻击代码，并不意味着它永远不会对人和动物有害，因为黑客对它拥有完全的根权限，可以随时将其升级为攻击武器。

令人惊讶的是，网络世界中最大的两个军团米拉伊和哈吉姆，在每一个镜头中都在激烈地战斗。

一旦病毒成功入侵摄像机并获得最高根权限，它将采取“堵门”政策，其他病毒无法进入。

一旦病毒侵入摄像机，由于各种程序错误，它无法获得最高权限，随后进来的对手将把它踢开，然后对手将踢开前一个。像这样循环。

许多用户的相机不仅不属于自己，还成为病毒之间的战场。

李凤培说道。

米拉伊和哈吉姆之间的混战正如火如荼地进行着，但是研究者突然发现一个新的特洛伊木马正在兴起。起初，他们认为这是一个新的米拉伊变种。然而，这种病毒很快占领了世界各地的许多摄像头，并不断发出扫描动作，在短时间内攀升至监控数据排行榜的前十名。李凤培和他的同事们必须注意这种势头。

在作者的历史上，雷锋。com是大师级的作家，希望用简单的语言解释科技的一切。

神秘的第三巨人:http81http81浮出水面。

“http81”是李凤培和他的团队给这个木马起的名字。2017年4月，该团队观察到了这个特洛伊木马。之所以称之为http81，是因为该木马不断扫描网络设备的“81”端口，这与mirai扫描的“23”端口明显不同。李凤培说，有三个因素可以区分这种木马病毒和米拉病毒:

传输模式不同:mirai最初主要扫描端口“23”，而http81主要扫描端口“81”。利用一个不同于所有米拉伊家族的漏洞。

通信模式:在通信协议方面，http81采用了一种不同于mirai的全新“自主开发”的通信协议。

攻击者测试:mirai最典型的攻击方法是jre和stomp攻击，而http81实现了一个全新的攻击者测试。

李凤培认为http81的作者也是一个聪明的人，具有良好的整体代码质量，是安全研究人员的强劲对手。当他将病毒报告给病毒总库(一个标有病毒的平台)时，在中国的57家安全供应商中有7家发现了这个问题。然而，这七家是外国供应商，他们中的一些人并不知道这种病毒的可怕性质，只是把它当作一个简单的米拉伊变种。

可怕的事情仍在发生。

在迅速感染4-5w设备后，http81已经成为物联网僵尸网络中的第三名，尽管它比前两者落后两个数量级。2017年4月23日，http81发起了第一次攻击。目标是一家俄罗斯银行。这让李凤培和他的同事们感到了更重的责任。由于该病毒的攻击域名位于伊朗，域名信息受到严格的隐私保护，中国安全研究人员对抗该病毒的最好方法是公布该病毒的技术细节。

在第一次攻击后的第二天，360选择在网络安全研究所的博客上发表关于该木马的研究报告，揭露其攻击方式。就在报告发送后的一天，http81突然将控制端解析为内部网段，并在48小时内停止了外部扫描扩展。

安全研究员李凤培对这个立竿见影的结果感到非常鼓舞。但他知道，所有这些只会减慢黑客的速度。因为http81的控制器显然只选择了休眠，有一天，只要他修改控制端口的数据，他就能让上帝马上睡觉。

▲根据360的报告，由于数据的地理限制，可以看出“http81”感染设备的分布主要局限在中国大陆。具体位置分布见上图(此图仅用于说明，未显示南海部分领海)。

在李凤培的数据地图上，每天都会增加几十个拥有100-1000个设备的僵尸网络。追踪这些僵尸网络将花费很多钱。作为一个安全企业，很难自行消除根本原因。

不久前，一家外国安全公司赛门铁克发布了一份报告，得出了一个令人震惊的结论:一个物联网设备在接入互联网2分钟后就会被僵尸网络控制。这是智能设备的安全状态。

这些物联网设备(如摄像头和路由器)的安全状态处于极其“尴尬”的状态。许多设备使用通用密码，如“admin”或“root”，其中大部分是用硬件编写的，不能更改。至于这些硬件系统，大部分都没有任何加固和升级机制。对于许多黑客来说，他们只需要移动他们的小手指。

根据高德纳的预测，到2020年，世界上物联网设备的数量将达到200亿台。很难想象如果200亿台设备被黑客控制会是一个多么可怕的场景。

李凤培表示，追踪http81的设备最终将被追踪到位于中国的一家白标相机制造商。事实上，许多相机制造商都位于智能硬件制造业发达的中国。然而，由于成本和意识，许多企业没有安全意识。

这就像个人电脑时代的历史。花了10年的时间，个人电脑系统才有了今天的安全意识，白帽子和漏洞的奖励机制，主要安全供应商的安全报告，智能硬件在短短几年内从零增长到数千万。制造商的安全意识的过程可能不会长达10年，但我们仍然要等待。

事实上，即使在以健全的法律制度著称的美国，国土安全部也只是在去年严重的网络断网事件后才发表了与物联网相关的战略文章，政府在此指导下的具体规定仍在制定之中。也许在正义的力量聚集之前，你我将继续在僵尸网络的阴影下等待。

太阳很猛烈，岁月很平静，远处的大坝出现了裂缝。

你突然停下来。

在作者的历史上，雷锋。(公开号码:雷锋。com)是大师级的作家，希望用简单的语言解释科学技术的一切。

雷锋原创文章。严禁擅自转载。详情请参考转载说明。

来源：搜狐微门户