神秘网络蠕虫不搞破坏却让几万台服务器抵抗木马
【黑客联盟2017年04月27日讯】如果真的出现了金刚狼、蜘蛛侠这样的“超级英雄”,你觉得这个世界变得更好了,还是更糟糕了?
有人觉得,如果需要一群自认为正义的“义警”来维护和平,那世界一定法制崩坏,烂透了。有人却认为如果真的恶徒当道,超级英雄的出现必然是好事。
这个问题没有结果,因为现实世界可能永远不会出现超级英雄。然而,网络空间却真的上演了类似情节:
一个名叫 Mirai 的恶意程序席卷了全世界超过100万台设备,对互联网设备肆意发起攻击。最严重时,造成了大半个美国断网事件(2016年10月美国大面积断网事件)
正当所有人对它无能为力,另一个奇特的程序出现了,它同样迅速传播,却不进行任何破坏,反而偷偷地将设备中的 Mirai 恶意程序的感染渠道“干掉”,并提醒人们注意安全。
没人知道这个奇特程序从哪里来的。但是,这不就是网络版的超级英雄电影情节么?
一群拥有超能力的变种人(Mirai 恶意程序)肆意妄为,正当人们束手无策陷入绝望,另一群拥有超能力者出现,试图拯救陷于危难的人们……
这情节简直能不再过瘾!
▲X战警海报(缅怀一下年轻时的狼叔)
一切还得从一头恶魔被解开封印说起……
恶魔解封
2016年9月30日,被惹怒的黑客 Senpai 释放了网络世界最恐怖的恶魔之一 ,Mirai 。那一天,全世界的安全研究者为之疯狂。一个月之后,这个恶魔就已经感染了全球超过100万台设备,而且数量依然急剧上升。
Mirai 其实只是个小小的恶意程序,但它会像寄生虫一样存在于设备中,不断感染更多设备,并操纵设备来进攻,一个,十个、一百个,不断传播。就像丧尸电影的病毒感染一样,一个咬一个,一个咬一个,最后丧尸席卷全球。
人们为这类蠕虫程序起了个形象的名字 ——“僵尸网络”。
▲僵尸网络,图片来自网络
在某些方面,Mirai 比真正的丧尸病毒更可怕。
首先,它就在你周围。
我们常说未来是物联网的时代,所有一切都变得智能。对于僵尸网络来说,那将是一场饕餮盛宴。你家的网络摄像头、智能电视、智能门锁、电话、路由器、电灯、路由器等所有联网设备都可能成为 Mirai 僵尸网络的“猎物”。
▲智能家居,图片来自网络
其次,Mirai 僵尸网络还具有强大的“重生”功能,你刚把自己被感染的设备上的Mirai病毒清除,可能不到一分钟,就又被其他“丧尸”重新感染。
最可怕的是,电影中的丧尸没有统一的指挥,不会进行有意识的集中攻击,而 Mirai 僵尸网络背后却有操纵者,他能操控成千上万被感染的设备对某一个目标发起进攻,形成“丧尸军团”。
你能想象几十万只丧尸在一个人的指挥之下朝你攻击过来的场景?
▲脑补场景,图片来自网络
真实网络丧尸围攻
2016年9月20日,著名的安全新闻网站 KrebsOnSecurity.com 就遭到了这样的“丧尸围攻”(DDoS 分布式拒绝攻击), 网站一瞬间涌入大量流量,网站服务器带宽瞬间被撑爆,攻击峰值的网络流量达到每秒 665Gbps 。
同一天,法国网站主机OVH也遭到Mirai 的丧尸围攻,DDoS 攻击量最大达到 1.5Tpbs。
1.5Tbps 是什么概念?雷锋网再举个例子作为对比:
2013年3月, 一次 300Gbps 的攻击创下了历史记录,被评价为“差点瘫痪欧洲网络”。1.5Tbps 是它的三倍。放在两年前,两三个欧洲都瘫痪了。
据了解,国内一些中小城市总的带宽也不一定有500G,也就是说,如果有这么大的流量打到某个城市的IP上,这个城市多半要断网。
这就是 Mirai 的威力。
2016年9月30号那天,Mirai 的作者 Senpai 做了一件什么事?—— 他把 Mirai 的源代码公布到了网上,所有人都可以根据这些代码来制作属于自己的 Mirai 僵尸网络,都有机会指挥着成千上万的“网络丧尸”,攻城略地。
”我只管赚钱。现在很多人都把关注目光放在物联网上,是时候把Mirai公布出来了。” 释放 Mirai 时,Senpai 似乎很淡定。
20多天后,整个美国出现了大面积断网的情况,原因就是域名解析服务商 DYN 遭到强大的DDOS攻击,研究者发现了几十万个攻击来源,这一切来源都指向了 Mirai 僵尸网络。
从那之后,网络上感染 Mirai 的设备数量急剧扩大,根据数据统计,第一个月就翻了一倍。公开的 Mirai 被人们收藏、标记了几千次。
物联网的僵尸暗战
肆虐物联网的僵尸并不只有 Mirai 。
