【黑客联盟2017年04月27日讯】如果真的出现了金刚狼、蜘蛛侠这样的“超级英雄”，你觉得这个世界变得更好了，还是更糟糕了？

有人觉得，如果需要一群自认为正义的“义警”来维护和平，那世界一定法制崩坏，烂透了。有人却认为如果真的恶徒当道，超级英雄的出现必然是好事。

这个问题没有结果，因为现实世界可能永远不会出现超级英雄。然而，网络空间却真的上演了类似情节：

一个名叫 Mirai 的恶意程序席卷了全世界超过100万台设备，对互联网设备肆意发起攻击。最严重时，造成了大半个美国断网事件（2016年10月美国大面积断网事件）

正当所有人对它无能为力，另一个奇特的程序出现了，它同样迅速传播，却不进行任何破坏，反而偷偷地将设备中的 Mirai 恶意程序的感染渠道“干掉”，并提醒人们注意安全。

没人知道这个奇特程序从哪里来的。但是，这不就是网络版的超级英雄电影情节么？

一群拥有超能力的变种人（Mirai 恶意程序）肆意妄为，正当人们束手无策陷入绝望，另一群拥有超能力者出现，试图拯救陷于危难的人们……

这情节简直能不再过瘾！

▲X战警海报（缅怀一下年轻时的狼叔）

一切还得从一头恶魔被解开封印说起……

恶魔解封

2016年9月30日，被惹怒的黑客 Senpai 释放了网络世界最恐怖的恶魔之一  ，Mirai 。那一天，全世界的安全研究者为之疯狂。一个月之后，这个恶魔就已经感染了全球超过100万台设备，而且数量依然急剧上升。

Mirai  其实只是个小小的恶意程序，但它会像寄生虫一样存在于设备中，不断感染更多设备，并操纵设备来进攻，一个，十个、一百个，不断传播。就像丧尸电影的病毒感染一样，一个咬一个，一个咬一个，最后丧尸席卷全球。

人们为这类蠕虫程序起了个形象的名字  ——“僵尸网络”。

▲僵尸网络，图片来自网络

在某些方面，Mirai  比真正的丧尸病毒更可怕。

首先，它就在你周围。

我们常说未来是物联网的时代，所有一切都变得智能。对于僵尸网络来说，那将是一场饕餮盛宴。你家的网络摄像头、智能电视、智能门锁、电话、路由器、电灯、路由器等所有联网设备都可能成为 Mirai 僵尸网络的“猎物”。

▲智能家居，图片来自网络

其次，Mirai 僵尸网络还具有强大的“重生”功能，你刚把自己被感染的设备上的Mirai病毒清除，可能不到一分钟，就又被其他“丧尸”重新感染。

最可怕的是，电影中的丧尸没有统一的指挥，不会进行有意识的集中攻击，而 Mirai 僵尸网络背后却有操纵者，他能操控成千上万被感染的设备对某一个目标发起进攻，形成“丧尸军团”。

你能想象几十万只丧尸在一个人的指挥之下朝你攻击过来的场景？

▲脑补场景，图片来自网络

真实网络丧尸围攻

2016年9月20日，著名的安全新闻网站 KrebsOnSecurity.com 就遭到了这样的“丧尸围攻”（DDoS 分布式拒绝攻击）,  网站一瞬间涌入大量流量，网站服务器带宽瞬间被撑爆，攻击峰值的网络流量达到每秒 665Gbps 。

同一天，法国网站主机OVH也遭到Mirai 的丧尸围攻，DDoS 攻击量最大达到 1.5Tpbs。

1.5Tbps 是什么概念？雷锋网再举个例子作为对比：

2013年3月， 一次 300Gbps 的攻击创下了历史记录，被评价为“差点瘫痪欧洲网络”。1.5Tbps 是它的三倍。放在两年前，两三个欧洲都瘫痪了。

据了解，国内一些中小城市总的带宽也不一定有500G，也就是说，如果有这么大的流量打到某个城市的IP上，这个城市多半要断网。

这就是 Mirai 的威力。

2016年9月30号那天，Mirai 的作者 Senpai 做了一件什么事？—— 他把 Mirai 的源代码公布到了网上，所有人都可以根据这些代码来制作属于自己的 Mirai 僵尸网络，都有机会指挥着成千上万的“网络丧尸”，攻城略地。

”我只管赚钱。现在很多人都把关注目光放在物联网上，是时候把Mirai公布出来了。” 释放 Mirai 时，Senpai 似乎很淡定。

20多天后，整个美国出现了大面积断网的情况，原因就是域名解析服务商 DYN 遭到强大的DDOS攻击，研究者发现了几十万个攻击来源，这一切来源都指向了 Mirai 僵尸网络。

从那之后，网络上感染 Mirai 的设备数量急剧扩大，根据数据统计，第一个月就翻了一倍。公开的 Mirai 被人们收藏、标记了几千次。

物联网的僵尸暗战

肆虐物联网的僵尸并不只有 Mirai 。

▲吸血鬼、僵尸、丧尸……品种丰富

去年圣诞节之前，12月21日上午，美国观测到一个由名为“Leet”的僵尸网络发起的攻击，流量高达 650Gps。

之后，网上又出现了一个专门针对DVR硬盘录像机感染的僵尸网络“Amnesia”，根据扫描结果，70多万个目标笼罩在它的威胁之下。

几个星期前的3月20日，一个和 Mirai 僵尸网络相似的名为 Brickerbot 的新型僵尸网络出现，和前者不同的是，它会直接干掉被入侵的设备（永久性地破坏）。比如让路口的摄像头损坏，甚至有办法让你的智能电饭煲炸掉……

