这是Elie Bursztein写的一篇关于安全和反虐待研究的客座帖子。它首次发布于他的博客并进行了轻微编辑。
本文对Mirai进行了回顾性分析。Mirai是一个臭名昭著的物联网僵尸网络,它使用数十万台受损的物联网设备,通过大规模分布式拒绝服务,摧毁了主要网站。这项研究由来自Cloudflare(Jaime Cochran、Nick Sullivan)、佐治亚理工学院、谷歌、Akamai、伊利诺伊大学、密歇根大学和Merit Network的研究人员组成的团队进行,结果显示2017年USENIX Security上发表的论文。
在2016年9月的巅峰时期,Mirai暂时削弱了一些备受瞩目的服务,例如OVH公司,戴恩、和克雷布斯论安全通过大规模分布式拒绝服务攻击(DDoS)。OVH报告这些攻击超过了1 Tbps,是公共记录中最大的一次。
这些破纪录的攻击值得注意的是,它们是通过小型、无害的物联网(Internet-of-Things,IoT)设备进行的,如家庭路由器、空气质量监测器和个人监控摄像机。根据我们的测量,在高峰时期,Mirai感染了60多万易受攻击的物联网设备。
这篇博客文章遵循了上面的时间表
###Mirai基因
晚些时候Mirai的第一次公开报道2016年8月几乎没有人注意到米莱,而米莱在9月中旬之前一直处于阴影之中。当时,当它被用来进行大规模DDoS攻击时,它被推到了聚光灯下克雷布斯论安全一位著名安全记者的博客OVH公司是全球最大的网络托管提供商之一。
虽然世界直到8月底才了解Mirai,但我们的遥测数据显示,当感染源于一个防弹主机IP时,Mirai在8月1日变得活跃起来。从那时起,Mirai迅速扩散,在最初的几个小时里,每76分钟就翻一番。
到第一天结束时,Mirai已经感染了65000多台IoT设备。如上图所示,到第二天,Mirai已经占据了我们的蜜罐集合所观察到的所有互联网telnet扫描的一半。在2016年11月达到顶峰时,Mirai已经感染了60多万台物联网设备。
使用Censys公司互联网扫描显示,如上图所示,大多数设备似乎是路由器和摄像头。每种类型的横幅都是单独表示的,因为每种横幅的识别过程都不同,因此可能会对设备进行多次计数。Mirai正在积极删除任何横幅标识,这部分解释了为什么我们无法识别大多数设备。
在深入研究Mirai的故事之前,让我们简单地看看Mirai是如何工作的,特别是它是如何传播的以及它的进攻能力。
Mirai的工作原理
Mirai的核心是自繁殖蠕虫也就是说,它是一个恶意程序,通过发现、攻击和感染易受攻击的物联网设备来复制自身。它也被视为僵尸网络,因为受感染的设备是通过一组中央命令和控制(C&C)服务器进行控制的。这些服务器告诉受感染的设备接下来要攻击哪些站点。总体而言,Mirai由两个关键组件组成:一个复制模块和一个攻击模块。
复制模块
复制模块负责通过奴役尽可能多的易受攻击的物联网设备来扩大僵尸网络的规模。它通过(随机)扫描整个互联网寻找可行的目标并进行攻击来实现这一点。一旦它破坏了易受攻击的设备,该模块就会将其报告给C&C服务器,以便感染上最新的Mirai负载,如上图所示。
为了危害设备,Mirai的初始版本完全依赖于物联网设备常用的64个已知默认登录/密码组合的固定集。虽然这一攻击技术含量很低,但事实证明它非常有效,导致60多万台设备遭到破坏。有关DDoS技术的更多信息,请阅读以下内容Cloudflare底漆。
攻击模块
攻击模块负责对C&C服务器指定的目标进行DDoS攻击。此模块实现了大多数代码DDoS技术,如HTTP洪泛、UDP洪泛和所有TCP洪泛选项。这种广泛的方法允许Mirai执行体积攻击、应用程序层攻击和TCP状态耗尽攻击。
克雷布斯谈安全攻击
