神秘網路蠕蟲出現,感染數萬設備卻不搞破壞,反而對抗其他木馬
本文作者:謝么,雷鋒網網路安全作者。
知乎上有這麼一個提問:
如果真的出現了金剛狼、蜘蛛俠這樣的“超級英雄”,你覺得這個世界變得更好了,還是更糟糕了?
有人覺得,如果需要一群自認為正義的“義警”來維護和平,那世界一定法制崩壞,爛透了。有人卻認為如果真的惡徒當道,超級英雄的出現必然是好事。
這個問題沒有結果,因為現實世界可能永遠不會出現超級英雄。然而,網路空間卻真的上演了類似情節:
一個名叫 Mirai 的惡意程式席捲了全世界超過100萬台設備,對互聯網設備肆意發起攻擊。最嚴重時,造成了大半個美國斷網事件(2016年10月美國大面積斷網事件)
正當所有人對它無能為力,另一個奇特的程式出現了,它同樣迅速傳播,卻不進行任何破壞,反而偷偷地將設備中的 Mirai 惡意程式的感染管道“幹掉”,並提醒人們注意安全。
沒人知道這個奇特程式從哪裡來的。
但是,這不就是網路版的超級英雄電影情節麼?
一群擁有超能力的變種人(Mirai 惡意程式)肆意妄為,正當人們束手無策陷入絕望,另一群擁有超能力者出現,試圖拯救陷於危難的人們……
這情節簡直能不再過癮!
▲X戰警海報(緬懷一下年輕時的狼叔)
一切還得從一頭惡魔被解開封印說起……
惡魔解封
2016年9月30日,被惹怒的駭客 Senpai 釋放了網路世界最恐怖的惡魔之一 ,Mirai 。那一天,全世界的安全研究者為之瘋狂。一個月之後,這個惡魔就已經感染了全球超過100萬台設備,而且數量依然急劇上升。
Mirai 其實只是個小小的惡意程式,但它會像寄生蟲一樣存在於設備中,不斷感染更多設備,並操縱設備來進攻,一個,十個、一百個,不斷傳播。就像喪屍電影的病毒感染一樣,一個咬一個,一個咬一個,最後喪屍席捲全球。
人們為這類蠕蟲程式起了個形象的名字 ——“僵屍網路”。
▲僵屍網路,圖片來自網路
在某些方面,Mirai 比真正的喪屍病毒更可怕。
首先,它就在你周圍。
我們常說未來是物聯網的時代,所有一切都變得智慧。對於僵屍網路來說,那將是一場饕餮盛宴。你家的網路攝像頭、智慧電視、智慧門鎖、電話、路由器、電燈、路由器等所有聯網設備都可能成為 Mirai 僵屍網路的“獵物”。
▲智慧家居,圖片來自網路
其次,Mirai 僵屍網路還具有強大的“重生”功能,你剛把自己被感染的設備上的Mirai病毒清除,可能不到一分鐘,就又被其他“喪屍”重新感染。
最可怕的是,電影中的喪屍沒有統一的指揮,不會進行有意識的集中攻擊,而 Mirai 僵屍網路背後卻有操縱者,他能操控成千上萬被感染的設備對某一個目標發起進攻,形成“喪屍軍團”。
你能想像幾十萬隻喪屍在一個人的指揮之下朝你攻擊過來的場景?
▲腦補場景,圖片來自網路
真實網路喪屍圍攻
2016年9月20日,著名的安全新聞網站 KrebsOnSecurity.com 就遭到了這樣的“喪屍圍攻”(DDoS 分散式拒絕攻擊), 網站一瞬間湧入大量流量,
網站伺服器頻寬瞬間被撐爆,攻擊峰值的網路流量達到每秒 665Gbps 。
同一天,法國網站主機OVH也遭到Mirai 的喪屍圍攻,DDoS 攻擊量最大達到 1.5Tpbs。
1.5Tbps 是什麼概念?雷鋒網再舉個例子作為對比:
2013年3月, 一次 300Gbps 的攻擊創下了歷史記錄,
被評價為“差點癱瘓歐洲網路”。1.5Tbps 是它的三倍。放在兩年前,兩三個歐洲都癱瘓了。
據宅客瞭解,國內一些中小城市總的頻寬也不一定有500G,也就是說,如果有這麼大的流量打到某個城市的IP上,這個城市多半要斷網。
這就是 Mirai 的威力。
2016年9月30號那天,Mirai 的作者 Senpai 做了一件什麼事?—— 他把 Mirai 的原始程式碼公佈到了網上,所有人都可以根據這些代碼來製作屬於自己的 Mirai 僵屍網路,都有機會指揮著成千上萬的“網路喪屍”,攻城掠地。
”我只管賺錢。現在很多人都把關注目光放在物聯網上,是時候把Mirai公佈出來了。” 釋放 Mirai 時,Senpai 似乎很淡定。
20多天后,整個美國出現了大面積斷網的情況,原因就是功能變數名稱解析服務商 DYN 遭到強大的DDOS攻擊,研究者發現了幾十萬個攻擊來源,這一切來源都指向了 Mirai 僵屍網路。
從那之後,網路上感染 Mirai 的設備數量急劇擴大,根據資料統計,第一個月就翻了一倍。公開的 Mirai 被人們收藏、標記了幾千次。
物聯網的僵屍暗戰
肆虐物聯網的僵屍並不只有 Mirai 。
▲吸血鬼、僵屍、喪屍……品種豐富
去年耶誕節之前,12月21日上午,美國觀測到一個由名為“Leet”的僵屍網路發起的攻擊,流量高達 650Gps。
之後,網上又出現了一個專門針對DVR硬碟錄影機感染的僵屍網路“Amnesia”,根據掃描結果,70多萬個目標籠罩在它的威脅之下。
