Mirai 以一种简单而巧妙的方式利用了不安全的物联网设备。它扫描互联网的大块以寻找开放的 Telnet 端口，然后尝试登录默认密码。通过这种方式，它能够集结僵尸网络军队。

2016 年 10 月 12 日，大规模分布式拒绝服务(DDoS)攻击导致美国东海岸的大部分互联网无法访问。当局最初担心攻击是敌对民族国家所为，但实际上是Mirai 僵尸网络所为。

这种攻击最初没有那么宏大的野心——从 Minecraft 爱好者身上赚点钱——变得比它的创造者想象的更强大。这是一个关于意外后果和意外安全威胁的故事，它讲述了很多关于我们现代的故事。但是要理解它，您需要一点背景知识。

僵尸网络的工作原理

如果您想了解详细信息，请查看有关该主题的这本入门读物，但简而言之，僵尸网络是联网计算机（即“机器人”）的集合，这些计算机受到某个外部方的远程控制。通常，这些计算机已被一些外部攻击者入侵，这些攻击者在所有者不知情的情况下控制其功能的各个方面。

因为有很多机器人，控制器基本上可以访问一种被黑客攻击的超级计算机，他们可以将其用于恶意目的，而且由于机器人分布在互联网的各个部分，所以这台超级计算机很难被阻止。第一个僵尸网络是在2001年构建的，用于发送垃圾邮件，这仍然是一个常见用途：因为不需要的消息是从许多不同的计算机发送的，垃圾邮件过滤器很难阻止它们。另一种常见用途（也是Mirai 僵尸网络所服务的用途）是在 DDoS 攻击中充当步兵，在这种攻击中，目标服务器只是受到网络流量的轰炸，直到它不堪重负并被关闭。

什么是物联网僵尸网络？

多年来，PC 制造商在为他们的计算机构建安全性方面变得更加精明。但另一个诱人的目标是在那里僵尸网络的建设者：物联网（IOT）设备，用于各种小配件毯子术语，大多数人都没有想到的是电脑，但仍然具有处理能力和网络连接。这些设备，从家用路由器到安全摄像头，再到婴儿监视器，通常包括嵌入式、精简的 Linux 系统。它们通常也没有内置的远程修补能力，并且位于物理上偏远或无法访问的位置。

到2017 年，互联网上有84亿个这样的“东西”，可供采摘的时机已经成熟。Mirai 以一种简单而巧妙的方式利用了这些不安全的物联网设备。它没有尝试使用复杂的魔法来追踪物联网小工具，而是扫描互联网的大块以寻找开放的 Telnet 端口，然后尝试使用61 个用户名/密码组合登录，这些组合经常用作这些设备的默认设置并且从未改变。通过这种方式，它能够聚集一大批受损的闭路电视摄像机和路由器，准备好进行竞标。

Mirai 僵尸网络攻击是什么？

但让我们退后一点。谁建造了Mirai，它的目的是什么？

虽然大部分恶意软件生态系统来自东欧有组织犯罪或民族国家情报机构的阴暗黑社会，但我们实际上有名字和地点可以应对这种特别引人注目的攻击。罗格斯大学的本科生Paras Jha 对如何利用 DDoS 攻击获利感兴趣。他对自己大学的系统发起了一系列小攻击，时间安排与注册和期中考试等重要事件相匹配，同时试图说服他们雇用他来减轻这些攻击。

他也是Minecraft 的大玩家，Minecraft 经济的一个怪癖是托管 Minecraft 游戏服务器可以赚到很多钱——这会导致发生小规模冲突，其中主机向他们的竞争对手发起 DDoS 攻击，希望摧毁他们的服务器线下并吸引他们的业务。

Mirai 是 Jha 和他的朋友开发的一系列恶意软件僵尸网络软件包的另一个迭代版本。喜欢动漫并以“Anna-Senpai”的名义在网上发布的Jha，在动漫系列Mirai Nikki或“未来日记”之后将其命名为Mirai（日语“未来”，未来）。它封装了一些巧妙的技术，包括硬编码密码列表。但是，用调查袭击事件的联邦调查局特工的话来说，“这些孩子非常聪明，但他们没有做任何高水平的事情——他们只是有一个好主意。”

未来DDoS

Mirai 的第一波攻击浪潮发生在 2016 年 9 月 19 日，并被用于对抗法国主机OVH——因为后来证明，OVH 托管了一个流行的工具，Minecraft 服务器主机使用该工具来对抗 DDoS 攻击。几天后，“Anna-Senpai”在网上发布了 Mirai 僵尸网络的代码——这是一种并不少见的技术，可以让恶意软件创建者合理地予以否认，因为他们知道模仿者会使用该代码，而对于谁来说，水将变得混乱首先创建它。10 月 12 日的大规模攻击是由其他人针对Dyn发起的，Dyn是一家基础设施公司，除其他外，为许多大型网站提供DNS 服务。FBI 认为这次攻击最终是针对微软游戏服务器的。

2016 年 12 月，Jha 及其同伙对与Mirai 袭击有关的罪行认罪。但到那时，该代码已被广泛使用，并被用作进一步僵尸网络控制器的构建块。

Mirai僵尸网络源代码

是的，你没看错：Mirai 僵尸网络代码被释放到野外。这意味着任何人都可以用它来试试运气感染物联网设备（其中大部分仍然没有受到保护）并对他们的敌人发起DDoS 攻击，或者将这种能力卖给出价最高的人。许多网络犯罪分子已经这样做了，或者正在调整和改进代码以使其更加难以打击。

Mirai僵尸网络分析与检测

Imperva Incapsula 的好人对Mirai 僵尸网络代码进行了很好的分析。您应该前往那里进行深潜，但这里有一些要点：

[if !supportLists]· [endif]Mirai 可以发起 HTTP 泛洪和网络级攻击

[if !supportLists]· [endif]Mirai 硬连线要避免某些 IP 地址范围，包括 GE、惠普和美国国防部拥有的 IP 地址范围

[if !supportLists]· [endif]感染设备后，Mirai 会在该设备上查找其他恶意软件并将其清除，以便将小工具归为己有

[if !supportLists]· [endif]Mirai 的代码包含一些俄语字符串——正如我们后来了解到的那样，这是关于其最终起源的红鲱鱼

Imperva Incapsula 还有一个工具可以扫描您的网络以查找漏洞，特别是查找在Mirai 列表中具有登录名和密码的设备。由于 Mirai 将自身存储在内存中，因此重新启动设备足以清除任何潜在的感染，尽管受感染的设备通常会迅速重新感染。因此，如果您有任何易受攻击的设备，建议在重新启动之前将密码更改为更强的密码。