克雷布斯论安全是Brian Krebs的博客。克雷布斯是一位广为人知的独立记者,专门研究网络犯罪。考虑到布莱恩的工作范围,他的博客受到了他所揭露的网络罪犯发起的许多DDoS攻击,这一点不足为奇。根据他的遥测数据(感谢分享,Brian!),他的博客在2012年7月至2016年9月期间遭受了269次DDOS攻击。如上图所示,Mirai攻击是迄今为止最大的一次,最高可达623 Gbps。
查看针对Brian网站的IP的地理位置,发现参与攻击的设备数量不成比例地来自南美和东南亚。如上图所示,巴西、越南和哥伦比亚似乎是受损设备的主要来源。
此次针对Krebs的大规模攻击的一个可怕后果是,为Brian提供DDoS保护的CDN服务Akamai不得不撤回其支持。这迫使Brian将其网站移至Project Shield正如他在博客帖子,这起事件凸显了DDoS攻击如何成为一种常见且廉价的审查方式。
OVH攻击
布莱恩并不是米莱的第一个高调受害者。在他被袭击前几天,米莱袭击了奥夫赫是欧洲最大的托管提供商之一。根据他们的官方数字,OVH为超过100万个客户端托管大约1800万个应用程序,维基解密成为他们最著名的有争议的。
由于OVH没有参与我们的联合研究,我们对此次袭击知之甚少。因此,有关它的最佳信息来自于事件发生后发布的OVH博客帖子。从这篇帖子来看,攻击似乎持续了大约一周,涉及到针对一位未公开OVH客户的大规模间歇性DDoS流量爆发。
OVH的创始人Octave Klaba在推特上报道称,这些攻击的目标是Minecraft服务器。正如我们将在这篇帖子中看到的,Mirai在玩家战争中被广泛使用,很可能是它最初创建的原因。
根据OVH遥测数据,攻击达到峰值1TB,使用145000个物联网设备进行。虽然物联网设备的数量与我们观察到的一致,但报告的攻击量明显高于我们观察到其他攻击的数量。例如,如前所述,Brian的最高速率为623 Gbps。
无论具体规模如何,米莱袭击显然是有史以来规模最大的一次。他们让之前的公共纪录保持者相形见绌,对Cloudflare的攻击达到了顶峰约400 Gpbs。
模仿者的兴起
2017年9月30日,米莱的据称作者安娜·森派伊(Anna-senpai)出乎意料地发现,发布了Mirai源代码通过臭名昭著的黑客论坛。他还写了一篇论坛帖子,如上图所示,宣布退休。
这一代码发布引发了大量模仿黑客,他们开始运行自己的Mirai僵尸网络。从那时起,Mirai袭击事件与单个参与者或基础设施无关,而是与多个团体相关,这使得确定袭击原因和识别袭击背后的动机变得更加困难。
集群Mirai基础设施
为了跟上Mirai变体的扩散并跟踪其背后的各种黑客团体,我们转向了基础设施集群。对我们能找到的所有Mirai版本进行反向工程,使我们能够提取各种黑客团体用作C&C的IP地址和域,而不是运行他们自己的Mirai变种。我们总共恢复了两个IP地址和66个不同的域。
在提取的域上应用DNS扩展并对其进行聚类,使我们确定了33个没有共享基础设施的独立C&C集群。最小的集群使用单个IP作为C&C。最大的集群拥有112个域和92个IP地址。上图描述了我们发现的六个最大的星团。
这些顶级集群对其域名使用了非常不同的命名方案:例如,“集群23”倾向于与动物相关的域名,如33kitenspecial.pw,而“集群1”有许多与电子货币相关的域名,如walletzone.ru。许多具有不同特征的不同基础设施的存在证实了在源代码泄漏后,多个组独立运行Mirai。
随时间变化的群集
查看对其各自的C&C基础结构进行了多少DNS查找,使我们能够重建每个集群的时间轴并估计其相对大小。这种计算是可能的,因为每个机器人必须定期执行DNS查找,以了解其C&C域解析到的IP地址。