▲吸血鬼、僵尸、丧尸……品种丰富
去年圣诞节之前,12月21日上午,美国观测到一个由名为“Leet”的僵尸网络发起的攻击,流量高达 650Gps。
之后,网上又出现了一个专门针对DVR硬盘录像机感染的僵尸网络“Amnesia”,根据扫描结果,70多万个目标笼罩在它的威胁之下。
几个星期前的3月20日,一个和 Mirai 僵尸网络相似的名为 Brickerbot 的新型僵尸网络出现,和前者不同的是,它会直接干掉被入侵的设备(永久性地破坏)。比如让路口的摄像头损坏,甚至有办法让你的智能电饭煲炸掉……
各种各样的僵尸网络,他们以各自的节奏侵袭着这个世界,也会为了争夺一个攻击目标而大打出手。
最近一个名为 “Bashlight”的僵尸网络家族就和 Mirai竞争激烈。因为感染目标大致相同,利用的方法也大同小异,都涉及设备运行的嵌入式Linux系统使用的 busybox 漏洞。
于是 Mirai 出手了,它会加密了感染设备和指令控制服务器之间的流量,并且接管被Bashlight感染的设备,还会为设备打上补丁防止它们再次被竞争对手感染。
当一个猎物同时被吸血鬼和丧尸咬到,他到底会感染成吸血鬼还是丧尸?答案当然是看谁的毒性猛。当一台设备同时被两个僵尸网络感染,到底谁能拿到控制权?看谁的技术NB。
目前,Bashlight 僵尸网络中的 近 10 万台设备已被Mirai 控制。显然 Mirai 更胜一筹。
“滚开,这是老子的猎物。”
转机
就这样,网络世界成千上万的脆弱设备被各个僵尸网络不断侵袭、瓜分,每个僵尸网络都想控制更多的物联网设备控制权。一片混沌之中,两个“僵尸大家族”脱颖而出,争夺制霸物联网的名号。
他们的名字是,Mirai 和 Hajime ,巧的是,在日语中的意思分别是 :“未来”—— “开始”
▲蓝色是Hajime ,橙色的是 Mirai
这两种僵尸蠕虫的传播方式类似,都是利用网络设备未采取保护措施的特性(比如一台网络路由器开放了远程登录端口并使用默认密码)进行传播。
但是 Hajime 的行动更为隐秘,技术也更为先进。
与 Mirai 在命令和控制 C&C 服务器使用硬编码地址不同,Hajime 建立在一个点对点网络之上。也就是说,Mirai 有可能找到幕后的操纵者 (C&C服务器),而 Hajime的幕后操纵者隐藏在任何一个感染者之中,更难溯源,也更难以摧毁。
▲就像电影《黑客帝国》中杀不死的病毒史密斯
安全公司赛门铁克告诉小编,在过去的几个月里,Hajime 的传播速度迅速。保守估计全球受感染的设备数量已经达到数万台,中国是受感染的市场之一。
▲Hajime 感染地区分布,来源:赛门铁克安全公告
然而,安全研究人员惊奇地发现,Hajime 并不会执行恶意操作,也不包含任何分布式拒绝攻击(Ddos)功能与代码,反而每隔10分钟向被感染的设备推送一个消息:
我们是保护系统的白帽子。我们将通过此方法展示重要信息!
Hajime 制作者
联系关闭
请保持警惕!
甚至 Hajime 还做了一系列改善安全性的动作,比如阻挡 Mirai 赖以攻击的端口(23、7547、5555 和 5358 的访问),关闭这些端口,将有效组织设备被 Mirai 感染!
没有人知道 Hajime 的制作者是谁,但是他却在物联网上用自己的方式帮助设备阻挡 Mirai 的感染。
▲Hajime 全球感染情况
争议 · 白帽子的白色蠕虫?
Hajime 不是第一个所谓正义者试图保护脆弱的物联网设备的蠕虫。
2014 至 2015 年,赛门铁克就曾发现一个名为 Linux.Wifatch 蠕虫软件。该软件由“白色团队”(the white team ) 编写,与 Hajime 的目的相似,试图为物联网设备提供安全保护。
这不就是超级英雄电影中蜘蛛侠、死侍的做派?—— “你们都让开,让我来”
正如电影中的超能力者受到争议一样,这种白色蠕虫也备受争议。
▲蜘蛛侠的正义和黑暗面,图片来源《蜘蛛侠3》
有人觉得 Hajime 这种强行提供保护的方式并不合法,难保有一天 Hajime 的作者反戈。
根据 Hajime的代码, 制造者可以随时在网络中的人易受感染设备中打开Shell 脚本。由于使用了模块化代码,设计者可以随时添加新的功能。一旦制作者改变主意打算搞点事情,便可以立即将受感染的设备转变成一个巨大的恶意僵尸网络。
有的人却认为这是一件好事,既然有些不负责任的厂商不作为,人们对僵尸网络无能为力,为什么不能以彼之道还治彼身?
