如何保护你的路由器免受Mirai僵尸网络攻击

恶意攻击者用来加大其网络攻击规模的一种策略是使用僵尸网络。

僵尸网络是一组被感染的计算机网络，由恶意行为者远程控制。控制一组被感染计算机的恶意行为者被称为僵尸网络的管理者。被感染的设备被称为僵尸。

僵尸网络的管理者可以命令和控制被感染的计算机群体，使他们能够以更大规模进行攻击。僵尸网络被广泛用于大规模的拒绝服务攻击、网络钓鱼、垃圾邮件攻击和数据窃取。

一个以侵入数字设备并建立非常庞大僵尸网络而出名的恶意软件的例子是Mirai僵尸网络恶意软件。Mirai是一种以Linux设备上的漏洞为目标并利用这些漏洞的僵尸网络恶意软件。

感染后，Mirai会控制物联网设备，将其变成远程控制的僵尸，可以作为僵尸网络的一部分发起大规模的网络攻击。Mirai是用C和GO编写的。

该恶意软件在2016年引起了广泛关注，当时它被用于对DYN（一个提供域名服务的公司）进行分布式拒绝服务（DDOS）攻击。此次攻击导致互联网用户无法访问Airbnb、亚马逊、Twitter、Reddit、Paypal和Visa等网站。

Mirai恶意软件还负责对网络安全网站Krebs on Security和法国云计算公司OVHCloud进行DDOS攻击。

Mirai的创造过程

Mirai恶意软件是由当时二十多岁的学生Paras Jha和Josiah White编写的，他们也是ProTraf Solutions的创始人，该公司提供DDOS缓解服务。Mirai恶意软件是用C和Go编程语言编写的。

最初，他们开发Mirai的目标是使用DDOS攻击击败竞争对手，以便通过淘汰竞争对手来获取更多客户。

然后，他们开始将Mirai用于勒索和敲诈。这两个人会对公司发起DDOS攻击，然后联系被攻击的公司提供DDOS缓解服务。

Mirai僵尸网络引起了当局和网络安全界的关注，因为它被用于攻击Krebs on Security网站和OVH。随着Mirai僵尸网络开始成为新闻头条，创造者在一个公开的黑客论坛上泄露了Mirai僵尸网络的源代码。

这很可能是为了掩盖他们的行踪，避免为使用Mirai僵尸网络进行的DDOS攻击负责。Mirai僵尸网络的源代码被其他网络犯罪分子采用，从而衍生出了诸如Okiru、Masuta和Satori以及PureMasuta等变体。

Mirai僵尸网络的创造者最终被FBI逮捕。然而，由于他们与FBI合作抓捕其他网络犯罪分子并阻止网络攻击，他们没有被判入狱，而是获得了较轻的刑罚。

Mirai僵尸网络的工作原理

Mirai僵尸网络的攻击包括以下步骤：

1. Mirai Botnet首先扫描互联网上的IP地址，识别运行Linux的Arc处理器上的IoT devices。然后，它识别并攻击未设置密码或使用默认凭据的设备。
2. 一旦识别出易受攻击的设备，Mirai尝试使用各种已知的默认凭据来获取对设备的网络访问权限。如果设备使用默认配置或未设置密码，Mirai将登录设备并感染它。
3. Mirai Botnet然后扫描设备，查找是否被其他恶意软件感染。如果有感染，它将删除所有其他恶意软件，使自己成为设备上唯一的恶意软件，从而对设备具有更多控制权。
4. 一旦被Mirai感染，设备就成为Mirai Botnet的一部分，并可以从集中服务器远程控制。这样的设备只需等待来自中央服务器的命令。
5. 感染的设备随后被用于感染其他设备，或作为僵尸网络的一部分，在互联网上对网站、服务器、网络或其他资源进行大规模的DDOS攻击。

值得注意的是，Mirai Botnet具有不会被攻击或感染的IP范围。其中包括私有网络和分配给美国国防部和美国邮政局的IP地址。

Mirai Botnet攻击的设备类型

Mirai Botnet的主要目标是使用ARC处理器的物联网设备。根据Mirai bot的作者之一Paras Jha的说法，Mirai Botnet感染和使用的大多数物联网设备是路由器。

然而，Mirai Botnet的潜在受害者列表包括其他使用ARC处理器的物联网设备。

这可能包括智能家居设备，如安全摄像头、baby monitors、恒温器和智能电视，可穿戴设备，如健身追踪器和手表，以及医疗物联网设备，如葡萄糖监测仪和胰岛素泵。使用ARC处理器的工业物联网设备和医疗物联网设备也可能成为Mirai botnet的受害者。

如何检测Mirai Botnet感染

Mirai Botnet旨在隐蔽攻击，因此要检测到您的物联网设备是否被Mirai Botnet感染并不容易。然而，并非没有迹象可供检测。然而，可以注意以下指标，可能表明您的物联网设备可能受到Mirai Botnet感染：

• 网络连接变慢 – Mirai botnet可能导致您的互联网速度变慢，因为您的物联网设备被用于发动大规模DDOS攻击。
• 异常的网络流量 – 如果您经常监视网络活动，您可能会注意到突然增加的流量或向不熟悉的IP地址发送的请求。
• 设备性能下降 – 您的物联网设备表现不佳或出现异常行为，如自动关闭或重启，可能表明可能受到Mirai感染。
• 设备配置更改 – Mirai Botnet可能对您的物联网设备的设置或默认配置进行更改，以使设备更容易被利用和控制。如果您注意到物联网设备配置的更改并且您不负责这些更改，可能表明可能受到Mirai Botnet感染。

尽管有迹象可以警惕设备是否被感染，但有时您可能不会轻易注意到它们，因为Mirai Botnet的设计使其很难被检测。因此，处理Mirai Botnet感染的最佳方法是防止其感染您的物联网设备。

然而，如果您怀疑检测到了物联网设备的感染，请将其与网络断开连接，并在消除威胁后重新连接设备。

如何保护您的设备免受Mirai僵尸网络感染

Mirai僵尸网络感染物联网设备的关键策略是测试一系列众所周知的默认配置，以查看用户是否仍在使用默认配置。

如果是这种情况，Mirai将登录并感染设备。因此，保护您的物联网设备免受Mirai僵尸网络感染的一个重要步骤是避免使用默认用户名和密码。

请确保更改您的凭据并使用无法轻易猜测的passwords。您甚至可以使用随机密码生成器获取无法猜测的唯一密码。

您可以采取的另一个步骤是定期更新设备的firmware，并在发布安全补丁时安装它们。公司通常在发现设备存在漏洞时发布安全补丁。

因此，每当发布安全补丁时安装它们都可以帮助您保持领先于攻击者。如果您的物联网设备具有远程访问功能，考虑禁用它，除非您不需要该功能。

您可以采取的其他措施包括定期监控您的网络活动，并将家庭网络分割成不与重要网络连接的物联网设备。

结论

尽管Mirai僵尸网络的创建者已被当局逮捕，但Mirai僵尸网络感染的风险仍然存在。Mirai僵尸网络源代码已公开发布，这导致了Mirai僵尸网络的致命变种的创建，这些变种针对物联网设备并对设备具有更多控制。

因此，在购买物联网设备时，应考虑设备制造商提供的安全功能。购买具有防止可能的恶意软件感染的安全功能的物联网设备。

此外，避免在设备中使用默认配置，并定期更新设备的固件并在发布所有最新的安全补丁时安装它们。

您还可以探索最佳的EDR Tools以快速检测和响应网络攻击。