上图报告了一些最大集群的DNS查找次数。它强调了一个事实,即许多人同时处于活跃状态。同时激活多个变体再次强调了具有不同动机的多个参与者正在竞争感染易受攻击的物联网设备以实施DDoS攻击。
在图中绘制所有变体清楚地表明,每个变体感染的物联网设备的范围差异很大。正如上图所示,虽然有很多Mirai变体,但很少有人成功地发展出一个足以摧毁主要网站的僵尸网络。
从集群到动机
值得注意的集群| 集群 | 笔记 |
|---|
| 6 | 被攻击的Dyn和游戏相关目标 |
| 1 | 原始僵尸网络。被袭击的克雷布斯和OVH |
| 2 | 被攻击的Lonestar细胞 |
查看最大集群的目标站点,可以了解这些变体背后的具体动机。例如,如上表所示,最初的Mirai僵尸网络(集群1)以OVH和Krebs为目标,而Mirai的最大实例(集群6)以DYN和其他游戏相关站点为目标。相比之下,Mirai的第三大变种(集群2)则紧随非洲电信运营商之后,如本文稍后所述。
| 目标 | 攻击 | 集群 | 笔记 |
|---|
| Lonestar细胞 | 616 | 2 | 利比里亚电信受到102次反射攻击 |
| 天空电视网 | 318 | 15, 26, 6 | Psychz Networks数据中心托管的巴西Minecraft服务器 |
| 104.85.165.1 | 192 | 1, 2, 6, 8, 11, 15 ... | Akamai网络中的未知路由器 |
| feseli.com网站 | 157 | 7 | 俄罗斯烹饪博客 |
| Minomartaruolo.it公司 | 157 | 7 | 意大利政治家网站 |
| 语音托管C2 | 106 | 1, 2, 6, 7, 15 ... | 已知诱饵目标 |
| 推唐网站 | 100 | -- | 对两个中国持不同政见网站的HTTP攻击 |
| execrypt.com | 96 | -0- | 二进制模糊处理服务 |
| Auktionshilfe.info公司 | 85 | 2, 13 | 俄罗斯拍卖网站 |
| 后台龙旗科技网 | 85 | 25 | 对前游戏商业网站的SYN攻击 |
| 逃跑 | 73 | - | 流行网络游戏的第26位 |
| 184.84.240.54 | 72 | 1, 10, 11, 15 ... | Akamai托管的未知目标 |
| 抗剂量解决方案 | 71 | - | react.su上提供的防DDoS服务。 |
查看所有Mirai变体中受攻击最多的服务可以发现以下几点:
- Booter服务货币化Mirai:目标的广泛多样性表明,引导服务至少运行了一些最大的集群。引导服务是由网络犯罪分子提供的一种服务,向付费客户提供按需DDoS攻击功能。
- 参与者比集群少:一些集群有很强的重叠目标,这往往表明它们是由相同的参与者运行的。例如,集群15、26和6用于针对特定的Minecraft服务器。
Mirai对互联网的破坏
10月21日,aMirai袭击针对流行的DNS提供商DYN。此事件阻止Internet用户访问许多热门网站包括AirBnB、Amazon、Github、HBO、Netflix、Paypal、Reddit和Twitter,通过干扰DYN名称解析服务。
我们认为,这次攻击并不是像媒体所描绘的那样,旨在“摧毁互联网”,而是与针对游戏平台的一系列更大的攻击联系在一起。
我们通过观察DYN变体的其他靶点(簇6)得出了这一结论。它们都与游戏有关。此外,这也与OVH攻击一致,因为它也是目标,因为它托管了前面讨论的特定游戏服务器。虽然看起来很悲哀,但所有受DYN攻击影响的著名网站显然都是玩家之间战争的附带破坏。
Mirai试图摧毁整个国家的网络?10月31日
