去年干掉Dyn让全球多家大型网站无法访问的DDoS攻击始作俑者——Mirai僵尸网络,至今依然逍遥法外。
据Dyn公司估测,2016年10月致其服务中断的DDoS攻击中,至少涉及了10万台被Mirai感染的设备。11月7号,安全评级公司SecurityScorecard发布一份研究结果,称即便在面世1年之后,Mirai僵尸网络感染依然广泛。
2017年7月到9月间,SecurityScorecard在公网上发现34,062个IPv4地址,呈现出被Mirai物联网(IoT)恶意软件感染的嵌入式设备所表现出的症状。而2016年8月1日到2017年7月31日的1整年间,感染Mirai IoT恶意软件的IoT设备IPv4地址数量为184,258个。
即便该僵尸网络更小更分散,依然对互联网安全产生了威胁。
其他安全专家也赞同该评估。Mirai僵尸主机数量的下降,与IoT安全的改善毫无关系。比如用户给DVR之类最易被感染的设备打上补丁。而是在于Mirai不是长期驻留型,感染在主机重启后就会消失。Mirai攻击的是基于中国电子设备厂商雄迈的DVR,这些设备很不稳定,可以很容易地远程重启它们——不用经过身份验证。
因此,没有哪个僵尸网络操控者可以创建单一大型僵尸网络——DVR会随机重启,需要尽快再次入侵。
其他更近期的IoT僵尸网络,比如最具代表性的Reaper,则展现出更大的安全风险。
对Dyn公司的攻击,发生在信息安全博主布莱恩·克雷布斯的网站遭攻击之后,德国电信和TalkTalk的路由器被Mirai变种发起DDoS攻击之前。所有这些都发生在去年。用IoT设备当攻击平台的高调DDoS攻击为什么没有延续,是个令人费解的问题,尤其是在伤害潜力不减的情况下。
比如说,上月,安全研究员特洛伊·穆尔什和尼尔·克拉维兹博士,发现了有EnGenius路由器构成的类Mirai僵尸网络。穆尔什称,自2月以来,他已在网络中发现了9万台被控设备。
Mirai源代码于2016年10月初泄露,就在Dyn公司遭DDoS攻击前3周。这开启了僵尸网络养殖模仿作案的大门。
情况如何?
SecurityScorecard公司的Mirai情报,提供了感染该IoT恶意软件设备的现状分析。
2017年第3季度,教育产业是受Mirai变种影响最大的行业,紧随其后的是能源、制造业、娱乐行业和金融服务业。
这一阶段受Mirai活动影响最严重的国家,是墨西哥,然后是中国、美国、巴西和土耳其。
墨西哥Mirai感染的盛行,是其IoT系统推广工作的副产品,比如最近推出的面向IoT的地区性专用通讯服务。