恶意攻击者用来扩大网络攻击的一种策略是使用僵尸网络。
僵尸网络是已被恶意软件感染并被恶意行为者远程控制的计算机网络。 这种控制一组受感染计算机的恶意行为者称为 bot herder。 单个受感染的设备称为机器人。
僵尸牧民指挥和控制受感染的计算机组,使它们能够进行更大规模的网络攻击。 僵尸网络在大规模拒绝服务、网络钓鱼、垃圾邮件攻击和数据盗窃中得到了显着的应用。
Mirai Botnet 恶意软件是一个因劫持数字设备创建大型僵尸网络而臭名昭著的恶意软件示例。 Mirai 是一种僵尸网络恶意软件,它针对并利用运行 Linux 的物联网 (IoT) 设备中的漏洞。
一旦受到感染,Mirai 就会劫持 IoT 设备,将其变成远程控制的机器人,可以用作僵尸网络的一部分来发起大规模网络攻击。 Mirai 是使用 C 和 GO 编写的。
该恶意软件在 2016 年被用于对域名系统提供商 DYN 进行分布式拒绝服务 (DDOS) 攻击时受到关注。 这次攻击阻止互联网用户访问 Airbnb、亚马逊、Twitter、Reddit、Paypal 和 Visa 等网站。
Mirai 恶意软件还对网络安全网站 Krebs on Security 和法国云计算公司 OVHCloud 发起了 DDOS 攻击。
Mirai 是如何创建的
Mirai 恶意软件由 Paras Jha 和 Josiah White 编写,他们当时是 20 岁出头的学生,也是 ProTraf Solutions 的创始人,ProTraf Solutions 是一家提供 DDOS 缓解服务的公司。 Mirai Malware 是使用 C 和 Go 编程语言编写的。
最初,他们对 Mirai 的目标是使用 DDOS 攻击关闭竞争性 Minecraft 服务器,以便他们可以通过消除竞争来获得更多客户。
他们对 Mirai 的使用随后转变为敲诈勒索和敲诈勒索。 两人将对公司发起 DDOS 攻击,然后联系他们所攻击的公司提供 DDOS 缓解措施。
Mirai 僵尸网络在被用来摧毁 Krebs on Security 网站及其对 OVH 的攻击后引起了当局和网络安全社区的注意。 随着 Mirai 僵尸网络开始成为头条新闻,创建者在一个可公开访问的黑客论坛上将源代码泄露给了 Mirai 僵尸网络。
这很可能是为了掩盖他们的踪迹,并避免对使用 Mirai 僵尸网络进行的 DDOS 攻击负责。 Mirai 僵尸网络的源代码被其他网络犯罪分子利用,这导致了 Mirai 僵尸网络变体的创建,例如 Okiru、Masuta 和 Satori,以及 PureMasuta。
然而,Mirai 僵尸网络的创建者后来被 FBI 抓获。 然而,由于他们与FBI合作抓捕其他网络罪犯并防止网络攻击,他们并没有被判入狱,反而得到了较轻的刑罚。
Mirai 僵尸网络如何运作
Mirai 僵尸网络的攻击涉及以下步骤:
值得注意的是,Mirai 僵尸网络附带了它没有瞄准或感染的 IP 范围。 这包括分配给美国国防部和美国邮政服务的专用网络和 IP 地址。
Mirai 僵尸网络针对的设备类型
Mirai 僵尸网络的主要目标是使用 ARC 处理器的物联网设备。 根据 Mirai 僵尸网络的作者之一 Paras Jha 的说法,Mirai 僵尸网络感染和使用的大多数物联网设备都是路由器。
然而,Mirai 僵尸网络的潜在受害者名单包括其他使用 ARC 处理器的物联网设备。
这可能包括安全摄像头、婴儿监视器、恒温器和智能电视等智能家居设备,健身追踪器和手表等可穿戴设备,以及血糖监测仪和胰岛素泵等医疗物联网设备。 使用 ARC 处理器的工业物联网设备和医疗物联网设备也可能成为 Mirai 僵尸网络的受害者。
如何检测 Mirai 僵尸网络感染
Mirai Botnet 旨在隐蔽其攻击,因此,检测您的 IoT 设备是否感染了 Mirai Botnet 并非易事。 不过,也有不易察觉的。 但是,请寻找以下可能表明您的 IoT 设备可能感染了 Mirai 僵尸网络的指标:
- 互联网连接速度变慢——Mirai 僵尸网络会导致您的互联网速度变慢,因为您的物联网设备被用来发起 DDOS 攻击。
- 异常的网络流量——如果您定期监控您的网络活动,您可能会注意到网络流量突然增加或请求被发送到陌生的 IP 地址
- 设备性能下降——您的物联网设备性能欠佳或表现出异常行为,例如自行关闭或重启,可能表明可能存在 Mirai 感染。
- 设备配置的更改——Mirai 僵尸网络可能会更改您的物联网设备的设置或默认配置,使设备在未来更容易被利用和控制。 如果您注意到 IoT 设备的配置发生变化,而您对此不承担任何责任,则可能表明可能感染了 Mirai 僵尸网络。
尽管您可以留意一些迹象以了解您的设备是否已被感染,但有时您可能不会轻易注意到它们,因为 Mirai 僵尸网络的制作方式使其很难被发现。 因此,最好的处理方法是防止 Mirai 僵尸网络感染您的物联网设备。
但是,如果您怀疑已检测到物联网设备,请将其与网络断开连接,并在消除威胁后才重新连接设备。
如何保护您的设备免受 Mirai 僵尸网络感染
Mirai 僵尸网络感染物联网设备的关键策略是测试一堆众所周知的默认配置,看看用户是否仍在使用默认配置。
如果是这种情况,Mirai 会登录并感染设备。 因此,保护您的物联网设备免受 Mirai 僵尸网络攻击的一个重要步骤是避免使用默认用户名和密码。
确保更改您的凭据并使用不容易被猜到的密码。 您甚至可以使用随机密码生成器来获得无法猜到的唯一密码。
您可以采取的另一个步骤是定期更新设备的固件,并在发布安全补丁时安装它们。 公司通常会发布安全补丁,以防在其设备中发现漏洞。
因此,在发布安全补丁时安装它们可以帮助您领先于攻击者。 如果您的 IoT 设备具有远程访问功能,也请考虑禁用它,以防您不需要该功能。
您可以采取的其他措施包括定期监控您的网络活动和对您的家庭网络进行分段,以便物联网设备不连接到家中的关键网络。
结论
尽管 Mirai 僵尸网络的创建者已被当局逮捕,但 Mirai 僵尸网络感染的风险仍然存在。 Mirai 僵尸网络源代码已向公众发布,这导致了 Mirai 僵尸网络的致命变种的产生,这些变种以物联网设备为目标,并对设备拥有更多控制权。
因此,在购买物联网设备时,设备制造商提供的安全功能应该是一个关键的考虑因素。 购买具有防止可能的恶意软件感染的安全功能的物联网设备。
此外,避免在设备中使用默认配置,并定期更新设备的固件并安装所有最新的安全补丁。
您还可以探索最好的 EDR 工具来快速检测和响应网络攻击。