10月31日,利比里亚最大的电信运营商之一Lonestar Cell开始成为Mirai的目标。在接下来的几个月里,它遭受了616起袭击,是所有Mirai受害者中最多的。
负责这些攻击的Mirai集群与原始Mirai或DYN变体没有共同的基础设施,这表明它们是由与原始作者完全不同的演员策划的。
我们的研究发表几周后,当最具攻击性的Mirai变异体之一的作者证实了这一评估在审判中供认不讳他被雇来干掉Lonestar。他承认,一家未透露姓名的利比里亚ISP向他支付了1万美元,以击败其竞争对手。这验证了我们的聚类方法能够准确跟踪和属性Mirai的攻击。
德国电信(Deutsche Telekom)陷入黑暗
2016年11月26日,德国最大的互联网提供商之一德国电信遭遇了大规模停运在90万台路由器遭到破坏之后。
具有讽刺意味的是,这次宕机并不是由于另一次Mirai DDoS攻击,而是由于Mirai的一个特别创新和有缺陷的版本,它在试图破坏这些设备的同时使这些设备离线。这种变体也影响了数千TalkTalk路由器。
这个变体之所以能够感染如此多的路由器,是因为在其复制模块中添加了一个针对CPE WAN管理协议(CWMP)CWMP协议是一种基于HTTP的协议,许多互联网提供商使用该协议来自动配置和远程管理家庭路由器、调制解调器和其他客户对代理(CPE)设备。
除了其规模之外,这起事件还具有重大意义,因为它表明黑客将更复杂的物联网漏洞武器化会导致非常强大的僵尸网络。我们希望德国电信的活动能敲响警钟,推动物联网自动更新成为强制性的。鉴于互联网用户手动修补其物联网设备的不良记录,这对于遏制易受攻击的物联网设备带来的重大风险非常必要。
Mirai原作者被揭穿了?
布莱恩·克雷布斯(Brian Krebs)的网站被关闭后的几个月里,他花了数百个小时调查声名狼藉的《米莱》(Mirai)作者安娜·森帕伊(Anna-Senpai)。2017年1月初,Brian宣布相信Anna-senpai将成为罗格斯大学的一名学生Paras Jha,她显然参与了之前的游戏相关计划。布赖恩还确认乔西娅·怀特是一位感兴趣的人。在被曝光后,帕拉斯·杰哈、乔西娅·怀特和另一个人受到当局的审问认罪在联邦法院受到各种指控,其中一些指控包括他们与米莱有关的活动。
德国电信攻击者被捕
2016年11月,导致德国电信瘫痪的Mirai僵尸网络变体的作者Daniel Kaye(又名BestBuy)在卢顿机场在Mirai之前,一位29岁的英国公民因在各种黑暗网络市场上出售黑客服务而臭名昭著。
2017年7月,丹尼尔·凯被引渡到德国几个月后认罪被判处一年半有期徒刑和缓刑。在审判期间,丹尼尔承认他从未打算让路由器停止工作。他只想悄悄地控制它们,这样他就可以将它们用作DDoS僵尸网络的一部分,以增加僵尸网络火力。如前所述,他还承认竞争对手付钱收购Lonestar。
2017年8月,丹尼尔引渡回英国面临勒索指控在试图勒索劳埃德银行和巴克莱银行之后。据媒体报道,他要求劳埃德银行支付约75000英镑比特币,以取消此次攻击。
Takeways公司
互联网上不安全的物联网设备的普遍存在,使得在可预见的未来,它们很可能成为DDoS攻击的主要来源。
如果物联网供应商开始遵循基本的安全最佳实践,就可以避免Mirai和随后的物联网僵尸网络。特别是,我们建议所有物联网设备制造商应满足以下要求:
- 消除默认凭据:这将防止黑客构建凭证主列表,从而像MIRAI那样危害无数设备。
- 强制设置自动打印:物联网设备意味着“设置并忘记”,这使得手动修补不太可能。让它们自动分页是唯一合理的选择,可以确保不会有像德国电信这样的广泛漏洞被利用来摧毁互联网的大部分。
- 机具速度限制:实施登录速率限制以防止暴力攻击是一种很好的方法,可以减少人们使用弱密码的倾向。另一种选择是使用captcha或证据或作品。
谢谢你一直读到最后!