如何保护您的路由器免受 Mirai 僵尸网络攻击

作者
Tweet
Share
Share
Pin
0 Shares

恶意攻击者常用的一种网络攻击手段是利用僵尸网络。

僵尸网络是指已被恶意软件感染并受恶意行为者远程操控的计算机网络。控制这些受感染计算机的恶意行为者被称为“僵尸牧人”。单个受感染的设备则被称为“僵尸”。

僵尸牧人指挥并控制这些受感染的计算机群,使其能够发起更大规模的网络攻击。僵尸网络常被用于大规模拒绝服务攻击、网络钓鱼、垃圾邮件攻击和数据盗窃等活动。

Mirai僵尸网络恶意软件是一个臭名昭著的例子,它通过劫持数字设备来创建庞大的僵尸网络。Mirai是一种针对并利用运行Linux的物联网(IoT)设备漏洞的恶意软件。

一旦设备被感染,Mirai就会将其劫持,变成远程控制的僵尸,用于发起大规模网络攻击。Mirai使用C语言和Go语言编写。

该恶意软件在2016年被用于对域名系统提供商DYN进行分布式拒绝服务(DDOS)攻击时引起广泛关注。这次攻击导致互联网用户无法访问包括Airbnb、亚马逊、Twitter、Reddit、PayPal和Visa等在内的多个网站。

Mirai恶意软件还曾对网络安全网站Krebs on Security和法国云计算公司OVHCloud发起过DDOS攻击。

Mirai是如何被创建的

Mirai恶意软件由Paras Jha和Josiah White编写,他们当时是20岁出头的学生,也是ProTraf Solutions的创始人,该公司提供DDOS缓解服务。Mirai恶意软件使用C语言和Go语言编写。

最初,他们创建Mirai的目的是通过DDOS攻击关闭竞争对手的Minecraft服务器,以便通过消除竞争对手来获得更多客户。

后来,他们将Mirai用于敲诈勒索活动。他们会先对公司发起DDOS攻击,然后联系受攻击的公司,提供DDOS缓解服务。

Mirai僵尸网络在被用于攻击Krebs on Security网站以及对OVH的攻击后引起了当局和网络安全社区的注意。随着Mirai僵尸网络开始登上新闻头条,其创建者在一个公开的黑客论坛上泄露了Mirai僵尸网络的源代码。

这很可能是为了掩盖他们的踪迹,并逃避对使用Mirai僵尸网络进行的DDOS攻击的责任。Mirai僵尸网络的源代码被其他网络犯罪分子利用,导致了Mirai僵尸网络变体的出现,例如Okiru、Masuta和Satori,以及PureMasuta。

然而,Mirai僵尸网络的创建者最终被FBI逮捕。但由于他们与FBI合作抓捕其他网络罪犯并防止网络攻击,他们并没有被判入狱,反而获得了较轻的刑罚。

Mirai僵尸网络如何运作

Mirai僵尸网络的攻击涉及以下步骤:

  • Mirai僵尸网络首先扫描互联网上的IP地址,以识别在Arc处理器上运行Linux的物联网设备。然后,它会识别并锁定那些没有密码保护或使用默认凭据的设备。
  • 一旦识别出易受攻击的设备,Mirai就会尝试各种已知的默认凭据,以尝试获取设备的网络访问权限。如果设备使用默认配置或没有密码保护,Mirai会登录到设备并感染它。
  • Mirai僵尸网络随后会扫描设备,查看其是否已被其他恶意软件感染。如果有,它会删除所有其他恶意软件,使其成为设备上唯一的恶意软件,从而更好地控制设备。
  • 受Mirai感染的设备随后成为Mirai僵尸网络的一部分,并可以从中央服务器进行远程控制。这样的设备会等待来自中央服务器的命令。
  • 受感染的设备然后被用来感染其他设备,或者用作僵尸网络的一部分,对网站、服务器、网络或其他互联网上的资源进行大规模的DDOS攻击。

