美东部网站宕机后续：1100万路由器和摄像头仍在公网“裸奔”

10月22日凌晨，美国域名服务器管理服务供应商Dyn称其公司遭遇了DDoS（分布式拒绝服务）攻击，包括Twitter、Tumblr、Netflix、亚马逊、Shopify、Reddit、Airbnb、PayPal和Yelp等诸多网站无一幸免。

10月24日，安全博客 Security Affairs 上发布了一篇日志内容，宣称 RSA曾在10月初公布了一项新发现：黑客曾在黑市中宣传由其控制的、由庞大数量的 IoT设备组成的僵尸网络，其大致售价根据所购买的设备数量相关联，其中50000个售价4600美元，100000个售价7500美元。

10月24日，国内电子产品厂商雄迈表示在上周五美国发生的大规模网络攻击中，其产品无意中成为黑客“帮凶”；其产品中与默认密码强度不高有关的安全缺陷，是引发上周五美国大规模互联网攻击的部分原因。

白帽汇的安全研究人员给提供的后续研究报告认为，这与安全研究人员的发现相吻合：被称作Mirai的物联网僵尸网络病毒一直在利用雄迈产品中的缺陷，在其中注入恶意代码，并利用它们发动大规模分布式拒绝服务攻击，其中包括上周五的攻击。除此以外，物联网僵尸网络病毒“Mirai”还曾经制造过多起DDoS攻击事件，包括在上月参与发起了针对 KrebOnSecurity 安全站点的大规模分布式DDoS攻击，流量达到1T；而 OVH运营商也曾遭到同样手段的攻击。

以下内容均出自白帽汇的研究报告。

1.Mirai功能介绍

这是一款基于Linux的ELF类型木马，主要针对IoT设备，其中包含但不限于网络摄像头，路由器等。它可以高效扫描物联网系统设备，感染采用出厂密码设置或弱密码加密的脆弱物联网设备。被病毒感染后，该设备成为僵尸网络机器人并可在黑客命令下发动高强度僵尸网络攻击。

Mirai主要由loader、cnc控制器、bot服务端构成。loader主要用于创建服务端程序和状态监控；服务端程序包含了连接控制端、DDOS攻击、下载并运行文件功能。并且，服务端实现了反调试，近程隐藏，杀死系统进程，并建立相应端口的功能。DDoS攻击支持udp、vse（Valvesource engine specific flood）、dns、syn、ack、stomp、GRE ip flood、GRE Ethernetflood、http等洪水攻击方式。传播方式主要依靠爆破SSH和telnet弱口令。其中，包含了60余组用户名和密码的字典，扫描端口主要为23和2323。

2.潜在影响范围

此次受影响的范围涉及超过60余万台设备。

（此图引用自360网络研究院，如有侵权请联系删除）

目前，根据白帽汇安全实验室和广大白帽子贡献的fofa检索规则，统计出共有1100万摄像头和路由器暴漏在公网（当然这还不包括全部）。在此次受影响的设备中，国内的雄迈和大华，中兴存在很多。在top10的统计中就有雄迈和中兴。

前十设备排名(红色为此次受影响设备)

排名前五的网站地理位置分布（TOP 5）

HuaweiHomeGateway_Global

Plesk

海康威视（WW）

mikrotik

雄迈

3.Mirai的防护方法

1、若果开启了telnet服务，请关闭Telnet服务.

2、如果没有使用TCP/48101端口，请禁用。这样可以免受进一步的损害。

3、修改初始口令以及弱口令，加强密码安全。

4.Mirai清除

进入系统后如发现带有如下字符串的进程请结束并删除掉:

./{长字母字符串} alphabet

/dev/.{something}/dvrHelper

参考来源

http://blog.nsfocus.net/mirai-source-analysis-report/

http://www.toutiao.com/a6344836010480746753

http://bobao.360.cn/news/detail/3677.html

http://securityaffairs.co/wordpress/52657/iot/lot-botnet-sale.html

https://www.easyaq.com/newsdetail/id/359897463.shtml

http://data.netlab.360.com/mirai-scanner

https://github.com/jgamblin/Mirai-Source-Codehttp://data.netlab.360.com/feeds/mirai-scanner/scanner.list

白帽汇对表示，后续会持续跟踪此次事件。