去年干掉Dyn讓全球多家大型網(wǎng)站無(wú)法訪問(wèn)的DDoS攻擊始作俑者——Mirai僵尸網(wǎng)絡(luò)，至今依然逍遙法外。

　　據(jù)Dyn公司估測(cè)，2016年10月致其服務(wù)中斷的DDoS攻擊中，至少涉及了10萬(wàn)臺(tái)被Mirai感染的設(shè)備。11月7號(hào)，安全評(píng)級(jí)公司SecurityScorecard發(fā)布一份研究結(jié)果，稱即便在面世1年之后，Mirai僵尸網(wǎng)絡(luò)感染依然廣泛。

　　2017年7月到9月間，SecurityScorecard在公網(wǎng)上發(fā)現(xiàn)34,062個(gè)IPv4地址，呈現(xiàn)出被Mirai物聯(lián)網(wǎng)(IoT)惡意軟件感染的嵌入式設(shè)備所表現(xiàn)出的癥狀。而2016年8月1日到2017年7月31日的1整年間，感染Mirai IoT惡意軟件的IoT設(shè)備IPv4地址數(shù)量為184,258個(gè)。

　　即便該僵尸網(wǎng)絡(luò)更小更分散，依然對(duì)互聯(lián)網(wǎng)安全產(chǎn)生了威脅。

　　其他安全專家也贊同該評(píng)估。Mirai僵尸主機(jī)數(shù)量的下降，與IoT安全的改善毫無(wú)關(guān)系。比如用戶給DVR之類最易被感染的設(shè)備打上補(bǔ)丁。而是在于Mirai不是長(zhǎng)期駐留型，感染在主機(jī)重啟后就會(huì)消失。Mirai攻擊的是基于中國(guó)電子設(shè)備廠商雄邁的DVR，這些設(shè)備很不穩(wěn)定，可以很容易地遠(yuǎn)程重啟它們——不用經(jīng)過(guò)身份驗(yàn)證。

　　因此，沒(méi)有哪個(gè)僵尸網(wǎng)絡(luò)操控者可以創(chuàng)建單一大型僵尸網(wǎng)絡(luò)——DVR會(huì)隨機(jī)重啟，需要盡快再次入侵。

　　其他更近期的IoT僵尸網(wǎng)絡(luò)，比如最具代表性的Reaper，則展現(xiàn)出更大的安全風(fēng)險(xiǎn)。

　　對(duì)Dyn公司的攻擊，發(fā)生在信息安全博主布萊恩·克雷布斯的網(wǎng)站遭攻擊之后，德國(guó)電信和TalkTalk的路由器被Mirai變種發(fā)起DDoS攻擊之前。所有這些都發(fā)生在去年。用IoT設(shè)備當(dāng)攻擊平臺(tái)的高調(diào)DDoS攻擊為什么沒(méi)有延續(xù)，是個(gè)令人費(fèi)解的問(wèn)題，尤其是在傷害潛力不減的情況下。

　　比如說(shuō)，上月，安全研究員特洛伊·穆?tīng)柺埠湍釥?middot;克拉維茲博士，發(fā)現(xiàn)了有EnGenius路由器構(gòu)成的類Mirai僵尸網(wǎng)絡(luò)。穆?tīng)柺卜Q，自2月以來(lái)，他已在網(wǎng)絡(luò)中發(fā)現(xiàn)了9萬(wàn)臺(tái)被控設(shè)備。

　　Mirai源代碼于2016年10月初泄露，就在Dyn公司遭DDoS攻擊前3周。這開啟了僵尸網(wǎng)絡(luò)養(yǎng)殖模仿作案的大門。

　　情況如何?

　　SecurityScorecard公司的Mirai情報(bào)，提供了感染該IoT惡意軟件設(shè)備的現(xiàn)狀分析。

　　2017年第3季度，教育產(chǎn)業(yè)是受Mirai變種影響最大的行業(yè)，緊隨其后的是能源、制造業(yè)、娛樂(lè)行業(yè)和金融服務(wù)業(yè)。

　　這一階段受Mirai活動(dòng)影響最嚴(yán)重的國(guó)家，是墨西哥，然后是中國(guó)、美國(guó)、巴西和土耳其。

　　墨西哥Mirai感染的盛行，是其IoT系統(tǒng)推廣工作的副產(chǎn)品，比如最近推出的面向IoT的地區(qū)性專用通訊服務(wù)。