Mirai (恶意软件)
Mirai(日语:ミライ[1],中文直譯「未來」[2][3])是一款恶意软件,它可以使运行Linux的计算系统成为被远程操控的“僵尸”,以达到通过僵尸网络进行大规模网络攻击的目的。Mirai的主要感染对象是可访问网络的消费级电子设备,例如网络监控摄像机和家庭路由器等[4]。Mirai构建的僵尸网络已经参与了几次影响广泛的大型分布式拒绝服务攻击(DDoS攻击),包括2016年9月20日针对计算机安全撰稿人布萊恩·克萊布斯个人网站的攻击、对法国网站托管商OVH的攻击[5],以及2016年10月Dyn公司网络攻击事件[6][7][8]。目前已经确认上述攻击全部由Mirai作者构建的僵尸网络发起的攻击。
原作者 | Anna-senpai(网名) |
---|---|
源代码库 | |
编程语言 | C(被控端),Go(控制端) |
操作系统 | Linux |
类型 | 僵尸网络 |
许可协议 | |
网站 | github |
Mirai的源代码已经以开源的形式发布至黑客论坛[9],其中的技术也已被其他一些恶意软件采用[10]。
根据一份泄露的软件作者之聊天记录,Mirai一名来自漫画改编的2011年日本动画《未来日记》[11];作者所用网名Anna-senpai(意为“安娜前辈”)则可能与日本輕小說《下流梗不存在的灰暗世界》中的角色——安娜·锦之宫有关。[12][13]
行为
受Mirai感染的设备会持续地在互联网上扫描物联网设备的IP地址。Mirai包含一张IP白名单表,其中包括专用网络的私有IP地址以及分配给美国邮政署和美国国防部的IP地址,使用这些地址的设备将不会受Mirai感染。[14]
在扫描到IP地址之后,Mirai会通过超过60种常用默认用户名和密码辨别出易受攻击的设备,然后登录这些设备以注入Mirai软件[15][5][16]。受感染的设备会继续正常工作,不过偶尔会出现卡顿,而且带宽消耗会增大[15]。设备在重新启动之前将一直保持受感染的状态。设备重启之后,除非用户立刻修改密码,几分钟之内设备很快会被再次感染[15]。Mirai还会在成功感染后删除设备上的同类恶意软件,并屏蔽用于远程管理的端口[17]。
互联网上有成千上万的物联网设备使用默认设置,这些设备都很容易受到感染。受感染的设备会监视一台下发命令与控制的服务器,该服务器将指示发起攻击的目标。[15]
在DDoS攻击中的使用
2016年9月20日,攻击者通过Mirai和BASHLITE[18]对Krebs on Security网站发动了DDoS攻击,攻击流量达到了620 Gbps[19]。Ars Technica报道称在对法国网站托管商OVH的攻击中发现了1 Tbps的攻击流量[5]。
2016年10月21日,Dyn公司提供的DNS服务遭到了数次通过Mirai发起的大型DDoS攻击,牵涉到的受感染物联网设备数量众多。这次攻击使得数个高访问量的网站无法正常打开,其中包括GitHub、Twitter、Reddit、Netflix和Airbnb等[20]。Mirai和这次攻击的关联最初是由Level 3 通信在报告中指出的[18][21]。
有深度学习方面的安全专家发现,Mirai构建的僵尸网络数量在Dyn攻击事件发生前后有稳定的上升。[22]
Mirai亦被用于2016年11月针对利比里亚互联网基础设施的攻击[23][24][25]。计算机安全专家Kevin Beaumont认为这次攻击的发动者与Dyn攻击相同[23]。
其他事件
2016年11月末,90万台德国电信用户的路由器因Mirai变种利用TR-064协议的一次失败尝试而崩溃,这些路由器由智易科技生产,受影响用户的互联网访问因此出现异常[26][27]。尽管另一家名为TalkTalk的运营商随后更新了他们的路由器,但仍有TalkTalk路由器感染上Mirai的另一支新变种[28]。
作者
Krebs on Security网站在2017年1月发布报告,认为Mirai的作者“Anna-senpai”真名为Paras Jha,是罗格斯大学学生和一家DDoS防御服务提供商总裁[11][29],但后者否认这一指控的真实性[30]。美国联邦调查局之后对其进行了盘问[31]。
2017年12月10日美国联邦调查局已经公布调查结果,而在此之前Mirai的作者已经被捕。该作者确实就是此前Krebs on Security研究人员认为的Paras Jha[32]。
参见
- 拒绝服务攻击
- 其他著名物联网恶意软件
外部链接
参考文献
- ^ IoT機器悪用、ウイルス「ミライ」世界で猛威. YOUMIURI ONLINE (読売新聞社). 2016-10-29 [2016-10-31]. (原始内容存档于2016-10-30).
- ^ 孫宇青. 美國網路遇駭 推特、亞馬遜遭殃. 自由時報. 2016-10-23 [2017-09-29]. (原始内容存档于2020-08-07).
- ^ 美主要網站遭駭客攻陷 升級國安層次. 自由時報. 2016-10-22 [2017-09-29]. (原始内容存档于2020-10-25).
- ^ Biggs, John. Hackers release source code for a powerful DDoS app called Mirai. TechCrunch. 2016-10-10 [2016-10-19]. (原始内容存档于2016-10-20) (英语).
