物联网病毒是怎么回事？

故事要从一个叫做“Mirai”(日语词汇，本意为“未来”)的病毒说起。

美国东部时间2016年10月21日上午7：00左右,一场始于东海岸的大规模互联网瘫痪事件开始发生。前后三次，每次持续一到两个小时的大规模DDoS攻击使大半个美国的网络陷入瘫痪，包括Twitter、Netflix、Github、Airbnb、Visa等各大热门网站均出现了无法访问的情况，美食博主无法在推上晒出当日早餐，程序员无法在Github交流切磋，人们的网络生活突然变得乏味……但负担最重的还是企业，被动承受了软硬件维修升级的财务支出以及故障损失。

红色部分表示民众反应无法访问网站的区域，图源downdetector.com

很快，事件最直接的“受害者”——美国域名解析服务商 Dyn确认了这是一次跨越多个攻击向量及互联网位置的复杂攻击，涉及数千万个IP地址，并且攻击流量的主要来源之一就是受到僵尸网络感染的联网设备，比如路由器、摄像头，同时Dyn还确认了这组僵尸网络背后的病毒身份，就是一个月前出现在黑客论坛上的“Mirai”病毒。

简化一点来理解，Mirai发动攻击的流程分为两大步：

第一步，扩大僵尸网络规模，尽可能多地发现、攻击并感染网络中存在漏洞的IoT设备。

黑客首先会创造一批受Mirai感染的原始设备，这些设备会持续地、随机地在网络中扫描发现更多存在漏洞的IoT设备。在检测到目标以后，机制就会使用Mirai内置的超过60组默认账户密码(像是admin/admin)进行登陆，而一旦登录成功(因为很多IoT设备都使用默认设置，所以这种看起来低级的方法其实效率很高)，就会向C&C服务器报告以向设备下发下载Mirai病毒的指令。设备由此被感染并进入”肉鸡”状态，以备黑客在任何时候指挥发动攻击，秉持着“只要干不死，就往死里干”的精神而存在。

第二步，操纵”肉鸡”，向目标发起DDoS攻击。

DDoS攻击，又称分布式拒绝服务，通常利用大量的网络节点资源如IDC服务器、个人PC、手机、打印机、路由器、摄像头等智能设备对目标发送合理的服务请求，就此占用过多的服务资源，使服务器拥塞而无法对外提供正常服务。拥有足够肉鸡数量的Mirai向目标发起DDoS攻击，道理也是如此。

大断网事件之后，Mirai由此名声大噪，甚至有发言认为：“Mirai的横空出世表明DDoS攻击活动出现了新的转折点，IoT僵尸网络开始成为此类攻击的主力军。”

据测算，Mirai的威力在2016年11月达到峰值，当时它已控制了超过60万个物联网设备。

的确，当黑客们利用Mirai病毒在全世界收割了数量级如此庞大的设备，他们便有了一种统帅千军、发号施令的感觉，在利益或名气的趋势下做了很多法律允许之外的事，比如先攻击母校网站，再把安全服务卖给学校;比如攻击专门报道网络犯罪的博客网站，挫挫对方锐气;再比如刷单薅羊毛、网站刷浏览量、利用僵尸网络挖矿、或者向金主的竞争对手发起DDoS攻击……像这样的事还有很多。

那么跳到事件结局，我们发现制作Mirai病毒的3位年轻黑客早已被FBI逮捕，付出了应有的代价。但说到这您也许会问，既然幕后黑手已经落网，为什么还需要给Mirai那么长的篇幅特别说明?我们难道只是在看一份卷宗吗?

所以，接下来要说的就很关键。

在“大断网事件”之前一个月，主谋之一Paras Jha就在自己名为 Anna -Senpai的论坛账号上，用“开源”的精神完整地发布了Mirai病毒源代码，而他这份代码写得很优秀，具备了所有僵尸网络病毒的基本功能，可以说是底子很好。因此只要后来者有意愿、有能力在原始文档上做些改动，就可能改造出新的病毒变种，使其具备新的传染性与危害性，带来新的网络危机。