各种各样的僵尸网络，他们以各自的节奏侵袭着这个世界，也会为了争夺一个攻击目标而大打出手。

最近一个名为 “Bashlight”的僵尸网络家族就和 Mirai竞争激烈。因为感染目标大致相同，利用的方法也大同小异，都涉及设备运行的嵌入式Linux系统使用的 busybox 漏洞。

于是 Mirai 出手了，它会加密了感染设备和指令控制服务器之间的流量，并且接管被Bashlight感染的设备，还会为设备打上补丁防止它们再次被竞争对手感染。

当一个猎物同时被吸血鬼和丧尸咬到，他到底会感染成吸血鬼还是丧尸？答案当然是看谁的毒性猛。当一台设备同时被两个僵尸网络感染，到底谁能拿到控制权？看谁的技术NB。

目前，Bashlight 僵尸网络中的 近 10 万台设备已被Mirai 控制。显然 Mirai 更胜一筹。

“滚开，这是老子的猎物。”

转机

就这样，网络世界成千上万的脆弱设备被各个僵尸网络不断侵袭、瓜分，每个僵尸网络都想控制更多的物联网设备控制权。一片混沌之中，两个“僵尸大家族”脱颖而出，争夺制霸物联网的名号。

他们的名字是，Mirai 和 Hajime ，巧的是，在日语中的意思分别是 ：“未来”—— “开始”

▲蓝色是Hajime ，橙色的是 Mirai

这两种僵尸蠕虫的传播方式类似，都是利用网络设备未采取保护措施的特性（比如一台网络路由器开放了远程登录端口并使用默认密码）进行传播。

但是 Hajime 的行动更为隐秘，技术也更为先进。

与 Mirai 在命令和控制 C&C 服务器使用硬编码地址不同，Hajime 建立在一个点对点网络之上。也就是说，Mirai 有可能找到幕后的操纵者 （C&C服务器），而 Hajime的幕后操纵者隐藏在任何一个感染者之中，更难溯源，也更难以摧毁。

▲就像电影《黑客帝国》中杀不死的病毒史密斯

安全公司赛门铁克告诉小编，在过去的几个月里，Hajime 的传播速度迅速。保守估计全球受感染的设备数量已经达到数万台，中国是受感染的市场之一。

▲Hajime 感染地区分布，来源：赛门铁克安全公告

然而，安全研究人员惊奇地发现，Hajime 并不会执行恶意操作，也不包含任何分布式拒绝攻击（Ddos）功能与代码，反而每隔10分钟向被感染的设备推送一个消息：

我们是保护系统的白帽子。我们将通过此方法展示重要信息！

Hajime 制作者

联系关闭

请保持警惕！

甚至 Hajime  还做了一系列改善安全性的动作，比如阻挡 Mirai 赖以攻击的端口（23、7547、5555 和 5358 的访问），关闭这些端口，将有效组织设备被 Mirai 感染！

没有人知道 Hajime 的制作者是谁，但是他却在物联网上用自己的方式帮助设备阻挡 Mirai 的感染。

▲Hajime 全球感染情况

争议 · 白帽子的白色蠕虫？

Hajime 不是第一个所谓正义者试图保护脆弱的物联网设备的蠕虫。

2014 至 2015 年，赛门铁克就曾发现一个名为 Linux.Wifatch 蠕虫软件。该软件由“白色团队”（the white team ) 编写，与 Hajime 的目的相似，试图为物联网设备提供安全保护。

这不就是超级英雄电影中蜘蛛侠、死侍的做派？—— “你们都让开，让我来”

正如电影中的超能力者受到争议一样，这种白色蠕虫也备受争议。

▲蜘蛛侠的正义和黑暗面，图片来源《蜘蛛侠3》

有人觉得 Hajime 这种强行提供保护的方式并不合法，难保有一天 Hajime 的作者反戈。

根据 Hajime的代码， 制造者可以随时在网络中的人易受感染设备中打开Shell 脚本。由于使用了模块化代码，设计者可以随时添加新的功能。一旦制作者改变主意打算搞点事情，便可以立即将受感染的设备转变成一个巨大的恶意僵尸网络。

有的人却认为这是一件好事，既然有些不负责任的厂商不作为，人们对僵尸网络无能为力，为什么不能以彼之道还治彼身？

甚至有的安全研究人员主动向 Hajime 提供帮助。在一篇关于Hajime 的研究报告中，安全人员发现了 Hajime 蠕虫中的漏洞，于是免费提供了一份质量保证报告，提供了检测这些漏洞的签名。此后 Hajime 果然将这些漏洞一一修复。

在电影《蜘蛛侠3》中，蜘蛛侠被外星生物引诱而沦为黑暗蜘蛛侠，最终经历一系列遭遇之后决定撕去黑暗，重回本质。在网络世界的超能力者黑客，他们同样面临金钱、贪欲等等引诱，他们可以选择成为“超级英雄”，也可能沦为邪恶暴徒，无论如何，他人的质疑和自我的人性拷问都无法避免。