- ^ 5.0 5.1 5.2 Bonderud, Douglas. Leaked Mirai Malware Boosts IoT Insecurity Threat Level. securityintelligence.com. 2016-10-04 [2016-10-20]. (原始内容存档于2016-10-21) (英语).
- ^ Hackett, Robert. Why a Hacker Dumped Code Behind Colossal Website-Trampling Botnet. Fortune.com. 2016-10-03 [2016-10-19]. (原始内容存档于2016-10-22) (英语).
- ^ Newman, Lily Hay. What We Know About Friday’s Massive East Coast Internet Outage. WIRED. [2016-10-21]. (原始内容存档于2016-10-22) (英语).
- ^ Dyn | crunchbase. [2016-10-23]. (原始内容存档于2019-12-26) (英语).
- ^ Statt, Nick. How an army of vulnerable gadgets took down the web today. The Verge. 2016-10-21 [2016-10-21]. (原始内容存档于2016-10-22) (英语).
- ^ Kan, Michael. Hackers create more IoT botnets with Mirai source code. ITWORLD. 2016-10-18 [2016-10-20]. (原始内容存档于2016-10-20) (英语).
- ^ 11.0 11.1 Who is Anna-Senpai, the Mirai Worm Author? — Krebs on Security. krebsonsecurity.com. 2017-01-17 [2017-01-23]. (原始内容存档于2017-01-22) (英语).
- ^ Heller, Michael. Release of Mirai IoT botnet malware highlights bad password security. TechTarget. 2016-10-04 [2016-10-31]. (原始内容存档于2016-10-31) (英语).
Both names Anna and Mirai reference Japanese anime.
- ^ Cox, Edward. Mirai IoT Botnet: 5 Fast Facts You Need to Know. Heavy.com. 2016-10-22 [2016-10-31]. (原始内容存档于2016-10-22) (英语).
3. ‘Mirai’s Author Has an Avi of Anime Character Anna Nishikinomiya and Mirai Means “Future” in Japanese
- ^ Zeifman, Igal. Breaking Down Mirai: An IoT DDoS Botnet Analysis. Incapsula. 2016-10-10 [2016-10-20]. (原始内容存档于2016-10-21) (英语).
- ^ 15.0 15.1 15.2 15.3 Moffitt, Tyler. Source Code for Mirai IoT Malware Released. Webroot. 2016-10-10 [2016-10-20]. (原始内容存档于2016-10-21) (英语).
- ^ Osborne, Charlie. Mirai DDoS botnet powers up, infects Sierra Wireless gateways. ZDNet. 2016-10-17 [2016-10-20]. (原始内容存档于2016-10-20) (英语).
- ^ Xander. DDoS on Dyn The Complete Story. ServerComparator. 2016-10-28 [2016-11-21]. (原始内容存档于2016-11-21) (英语).
- ^ 18.0 18.1 Double-dip Internet-of-Things botnet attack felt across the Internet. [2017-01-23]. (原始内容存档于2017-05-19) (英语).
- ^ The internet of stings. 经济学人. 2016-10-08 [2016-10-27]. (原始内容存档于2016-10-17) (英语).
- ^ Today the web was broken by countless hacked devices. theregister.co.uk. 2016-10-21 [2016-10-24]. (原始内容存档于2020-05-17) (英语).
- ^ Blame the Internet of Things for Destroying the Internet Today. Motherboard. VICE. [27 October 2016]. (原始内容存档于2016-10-24).
- ^ Deep Learning Security. Think Mirai DDoS is over? It ain’t!!. Medium. 2016-10-26 [2016-10-27]. (原始内容存档于2016-10-27) (英语).
- ^ 23.0 23.1 Unprecedented cyber attack takes Liberia's entire internet down. The Telegraph. [2016-11-21]. (原始内容存档于2021-01-26) (英语).
- ^ DDoS attack from Mirai malware 'killing business' in Liberia. PCWorld. [2016-11-21]. (原始内容存档于2016-11-22) (英语).
- ^ Massive cyber-attack grinds Liberia's internet to a halt. The Guardian. [2016-11-21]. (原始内容存档于2016-11-21) (英语).
- ^ Krebs, Brian. New Mirai Worm Knocks 900K Germans Offline. krebsonsecurity.com. 2016-11-30 [2016-12-14]. (原始内容存档于2016-12-20) (英语).
- ^ German leaders angry at cyberattack, hint at Russian involvement | Germany | DW.COM | 29.11.2016. Deutsche Welle. [2017-01-05]. (原始内容存档于2017-01-05) (英语).
- ^ New Mirai Variant Embeds in TalkTalk Home Routers. www.incapsula.com. [2016-12-18]. (原始内容存档于2016-12-22) (英语).
- ^ Coldewey, Devin. Mirai botnet creator unmasked as DDOS protection developer tempted by the dark side. TechCrunch. 2017-01-18 [2017-01-23]. (原始内容存档于2017-01-23) (英语).
- ^ Solidot | Krebs 找到 Mirai 僵尸网络可能的作者. www.solidot.org. 2017-01-20 [2017-01-23]. (原始内容存档于2017-01-23) (中文(简体)).
- ^ FBI questions Rutgers student about massive cyber attack. NJ.com. 2017-01-20 [2017-01-23]. (原始内容存档于2017-01-23) (英语).
- ^ 针对物联网设备的蠕虫病毒Mirai开发者已经被捕. [2017-12-15]. (原始内容存档于2020-08-13).