Mirai僵尸网络成DDoS攻击主力 360推出免费查询服务

2016年10月21日12:21 来源:财经新闻网T|T

【移动通信网】近期,由恶意软件Mirai组织的僵尸网络成为黑客DDoS攻击的主力,该僵尸网络遍布世界上160多个国家,通过Mirai感染网络摄像头等IOT设备后向企业发动大规模的DDoS攻击。国外安全公司Imperva报告称,该公司已发现49657个受到Mirai感染的IOT设备IP,而据360网络安全研究院最新数据,全球范围内实际受感染的设备IP数量超过60万个,包括宁夏、甘肃、新疆、西藏等中国西部地区已成为Mirai感染的重灾区。

Mirai主要利用网络摄像设备的弱口令等安全漏洞实施入侵,在硬件Linux系统下生成随机用户,并植入恶意软件构建僵尸网络。据Level3、Flashpoint和F5等多家网络公司调查,遭受攻击的IOT设备主要为大华公司和雄迈科技等DVR生产商等制造的网络摄像设备,有上百万台此类设备暴露在互联网上,随时可能遭到僵尸网络的控制。

图:网络摄像设备是Mirai恶意软件感染的主要载体

以往僵尸网络主要是感染控制电脑和服务器,但近年来,越来越多僵尸网络开始瞄上网络摄像头等IOT硬件设备,比如此前国外另一个DDoS僵尸网络家族GAFGYT,感染对象和攻击手段与Mirai相似,也会扫描23telnet端口的弱口令,并且主要针对IOT设备。这使得两者很容易被混淆,但其实它们的代码区别很大。

出现这种情况,一方面是因为信息化建设推动了各类IOT设备的普及,一旦感染大量设备可以形成强大的DDoS攻击力量;另一方面,此类IOT设备普遍具有“无更新、无加固、无监控”的三无特性,安全性极其薄弱,也为Mirai等恶意软件的入侵提供了便利。

360网络安全研究院官方博客提供的监测数据显示,Mirai僵尸网络集中出现于今年8、9月份,并且在8月初、8月末以及9月末有三次大规模的爆发。据监测,包括我国在内,俄罗斯、非洲、东南亚等地区成为Mirai僵尸网络肆虐的重灾区,而黑山、塔吉克斯坦、索马里这样的偏远国家也遭受不同程度的感染。在我国,安全运维水平较差的西部地区部分城市遭到Mirai感染的IOT设备数量相对较多。

今年9月6日,360网络安全研究院发现互联网上针对2323端口的扫描数量激增,经过持续追踪分析,之后确认为最新DDoS家族Mirai引发的大规模攻击。10月7日,国际组织InternetStormCenter也确认2323端口的流量剧烈变化是Mirai作祟。

图:360网络安全研究院监测显示我国成为Mirai感染重灾区

图:360网络安全研究院监测Mirai的活跃情况

调查显示,由Mirai僵尸网络发动的攻击存在很多中间节点和虚假通信来源,很难准确定位真正的幕后攻击者。有些安全研究员仍在调查Mirai僵尸网络对BrianKrebs个人网站和法国网络服务商OVH发动的DDoS攻击事件,并希望找出两起攻击之间的联系和背后攻击力量,但从事网络安全和DDoS攻击防护的专家认为,由于两起DDOS攻击的波及范围和对物联僵尸网络的使用,使此次黑客攻击的追溯和调查毫无先例可循,只能从发掘该攻击指令入手,防止入侵。

目前,360网络安全研究院已成功在主控级别实时捕获Mirai攻击指令,并提供下载查询该僵尸网络IP信息的免费服务(http://data.netlab.360.com/mirai-scanner),以此帮助安全厂商有效防御DDoS攻击,已经遭到Mirai感染的摄像设备用户也可以通过查询及时清除恶意软件,以免成为DDoS攻击的“帮凶”。


微信扫描分享本文到朋友圈
扫码关注5G通信官方公众号,免费领取以下5G精品资料
  • 2、回复“6G31”免费领取《基于云网融合的6G关键技术白皮书
  • 3、回复“IM6G”免费领取《6G典型场景和关键能力白皮书
  • 4、回复“SPN2”免费领取《中国移动SPN2.0技术白皮书
  • 5、回复“LTKJ7”免费领取《联通科技周17本白皮书合集
  • 6、回复“5g-a”免费领取《中国联通5G-A通感算融合技术白皮书
  • 7、回复“URLLC”免费领取《中国联通5GURLLC技术白皮书
  • 8、回复“LDSL”免费领取《中国移动算力网络技术白皮书
  •   最热通信招聘

      最新招聘信息

    最新技术文章

    最新论坛贴子