幾個星期前的3月20日,一個和 Mirai 僵屍網路相似的名為 Brickerbot 的新型僵屍網路出現,和前者不同的是,它會直接幹掉被入侵的設備(永久性地破壞)。比如讓路口的攝像頭損壞,甚至有辦法讓你的智慧電飯煲炸掉……
各種各樣的僵屍網路,他們以各自的節奏侵襲著這個世界,也會為了爭奪一個攻擊目標而大打出手。
最近一個名為 “Bashlight”的僵屍網路家族就和 Mirai競爭激烈。因為感染目標大致相同,利用的方法也大同小異,都涉及設備運行的嵌入式Linux系統使用的 busybox 漏洞。
於是 Mirai 出手了,它會加密了感染設備和指令控制伺服器之間的流量,並且接管被Bashlight感染的設備,還會為設備打上補丁防止它們再次被競爭對手感染。
當一個獵物同時被吸血鬼和喪屍咬到,他到底會感染成吸血鬼還是喪屍?答案當然是看誰的毒性猛。當一台設備同時被兩個僵屍網路感染,到底誰能拿到控制權?看誰的技術NB。
目前,Bashlight 僵屍網路中的 近 10 萬台設備已被Mirai 控制。顯然 Mirai 更勝一籌。
“滾開,這是老子的獵物。”
轉機
就這樣,網路世界成千上萬的脆弱設備被各個僵屍網路不斷侵襲、瓜分,每個僵屍網路都想控制更多的物聯網設備控制權。一片混沌之中,兩個“僵屍大家族”脫穎而出,爭奪制霸物聯網的名號。
他們的名字是,Mirai 和 Hajime ,巧的是,在日語中的意思分別是 :“未來”—— “開始”
▲藍色是Hajime ,橙色的是 Mirai
這兩種僵屍蠕蟲的傳播方式類似,都是利用網路設備未採取保護措施的特性(比如一台網路路由器開放了遠端登入埠並使用預設密碼)進行傳播。
但是 Hajime 的行動更為隱秘,技術也更為先進。
與 Mirai 在命令和控制 C&C 伺服器使用硬編碼位址不同,Hajime 建立在一個點對點網路之上。也就是說,Mirai 有可能找到幕後的操縱者 (C&C伺服器),而 Hajime的幕後操縱者隱藏在任何一個感染者之中,更難溯源,也更難以摧毀。
▲就像電影《駭客帝國》中殺不死的病毒史密斯
安全公司賽門鐵克告訴雷鋒網,在過去的幾個月裡,Hajime 的傳播速度迅速。保守估計全球受感染的設備數量已經達到數萬台,中國是受感染的市場之一。
▲Hajime 感染地區分佈,來源:賽門鐵克安全公告
然而,安全研究人員驚奇地發現,Hajime 並不會執行惡意操作,也不包含任何分散式拒絕攻擊(Ddos)功能與代碼,反而每隔10分鐘向被感染的設備推送一個消息:
我們是保護系統的白帽子。我們將通過此方法展示重要資訊!
Hajime 製作者
聯繫關閉
請保持警惕!
甚至 Hajime 還做了一系列改善安全性的動作,比如阻擋 Mirai 賴以攻擊的埠(23、7547、5555 和 5358 的訪問),關閉這些埠,將有效組織設備被 Mirai 感染!
沒有人知道 Hajime 的製作者是誰,但是他卻在物聯網上用自己的方式説明設備阻擋 Mirai 的感染。
▲Hajime 全球感染情況
爭議 · 白帽子的白色蠕蟲?
Hajime 不是第一個所謂正義者試圖保護脆弱的物聯網設備的蠕蟲。
2014 至 2015 年,賽門鐵克就曾發現一個名為 Linux.Wifatch 蠕蟲軟體。該軟體由“白色團隊”(the white team ) 編寫,與 Hajime 的目的相似,試圖為物聯網設備提供安全保護。
這不就是超級英雄電影中蜘蛛俠、死侍的做派?—— “你們都讓開,讓我來”
正如電影中的超能力者受到爭議一樣,這種白色蠕蟲也備受爭議。
▲蜘蛛俠的正義和黑暗面,圖片來源《蜘蛛俠3》
有人覺得 Hajime 這種強行提供保護的方式並不合法,難保有一天 Hajime 的作者反戈。
根據 Hajime的代碼, 製造者可以隨時在網路中的人易受感染設備中打開Shell 腳本。由於使用了模組化代碼,設計者可以隨時添加新的功能。一旦製作者改變主意打算搞點事情,便可以立即將受感染的設備轉變成一個巨大的惡意僵屍網路。
有的人卻認為這是一件好事,既然有些不負責任的廠商不作為,人們對僵屍網路無能為力,為什麼不能以彼之道還治彼身?
甚至有的安全研究人員主動向 Hajime 提供幫助。在一篇關於Hajime 的研究報告中,安全人員發現了 Hajime 蠕蟲中的漏洞,於是免費提供了一份品質保證報告,提供了檢測這些漏洞的簽名。此後 Hajime 果然將這些漏洞一一修復。
在電影《蜘蛛俠3》中,蜘蛛俠被外星生物引誘而淪為黑暗蜘蛛俠,最終經歷一系列遭遇之後決定撕去黑暗,重回本質。在網路世界的超能力者駭客,他們同樣面臨金錢、貪欲等等引誘,他們可以選擇成為“超級英雄”,也可能淪為邪惡暴徒,無論如何,他人的質疑和自我的人性拷問都無法避免。
本文作者:謝么,雷鋒網網路安全作者。