本文作者：謝幺，雷鋒網(wǎng)網(wǎng)絡(luò)安全作者。

知乎上有這么一個(gè)提問(wèn)：

如果真的出現(xiàn)了金剛狼、蜘蛛俠這樣的“超級(jí)英雄”，你覺(jué)得這個(gè)世界變得更好了，還是更糟糕了？

有人覺(jué)得，如果需要一群自認(rèn)為正義的“義警”來(lái)維護(hù)和平，那世界一定法制崩壞，爛透了。有人卻認(rèn)為如果真的惡徒當(dāng)?shù)溃?jí)英雄的出現(xiàn)必然是好事。

這個(gè)問(wèn)題沒(méi)有結(jié)果，因?yàn)楝F(xiàn)實(shí)世界可能永遠(yuǎn)不會(huì)出現(xiàn)超級(jí)英雄。然而，網(wǎng)絡(luò)空間卻真的上演了類(lèi)似情節(jié)：

一個(gè)名叫 Mirai 的惡意程序席卷了全世界超過(guò)100萬(wàn)臺(tái)設(shè)備，對(duì)互聯(lián)網(wǎng)設(shè)備肆意發(fā)起攻擊。最嚴(yán)重時(shí)，造成了大半個(gè)美國(guó)斷網(wǎng)事件（2016年10月美國(guó)大面積斷網(wǎng)事件）

正當(dāng)所有人對(duì)它無(wú)能為力，另一個(gè)奇特的程序出現(xiàn)了，它同樣迅速傳播，卻不進(jìn)行任何破壞，反而偷偷地將設(shè)備中的 Mirai 惡意程序的感染渠道“干掉”，并提醒人們注意安全。

沒(méi)人知道這個(gè)奇特程序從哪里來(lái)的。但是，這不就是網(wǎng)絡(luò)版的超級(jí)英雄電影情節(jié)么？

一群擁有超能力的變種人（Mirai 惡意程序）肆意妄為，正當(dāng)人們束手無(wú)策陷入絕望，另一群擁有超能力者出現(xiàn)，試圖拯救陷于危難的人們……

這情節(jié)簡(jiǎn)直能不再過(guò)癮！

X戰(zhàn)警海報(bào)（緬懷一下年輕時(shí)的狼叔）

一切還得從一頭惡魔被解開(kāi)封印說(shuō)起……

2016年9月30日，被惹怒的黑客 Senpai 釋放了網(wǎng)絡(luò)世界最恐怖的惡魔之一 ，Mirai 。那一天，全世界的安全研究者為之瘋狂。一個(gè)月之后，這個(gè)惡魔就已經(jīng)感染了全球超過(guò)100萬(wàn)臺(tái)設(shè)備，而且數(shù)量依然急劇上升。

Mirai 其實(shí)只是個(gè)小小的惡意程序，但它會(huì)像寄生蟲(chóng)一樣存在于設(shè)備中，不斷感染更多設(shè)備，并操縱設(shè)備來(lái)進(jìn)攻，一個(gè)，十個(gè)、一百個(gè)，不斷傳播。就像喪尸電影的病毒感染一樣，一個(gè)咬一個(gè)，一個(gè)咬一個(gè)，最后喪尸席卷全球。

人們?yōu)檫@類(lèi)蠕蟲(chóng)程序起了個(gè)形象的名字 ——“僵尸網(wǎng)絡(luò)”。

僵尸網(wǎng)絡(luò)，圖片來(lái)自網(wǎng)絡(luò)

在某些方面，Mirai 比真正的喪尸病毒更可怕。

首先，它就在你周?chē)?/p>

我們常說(shuō)未來(lái)是物聯(lián)網(wǎng)的時(shí)代，所有一切都變得智能。對(duì)于僵尸網(wǎng)絡(luò)來(lái)說(shuō)，那將是一場(chǎng)饕餮盛宴。你家的網(wǎng)絡(luò)攝像頭、智能電視、智能門(mén)鎖、電話、路由器、電燈、路由器等所有聯(lián)網(wǎng)設(shè)備都可能成為 Mirai 僵尸網(wǎng)絡(luò)的“獵物”。

智能家居，圖片來(lái)自網(wǎng)絡(luò)

其次，Mirai 僵尸網(wǎng)絡(luò)還具有強(qiáng)大的“重生”功能，你剛把自己被感染的設(shè)備上的Mirai病毒清除，可能不到一分鐘，就又被其他“喪尸”重新感染。