值得注意的是,Mirai僵尸网络附带了它没有瞄准或感染的IP范围。这包括分配给美国国防部和美国邮政服务的专用网络和IP地址。

Mirai僵尸网络针对的设备类型

Mirai僵尸网络的主要目标是使用ARC处理器的物联网设备。据Mirai僵尸网络的创建者之一Paras Jha称,Mirai僵尸网络感染和使用的大多数物联网设备都是路由器。

然而,Mirai僵尸网络的潜在受害者还包括其他使用ARC处理器的物联网设备。

这可能包括智能家居设备,如安全摄像头、婴儿监视器、恒温器和智能电视;可穿戴设备,如健身追踪器和手表;以及医疗物联网设备,如血糖监测仪和胰岛素泵。使用ARC处理器的工业物联网设备和医疗物联网设备也可能成为Mirai僵尸网络的受害者。

如何检测Mirai僵尸网络感染

Mirai僵尸网络旨在隐蔽其攻击,因此,检测您的物联网设备是否感染了Mirai僵尸网络并非易事。不过,仍有一些迹象可以留意。以下是一些可能表明您的物联网设备可能感染了Mirai僵尸网络的迹象:

  • 互联网连接速度变慢 – Mirai僵尸网络会导致您的互联网速度变慢,因为您的物联网设备被用来发起DDOS攻击。
  • 异常的网络流量 – 如果您定期监控网络活动,您可能会注意到网络流量突然增加,或者请求被发送到陌生的IP地址。
  • 设备性能下降 – 您的物联网设备性能不佳或表现出异常行为,例如自行关闭或重启,可能表明存在Mirai感染。
  • 设备配置的更改 – Mirai僵尸网络可能会更改您物联网设备的设置或默认配置,使其在未来更容易被利用和控制。如果您注意到物联网设备的配置发生变化,而您没有进行任何操作,则可能表明感染了Mirai僵尸网络。

尽管您可以留意一些迹象以了解您的设备是否已被感染,但有时您可能不会轻易注意到这些迹象,因为Mirai僵尸网络的制作方式使其很难被发现。因此,最好的处理方法是防止Mirai僵尸网络感染您的物联网设备。

但是,如果您怀疑已检测到物联网设备感染,请将其与网络断开连接,并在消除威胁后才重新连接设备。

如何保护您的设备免受Mirai僵尸网络感染

Mirai僵尸网络感染物联网设备的关键策略是尝试一系列众所周知的默认配置,看看用户是否仍在使用默认配置。

如果是这种情况,Mirai会登录并感染设备。因此,保护您的物联网设备免受Mirai僵尸网络攻击的一个重要步骤是避免使用默认用户名和密码。

务必更改您的凭据,并使用不容易被猜到的密码。您甚至可以使用随机密码生成器来获得无法猜到的唯一密码。

您可以采取的另一个步骤是定期更新设备的固件,并在发布安全补丁时安装它们。公司通常会发布安全补丁,以修复设备中发现的漏洞。

因此,在发布安全补丁时安装它们可以帮助您领先于攻击者。如果您的物联网设备具有远程访问功能,也请考虑禁用它,以防您不需要该功能。

您可以采取的其他措施包括定期监控您的网络活动,以及对您的家庭网络进行分段,以便物联网设备不连接到家中的关键网络。

结论

尽管Mirai僵尸网络的创建者已被当局逮捕,但Mirai僵尸网络感染的风险仍然存在。Mirai僵尸网络的源代码已向公众发布,导致了Mirai僵尸网络的致命变种的产生,这些变种以物联网设备为目标,并对设备拥有更多控制权。

因此,在购买物联网设备时,设备制造商提供的安全功能应该是一个关键的考虑因素。购买具有防止恶意软件感染的安全功能的物联网设备。

此外,避免在设备中使用默认配置,并定期更新设备的固件,安装所有最新的安全补丁。

您还可以考虑使用先进的终端检测与响应 (EDR) 工具,以便快速检测并响应网络攻击。