Mirai僵尸网络于2016年首次发现,它捕获了数量空前的设备,并严重破坏了Internet。 现在他回来了,比以往任何时候都更加危险。
新的和改进的Mirai感染了更多设备
2019年3月18日, 帕洛阿尔托网络的安全研究人员透露,对Mirai进行了重新设计和更新,以实现更大的目标。 研究人员发现,Mirai使用了11种新的导出类型,使总数达到27种,并为该样本提供了一个默认管理员凭据的新列表。 一些变化集中在商务设备上,包括LG Supersign电视和Wipg-1000无线演示系统。
如果Mirai可以接管业务设备并指挥业务网络,它的功能甚至会更加强大。 根据Palo Alto网络的高级威胁研究员Ruhna Nigam的说法:
这些新功能为僵尸网络提供了很大的攻击面。 尤其是,针对工业链路还使他能够获得更大的带宽,从而最终为DDoS攻击带来更多的僵尸网络功能。
此版本的Mirai继续攻击客户端路由器,摄像机和连接到网络的其他设备。 出于破坏目的,感染的设备越多越好。 具有讽刺意味的是,该恶意病毒被发布在一个网站上,该网站推广的业务涉及“电子安全,警报的实现和监视”。
Mirai是一个攻击物联网设备的僵尸网络
如果您不记得,2016年Mirai僵尸网络似乎无处不在。 他的目标是路由器,DVR系统,IP摄像机等。 这些通常称为物联网(IoT)设备,包括连接到Internet的简单设备(如恒温器)。 僵尸网络的工作原理是感染计算机组和连接到Internet的其他设备 ,然后迫使这些受感染的计算机以协调的方式攻击系统或在其他目标上工作。
Mirai选择具有默认管理员凭据的设备,原因是没有人更改它们,或者因为制造商对其进行了硬编码。 僵尸网络已捕获了大量设备。 即使大多数系统不是很强大,但大量处理器可以协同工作,以达到功能强大的僵尸计算机无法独自完成的目标。
Mirai已捕获了将近50万台设备。 通过使用这种大规模的物联网设备僵尸网络,Mirai破坏了Xbox Live和Spotify等服务以及BBC和Github等网站,这些服务直接针对DNS提供商 。 由于感染了如此多的计算机,Dyn(DNS提供程序)被来自1.1 TB流量的DDOS攻击阻止。 DDOS攻击通过向目标发送大量Internet流量来起作用,这远远超出了目标可以处理的范围。 这会导致受害者的网站或服务变慢或完全断开与Internet的连接。
Marai僵尸网络软件的原始创建者被捕,认罪并被判缓刑 。 有一段时间,Mirai被关闭了。 但是对于接管Mirai并根据自己的需要进行更改的其他罪犯而言,足够的代码得以保留。 现在有另一个版本的Mirai。
如何保护自己免受Mirai侵害
与其他僵尸网络一样,Mirai使用众所周知的漏洞攻击设备并对其进行破坏。 他还试图使用已知的默认凭据在设备上运行并将其交给自己。 因此,您最好的三道防线很简单。
始终更新家里或工作场所中所有可以连接到Internet 的固件和软件。 黑客攻击是一种猫捉老鼠的游戏,一旦研究人员发现新的漏洞利用方法,便会立即进行补丁修复。 像这样的僵尸网络在未安装补丁的设备上蓬勃发展,而Mirai的这个版本也是如此。 去年9月和2017年发现了针对商业设备的漏洞。
图 1.更新路由器的固件。
尽快更改设备的管理员凭据,用户名和密码。 对于路由器,这可以在路由器或移动应用程序(如果有)的Web界面中完成 。 对于使用默认用户名或密码登录的其他设备,请参阅设备手册。
如果可以使用admin , password或空白字段登录 ,则需要更改此设置。 设置新设备时,请记住要更改默认凭据。 如果您已经设置好设备而忘记更改密码,请立即进行操作。 此新Mirai Varsia的目标是默认用户名和密码的新组合。
图 2.错误的用户名示例。
如果设备制造商已停止发布新的固件更新或硬编码的管理员凭据,并且无法更改,请考虑更换设备。
最好的检查方法是从制造商的网站开始。 找到您设备的支持页面,并找到任何固件更新通知。 检查最后一个发布的时间。 如果自固件更新以来已经过去了很多年,则制造商可能不再支持该设备。
也可以在设备制造商的支持网站上找到有关更改管理凭据的说明。 如果找不到最新的固件更新或更改设备密码的方法,则可能是该更换设备本身的时候了。 您不应该留下任何易受攻击的东西并不断连接到网络。
图 3.如果找到的最新固件是2012年版本,则必须更换设备。
更换设备似乎是一种根本性的措施,但是如果它很脆弱,那么这是您的最佳选择。 像Mirai这样的僵尸网络将无处可寻。 您必须保护您的设备。 通过保护自己的设备,您将保护Internet的其余部分。