RSA2017:专家揭密影响全球的Mirai僵尸网络到底有多“狠”?

RSA Conference 2017已经于美国时间2017年2月13日开幕,全球主流信息安全厂商、行业专家、安全从业者齐聚旧金山,共享这场行业盛宴。近两年来,由于安全威胁的不断演变和升级,网络安全已经成为需要全球共同治理和面对的难题。而在刚刚过去的2016年发生的几起全球重大网络安全事件中,都能看到Mirai的影子。在此次RSA大会上,360网络安全研究院研究员李丰沛发表主题演讲,针对Mirai僵尸网络的历史、危害和演进做出了详细的解读。

图片1360网络安全研究院研究员李丰沛现场发表演讲

李丰沛在演讲中提到,Mirai僵尸网络的成长非常快,从2016年8月才开始观察到,到了2016年10月21日就首先把美国打“断网”。而这之后,Mirai不断在全世界留下新的“犯案”记录,连续发动了针对新加坡、利比里亚、德国的DDoS攻击。

在美国断网事件中,美国域名解析服务提供商Dyn公司遭到了峰值达到1.1Tbps 的DDoS攻击,造成了美国东部大面积的网络瘫痪,包括Twitter、Facebook在内的多家美国网站无法通过域名访问。而造成半个美国互联网瘫痪的罪魁祸首,则是Mirai僵尸网络控制下的数以10万计的物联网设备。Mirai恶意程序通过扫描物联网设备,尝试默认通用密码进行登录操作,一旦成功即将这台物联网设备作为“肉鸡”纳入到僵尸网络里,进而操控其攻击其他网络设备。

李丰沛认为,这是一次典型“拒绝访问服务”(DDoS)网络攻击。域名服务商遭到了大量垃圾请求,这让 DNS 解析商完全无法应对,真正的请求也无法回答,互联网网站瘫痪。

而在之后的德国断网事件中,也是由于Mirai僵尸网络发起了针对 7547 端口的扫描,德国电信累积大约90万个路由器被Mirai僵尸网络的扫描过程打宕,并由此导致大面积网络访问受限。

我们看到,Mirai僵尸网络充分利用了防护薄弱且数量巨大的物联网设备,白帽子们以往总是针对物联网设备的脆弱性在喊狼来了,结果Mirai一出现就成为让人头疼的威胁。而时至今日,越来越多的物联网设备开始接入互联网,防护困难甚至对安全性的忽视,使得物联网设备里的应用程序体异常脆弱,很容易被攻击者发现漏洞并利用。Mirai僵尸网络的规模很快就要到两百万,这个量级比大多数的僵尸网络大2~3个数量级。

另外,由于物联网设备存在设备分散、责权不清,早期设备甚至都没法远程升级等问题,这就导致了就算知道其防护不力,也没有办法进行修复。

Mirai僵尸网络的出现可谓影响深远,美国在断网事件发生26天后,美国国土安全部DHS就发布了《保障物联网安全战略原则》,其中提出,物联网制造商必须在产品设计阶段构建安全,否则可能会被起诉。DHS网络政策助理部长Robert Silvers表示,“需要在设计阶段构建安全。安全不应该是马后炮。例如,我们需要内置、难以破解的密码,可靠的操作系统升级,并促进安全更新和漏洞管理。”

工信部发布的《物联网发展规划(2016-2020年)》中,也提出了物联网产业未来五年发展的主要任务,在物联网关键技术标准制定、关键核心技术创新、行业标准研制、物联网与行业领域的深度融合等方面给出了详细的指导意见。

最后,李丰沛谈到,由Mirai僵尸网络而导致的一系列断网事件,不仅仅会是年度DDoS事件,甚至在未来几年内都会有着重要的影响。目前,全世界的安全社区都在针对Mirai僵尸网络及物联网安全问题进行研究,360也在本届RSA大会上向全世界安全社区推出了ScanMon系统,ScanMon系统可提供全球范围内实时和历史扫描行为的监控和分析。360网络安全研究院在针对 mirai 僵尸网络出现、发展、新变种的持续跟踪中,就大量借助了 ScanMon 的能力。目前,该系统免费向安全社区开放。