什麼是 Mirai 機器人網路?

Mirai 惡意軟體可以利用 IoT 裝置中的安全漏洞,而且有能力駕馭數百萬 IoT 裝置的集體力量,組成殭屍網路來發動攻擊。

學習目標

閱讀本文後,您將能夠:

  • 瞭解 Mirai 殭屍網路
  • 瞭解殭屍網路的變異情況
  • 瞭解殭屍網路為什麼危險
  • 瞭解 IoT 裝置與殭屍網路的關聯性

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

Mirai 是什麼?

Mirai 是惡意軟體,能夠感染在 ARC 處理器上執行的智慧型裝置,將其轉變為遠端控制的機器人或「殭屍」並組成網路。這種機器人網路稱為殭屍網路,通常用於發動 DDoS 攻擊。

殭屍網路:聯網的惡意機器人

惡意軟體是一個總稱,包括電腦蠕蟲、病毒、特洛伊木馬程式、rootkit 和間諜軟體。

2016 年 9 月,Mirai 惡意軟體的作者在一個著名安全專家的網站上發起了 DDoS 攻擊。一周後,他們向公眾發布了原始程式碼,目的可能是為了隱藏這次攻擊的源頭。此程式碼很快被其他網路罪犯複製,並且被認為是造成 2016 年 10 月網域註冊服務提供者 Dyn 癱瘓的大規模攻擊的背後原因。

Mirai 如何運作?

Mirai 會在網際網路中掃描在 ARC 處理器上執行的 IoT 裝置。該處理器執行精簡版的 Linux 作業系統。如果預設的使用者名稱和密碼組合沒有變更,Mirai 可以登入裝置並感染它。

IoT 是物聯網的縮寫,這是一個時髦的詞彙,表示可以連接到網際網路的智慧型裝置智。這些裝置可以是嬰兒監視器、車輛、網路路由器、農業裝置、醫療裝置、環境監控裝置、家用電器、DVR、CC 攝影機、耳機或煙霧偵測器。

Mirai 殭屍網路使用了十萬個被劫持的 IoT 裝置使 Dyn 癱瘓。

誰是 Mirai 殭屍網路的創造者?

21 歲的 Paras Jha 和 20 歲的 Josiah White 共同創立了 Protraf Solutions,這是一家提供 DDoS 攻擊緩解服務的公司。他們是敲詐勒索的經典案例:他們的業務是提供 DDoS 緩解服務,而服務對象正是他們自己的惡意程式碼所攻擊的組織。

為什麼 Mirai 惡意軟體仍然危險?

Mirai 正在變異。

儘管原始創造者已被抓獲,但它們的原始程式碼仍然存在。目前已誕生了 Okiru、Satori、Masuta 和 PureMasuta 等變體。例如,PureMasuta 能夠將 D-Link 裝置中的 HNAP 錯誤轉變為武器。另一方面,OMG 種類則能使 IoT 裝置變身為讓網路罪犯保持匿名的代理。

最近還發現了非常厲害的殭屍網路,暱稱為 IoTrooper 和 Reaper,能夠以比 Mirai 快得多的速度入侵 IoT 裝置。Reaper 能夠瞄準大量裝置製造商,而且對其機器人擁有更大的控制力。

有哪些不同的殭屍網路模型?

集中式殭屍網路

如果將殭屍網路比作戲劇作品,則 C&C(命令與控制伺服器,也稱為 C2)伺服器是導演。劇中的演員就是被惡意軟體感染並已加入殭屍網路的機器人。

當惡意軟體感染裝置時,機器人發出定時訊號通知 C&C 它已到位。此連線工作階段保持開啟,直到 C&C 準備好命令機器人執行其指令,例如傳送垃圾郵件以及進行密碼破解和 DDoS 攻擊等。

在集中式殭屍網路中,C&C 能夠將命令直接傳達給機器人。但是,C&C 也是單一故障點:如果它被關閉,殭屍網路也將失效。

分層的 C&C

殭屍網路控制可以劃分為多個層級,擁有多個 C&C。專門的伺服器群組指定用於特定目的,例如,將機器人劃分為小組來傳送指定的內容,等等。這使得殭屍網路更難以消滅。

分散式殭屍網路

對等 (P2P) 殭屍網路是新一代殭屍網路。P2P 機器人不與集中式伺服器通訊,而是同時充當命令伺服器和接收命令的用戶端。這避免了集中式殭屍網路固有的單一故障點問題。由於 P2P 殭屍網路無需 C&C 即可運作,因此更難消滅。例如,Trojan.Peacomm 和 Stormnet 就是 P2P 殭屍網路幕後的惡意軟體。

惡意軟體如何將 IoT 裝置轉變為機器人或殭屍?