潘多拉魔盒就在此刻打开。

1. 由黑客BestBuy操纵的变种Mirai

2016年11月27日，欧洲最大的电信运营商德国电信(Telekom)旗下90万台路由器突然被恶意入侵，大量用户无法正常使用服务。

事后发现，当时德国电信为用户提供的路由器存在一个极大的漏洞，这个漏洞使路由器的7457端口直接暴露给外部网络，黑客正是通过变种的Mirai病毒疯狂地扫描互联网中所有设备的7457端口，进而把越来越多的路由器都纳入自己僵尸网络的麾下。

2. Satori

Satori是在2017年12月被发现的，名字同样来源于日语，意为“觉醒”。

Satori依然是Mirai的变种，但与Mirai使用扫描器搜索易被攻击的路由器不同，Satori利用路由器两个端口37215和52869中的漏洞来进行攻击，因此不需要别的组件就能够自行传播，快速扩大影响。

据研究人员表示，该病毒当时仅用了12个小时就成功激活超过28万个不同的IP，影响了数十万台路由器设备。

3. Satori的变种——Satori Coin Robber

因为快速、联合的防御行动，Satori的蔓延很快就被抑制住了，但黑客并没有善罢甘休。

2018年1月，研究人员检测到Satori的变种Satori Coin Robber。该病毒尝试在端口37215和52869上重新建立整个僵尸网络，并且开始渗透互联网上的挖矿设备，通过攻击其3333管理端口，把别人挖矿机的钱包地址改成自己的，从中获取直接利益。

4. DvrHelper

因为Mirai引发的事件影响太大，许多机构都在此后着重布置了DDoS防御解决方案。DvrHelper作为Mirai的变种，配置了8个DDoS攻击模块来增加攻击的力度，IP摄像头经常是它的目标。

5. Persirai

Mirai代码开源以后形成了特别大的影响，不仅让物联网产业看到了风险防控的重要性，也让很多恶意软件都选择以Mirai为参考向物联网设备发动进攻，Persirai就是闻讯而来的一股强大力量。

该病毒以暴露在公网中的IP摄像机为感染目标，在感染设备之后还会采用特殊的方法寄存在内存中并删除痕迹来躲避用户或者安全软件的检测。

此外，病毒作者竟考虑到IP摄像头资源有限，且针对这类的恶意软件实在太多，因此在感染设备后直接封堵漏洞，阻止后来者的感染攻击。

6. Hajime

Hajime病毒首次出现在安全研究人员视野中，是在2016年10月。

它有很多与Mirai相似的地方，比如抓”肉鸡”，利用存在漏洞的IoT设备进行传播，且预设的用户名和密码组合与Mirai完全相同而只是多出两组，但Hajime有一处关键的不同——它没有攻击性，不具备任何DDoS攻击功能。

因此Hajime更像是用一种“不管做什么，先把位子占了”的模式对病毒提出反抗，毕竟当设备被Hajime感染后，就能够阻挡外界通过23、7547、5555和5358这些常被Mirai利用的端口进行攻击。但Hajime的立场有很大争议，毕竟善恶只在一念间，而这些设备确确实实被其控制，未来的走向难以确定。

7. BrickerBot

物联网病毒中立场存疑的还有BrickerBot。

如果说Mirai是为了把设备组成僵尸网络以做黑产使用，BrickerBot却不这么想。

它不指望受感染设备变成”肉鸡”，反而通过一系列的指令清除设备文件，切断网络连接，直接让设备“变砖”。

后来网络中有人跳出称自己是BrickerBot作者，此举本意是为提醒用户自己的设备有安全问题，希望尽快修补漏洞，但这种把设备直接破坏却说“我是为你好”的方式也很难让人领情。

我们应该怎么做?

时至今日，安全研究员们已经捕获了数百种Mirai的变种样本，针对Mirai的长期研究足够被称得上是行业中的“Mirai学”。在此之外虽然还有其他的病毒网络，正对着物联网体系虎视眈眈，但这都是历史发展的必然， Windows/Linux系统、Android/IOS系统也是这样走过来的。只是到了IoT时代，步子迈得快了些，很多设备出现了漏洞，给了心怀不轨的人可乘之机。尤其是使用了弱口令及默认密码、内置密码;存在逻辑漏洞、公共组件历史漏洞的物联网设备风险最大。

对此的解决方案也有不少：

降低物联网设备风险的解决方案