去年干掉Dyn讓全球多家大型網(wǎng)站無法訪問的DDoS攻擊始作俑者——Mirai僵尸網(wǎng)絡(luò),至今依然逍遙法外。
據(jù)Dyn公司估測,2016年10月致其服務(wù)中斷的DDoS攻擊中,至少涉及了10萬臺被Mirai感染的設(shè)備。11月7號,安全評級公司SecurityScorecard發(fā)布一份研究結(jié)果,稱即便在面世1年之后,Mirai僵尸網(wǎng)絡(luò)感染依然廣泛。
2017年7月到9月間,SecurityScorecard在公網(wǎng)上發(fā)現(xiàn)34,062個IPv4地址,呈現(xiàn)出被Mirai物聯(lián)網(wǎng)(IoT)惡意軟件感染的嵌入式設(shè)備所表現(xiàn)出的癥狀。而2016年8月1日到2017年7月31日的1整年間,感染Mirai IoT惡意軟件的IoT設(shè)備IPv4地址數(shù)量為184,258個。
即便該僵尸網(wǎng)絡(luò)更小更分散,依然對互聯(lián)網(wǎng)安全產(chǎn)生了威脅。
其他安全專家也贊同該評估。Mirai僵尸主機數(shù)量的下降,與IoT安全的改善毫無關(guān)系。比如用戶給DVR之類最易被感染的設(shè)備打上補丁。而是在于Mirai不是長期駐留型,感染在主機重啟后就會消失。Mirai攻擊的是基于中國電子設(shè)備廠商雄邁的DVR,這些設(shè)備很不穩(wěn)定,可以很容易地遠程重啟它們——不用經(jīng)過身份驗證。
因此,沒有哪個僵尸網(wǎng)絡(luò)操控者可以創(chuàng)建單一大型僵尸網(wǎng)絡(luò)——DVR會隨機重啟,需要盡快再次入侵。
其他更近期的IoT僵尸網(wǎng)絡(luò),比如最具代表性的Reaper,則展現(xiàn)出更大的安全風(fēng)險。
對Dyn公司的攻擊,發(fā)生在信息安全博主布萊恩·克雷布斯的網(wǎng)站遭攻擊之后,德國電信和TalkTalk的路由器被Mirai變種發(fā)起DDoS攻擊之前。所有這些都發(fā)生在去年。用IoT設(shè)備當攻擊平臺的高調(diào)DDoS攻擊為什么沒有延續(xù),是個令人費解的問題,尤其是在傷害潛力不減的情況下。
比如說,上月,安全研究員特洛伊·穆爾什和尼爾·克拉維茲博士,發(fā)現(xiàn)了有EnGenius路由器構(gòu)成的類Mirai僵尸網(wǎng)絡(luò)。穆爾什稱,自2月以來,他已在網(wǎng)絡(luò)中發(fā)現(xiàn)了9萬臺被控設(shè)備。
Mirai源代碼于2016年10月初泄露,就在Dyn公司遭DDoS攻擊前3周。這開啟了僵尸網(wǎng)絡(luò)養(yǎng)殖模仿作案的大門。
情況如何?
SecurityScorecard公司的Mirai情報,提供了感染該IoT惡意軟件設(shè)備的現(xiàn)狀分析。
2017年第3季度,教育產(chǎn)業(yè)是受Mirai變種影響最大的行業(yè),緊隨其后的是能源、制造業(yè)、娛樂行業(yè)和金融服務(wù)業(yè)。
這一階段受Mirai活動影響最嚴重的國家,是墨西哥,然后是中國、美國、巴西和土耳其。
墨西哥Mirai感染的盛行,是其IoT系統(tǒng)推廣工作的副產(chǎn)品,比如最近推出的面向IoT的地區(qū)性專用通訊服務(wù)。