一般來說,電子郵件網路釣魚是感染電腦的一種明顯有效的方法——受害者受到誘騙,點擊指向惡意網站的連結,或下載受感染的附件。很多時候,惡意程式碼的編寫方式使常見的防病毒軟體無法偵測到它。

對於 Mirai 而言,使用者無需做任何事情,只要新安裝的裝置上保留預設使用者名稱和密碼不變更便可。

Mirai 和點擊詐騙之間有什麼關聯?

按點擊付費 (PPC),也稱為按點擊計費 (CPC),是一種線上廣告形式,公司透過這種形式向網站付費以託管其廣告。付款數額取決於網站訪客點擊該廣告的數量。

以欺詐方式操縱 CPC 資料稱為點擊欺詐。這可以透過讓人們手動點擊廣告、使用自動化軟體或藉助機器人來完成。這一過程可以為網站帶來欺詐性利潤,但要以廣告投放公司的利益為代價。

Mirai 的原始作者因將其殭屍網路出租用於 DDoS 攻擊和點擊欺詐而被定罪。

為什麼殭屍網路很危險?

殭屍網路有可能影響人們生活的各個方面,無論他們是否使用 IoT 裝置,甚至是網際網路。殭屍網路可以:

  • 攻擊 ISP,有時會導致對合法流量產生阻斷服務
  • 傳送垃圾郵件
  • 發動 DDoS 攻擊並關閉網站和 API
  • 執行點擊欺詐
  • 解決網站上的弱 CAPTCHA 挑戰,以便在登入過程中模仿人類的行為
  • 竊取信用卡資訊
  • 用 DDoS 攻擊威脅公司勒索贖金

為什麼殭屍網路擴散如此難以遏制?

阻止殭屍網路擴散如此困難的原因有很多:

IoT 裝置擁有者

沒有產生費用或服務中斷,因此沒有動力去保護智慧型裝置。

雖可透過重新啟動來清除受感染的系統,但由於掃描潛在機器人的頻率是恆定的,因此有可能在重新啟動後幾分鐘內重新感染。這意味著,使用者必須在重新啟動後立即變更預設密碼。或者,他們必須阻止裝置存取網際網路,直到可以重設韌體並離線變更密碼。大多數裝置擁有者既沒有專業知識,也沒有相應的動力去這樣做。

ISP

受感染裝置在其網路上增加的流量通常與媒體串流產生的流量無法相比,因此沒有太多動機去關心這一點。

裝置製造商

裝置製造商鮮少有動力去投資於低成本裝置的安全性。讓他們對攻擊承擔責任也許是強制改變的一種方法,但在執行不嚴的地區可能不起作用。

忽略裝置安全性會面臨巨大的危險:例如,Mirai 能夠停用防病毒軟體,這使得偵測成為一個挑戰。

規模

每年有超過 15 億基於 ARC 處理器的裝置湧向市場,數量如此龐大的裝置被收進危害極大的殭屍網路,意味著這些惡意軟體變體的潛在影響力正在攀升。

簡潔性

殭屍網路工具包現成可用,無需精通技術。只要花費 14.99-19.99 美元,就能租用殭屍網路一整個月。如需更多資訊,請參閱什麼是 DDoS Booter/Stresser?

全球 IoT 安全標準

沒有全球實體或共識來定義和執行 IoT 安全標準。

雖然某些裝置可以使用安全性修補程式,但使用者可能並沒有技能或動力來進行更新。許多低端裝置製造商根本不提供任何形式的維護。即使有提供維護的,通常也不長久。另外,一旦不再維護更新,裝置便無法報廢,因而無限期地處於不安全狀態。

全球執法

難以追踪和起訴殭屍網路創造者,使得遏制殭屍網路擴散變得棘手。對於網路犯罪,並沒有職能與國際刑警組織相當並具有相應調查技能的全球性警察機構。在最新技術方面,全球執法部門通常無法跟上網路罪犯的腳步。

現在,許多殭屍網路都採用一種稱為 Fast Flux 的 DNS 技術,以隱藏用於下載惡意軟體或託管網路釣魚網站的網域。這使得它們極難追踪和消滅。

殭屍網路感染是否會降低 IoT 裝置的效能?

可能會。有時,受感染的裝置可能會執行緩慢,但它們大多數時候都可以正常工作。裝置擁有者沒有很大的動力去想辦法清除感染。

補充

加利福尼亞州州長 Jerry Brown 已將一項立法提上議事日程,要求 IoT 裝置具有「與裝置性質和功能相稱」的合理安全功能。預計將在 2020 年 1 月生效。

為什麼這項立法如此重要?公司不可能忽視利潤豐厚的加利福尼亞市場。如果想要在加利福尼亞銷售,就需要提高裝置安全性。這會讓所有州受益。