甚至有的安全研究人员主动向 Hajime 提供帮助。在一篇关于Hajime 的研究报告中,安全人员发现了 Hajime 蠕虫中的漏洞,于是免费提供了一份质量保证报告,提供了检测这些漏洞的签名。此后 Hajime 果然将这些漏洞一一修复。
在电影《蜘蛛侠3》中,蜘蛛侠被外星生物引诱而沦为黑暗蜘蛛侠,最终经历一系列遭遇之后决定撕去黑暗,重回本质。在网络世界的超能力者黑客,他们同样面临金钱、贪欲等等引诱,他们可以选择成为“超级英雄”,也可能沦为邪恶暴徒,无论如何,他人的质疑和自我的人性拷问都无法避免。
转载于:https://my.oschina.net/u/3579120/blog/1533008
神秘网络蠕虫不搞破坏却让几万台服务器抵抗木马相关推荐
- 神秘网络蠕虫出现,感染数万设备却不搞破坏,反而对抗其他木马
知乎上有这么一个提问: 如果真的出现了金刚狼.蜘蛛侠这样的"超级英雄",你觉得这个世界变得更好了,还是更糟糕了? 有人觉得,如果需要一群自认为正义的"义警"来维 ...
- AI一分钟 | 马斯克:特斯拉内部有人故意搞破坏;亚马逊推出酒店定制版Alexa
1. 马斯克:特斯拉内部有人故意搞破坏影响生产 电动车厂商特斯拉首席执行官伊隆-马斯克近日在一封发送给全体员工的内部信中称,特斯拉内部有员工故意搞破坏,影响了 Model 3 的生产.在这封信中,马斯 ...
- 在公司的微服务上搞破坏真是太开心了
这是四年前伦敦一个技术大会上的一场非常独特的分享,没想到一场技术大会上能有这么幽默的另类架构师,作者以反讽的形式举出了 10 个微服务环境下对系统搞破坏的 tips.我看了很多遍,其中的案例其实日常研 ...
- Bugku-web进阶之phpcmsV9(一个靶机而已,别搞破坏。flag在根目录里txt文件里)
phpcmsV9 一个靶机而已,别搞破坏. flag在根目录里txt文件里 http://123.206.87.240:8001/ 本题要点:目录扫描 打开网页 根据提示:一个靶机而已,别搞破坏.fl ...
- 开源作者恶意搞破坏,谁来为开源买单?
大家好,我是漫步 最近我被下面这篇文章震撼到了,开源作者对自己的项目恶意搞破坏,使得成千上万个用到这个项目的都受到了牵连,这么做合理吗?欢迎给出你的看法哦.喜欢记得关注我并设为星标. 转自InfoQ: ...
- python一个月收入_我月薪5000,靠Python搞副业月入3万
原标题:我月薪5000,靠Python搞副业月入3万 被压垮的打工人,你还好吗? 房贷车贷,上老下小,日常开销, 但你的收入有多少??? 所以你不敢生病,甚至不敢回家! 就为了每个月那么点死工资,还得 ...
- 专门利用计算机搞破坏的人称为,在计算机网络中,专门利用计算机搞破坏或恶作剧的人被称为(...
计中专(名释)繁殖策略词解. 算机算机名词解释腔(口咽. 网络(名释)性腺系数成熟词解.(名水产食品释)词解.每日的实当地的(根据饵量)和际投主要,定四看"而即群众称为".单端大输 ...
- 搞破坏?混沌工程的稳定之道
1. 始于"混沌" 1.1 混沌的生态环境 随着Agile.ServiceMesh.DevOps 的持续推进,快速响应业务的需求变化,提高持续交付能力.无独有偶,伴随着大量服务拆分 ...
- 马化腾曾在家搞四条电话线和8台电脑,做慧多网深圳站站长
转自:A5 改革开放三十年来,当本土企业一个一个倒在外资面前时,年轻的企业家却在中国企业几乎不占任何技术及商业优势的互联网领域,一个一个赢得了本土的主导权.马化腾就是其中最杰出的一个代表. 马化腾以一 ...
最新文章
- Keras K.switch()用法
- [转]linq to sql (Group By/Having/Count/Sum/Min/Max/Avg操作符)
- mysql update delete_MySQL中UPDATE与DELETE语句的使用教程
- java 多态性 接口_Java中的多态性和接口
- Process Explorer 15.2:微软增强型任务管理器
- 【给中高级开发者】构建高性能ASP.NET应用的几点建议
- 数据库编程——JDBC 配置
- RDIFramework.NET — 系列目录 — 基于.NET的快速信息化系统开发框架
- uinty粒子系统子物体变大_新Unity 最新粒子系统如何用代码改变参数
- QT每日一练day12:QDailog
- fcc jQuery 练习
- 转:解决vs2015生成软件在XP中运行时提示“不是有效的WIN32应用程序”
- C#,汉字转拼音的算法与源代码
- Windows安装Visio流程图软件
- XTDRONE:ego_planner三维运动规划
- redis 结合 spring
- 【完结!】数据挖掘从入门到放弃(五)seaborn 的数据可视化
- C#:实现Euclidean distance欧氏距离算法(附完整源码)
- Unity3D_Util_Editor_显示RectTransform的世界坐标和相对坐标
- 人民币升值破七 香港物价上涨发工资改用人民币