最可怕的是，電影中的喪尸沒(méi)有統(tǒng)一的指揮，不會(huì)進(jìn)行有意識(shí)的集中攻擊，而 Mirai 僵尸網(wǎng)絡(luò)背后卻有操縱者，他能操控成千上萬(wàn)被感染的設(shè)備對(duì)某一個(gè)目標(biāo)發(fā)起進(jìn)攻，形成“喪尸軍團(tuán)”。

你能想象幾十萬(wàn)只喪尸在一個(gè)人的指揮之下朝你攻擊過(guò)來(lái)的場(chǎng)景？

腦補(bǔ)場(chǎng)景，圖片來(lái)自網(wǎng)絡(luò)

2016年9月20日，著名的安全新聞網(wǎng)站 KrebsOnSecurity.com 就遭到了這樣的“喪尸圍攻”（DDoS 分布式拒絕攻擊）, 網(wǎng)站一瞬間涌入大量流量，網(wǎng)站服務(wù)器帶寬瞬間被撐爆，攻擊峰值的網(wǎng)絡(luò)流量達(dá)到每秒 665Gbps 。

同一天，法國(guó)網(wǎng)站主機(jī)OVH也遭到Mirai 的喪尸圍攻，DDoS 攻擊量最大達(dá)到 1.5Tpbs。

1.5Tbps 是什么概念？雷鋒網(wǎng)再舉個(gè)例子作為對(duì)比：

2013年3月， 一次 300Gbps 的攻擊創(chuàng)下了歷史記錄，被評(píng)價(jià)為“差點(diǎn)癱瘓歐洲網(wǎng)絡(luò)”。1.5Tbps 是它的三倍。放在兩年前，兩三個(gè)歐洲都癱瘓了。

據(jù)宅客了解，國(guó)內(nèi)一些中小城市總的帶寬也不一定有500G，也就是說(shuō)，如果有這么大的流量打到某個(gè)城市的IP上，這個(gè)城市多半要斷網(wǎng)。

這就是 Mirai 的威力。

2016年9月30號(hào)那天，Mirai 的作者 Senpai 做了一件什么事？—— 他把 Mirai 的源代碼公布到了網(wǎng)上，所有人都可以根據(jù)這些代碼來(lái)制作屬于自己的 Mirai 僵尸網(wǎng)絡(luò)，都有機(jī)會(huì)指揮著成千上萬(wàn)的“網(wǎng)絡(luò)喪尸”，攻城略地。

”我只管賺錢(qián)。現(xiàn)在很多人都把關(guān)注目光放在物聯(lián)網(wǎng)上，是時(shí)候把Mirai公布出來(lái)了。” 釋放 Mirai 時(shí)，Senpai 似乎很淡定。

20多天后，整個(gè)美國(guó)出現(xiàn)了大面積斷網(wǎng)的情況，原因就是域名解析服務(wù)商 DYN 遭到強(qiáng)大的DDOS攻擊，研究者發(fā)現(xiàn)了幾十萬(wàn)個(gè)攻擊來(lái)源，這一切來(lái)源都指向了 Mirai 僵尸網(wǎng)絡(luò)。

從那之后，網(wǎng)絡(luò)上感染 Mirai 的設(shè)備數(shù)量急劇擴(kuò)大，根據(jù)數(shù)據(jù)統(tǒng)計(jì)，第一個(gè)月就翻了一倍。公開(kāi)的 Mirai 被人們收藏、標(biāo)記了幾千次。

肆虐物聯(lián)網(wǎng)的僵尸并不只有 Mirai 。

吸血鬼、僵尸、喪尸……品種豐富

去年圣誕節(jié)之前，12月21日上午，美國(guó)觀測(cè)到一個(gè)由名為“Leet”的僵尸網(wǎng)絡(luò)發(fā)起的攻擊，流量高達(dá) 650Gps。

之后，網(wǎng)上又出現(xiàn)了一個(gè)專(zhuān)門(mén)針對(duì)DVR硬盤(pán)錄像機(jī)感染的僵尸網(wǎng)絡(luò)“Amnesia”，根據(jù)掃描結(jié)果，70多萬(wàn)個(gè)目標(biāo)籠罩在它的威脅之下。

幾個(gè)星期前的3月20日，一個(gè)和 Mirai 僵尸網(wǎng)絡(luò)相似的名為 Brickerbot 的新型僵尸網(wǎng)絡(luò)出現(xiàn)，和前者不同的是，它會(huì)直接干掉被入侵的設(shè)備（永久性地破壞）。比如讓路口的攝像頭損壞，甚至有辦法讓你的智能電飯煲炸掉……

各種各樣的僵尸網(wǎng)絡(luò)，他們以各自的節(jié)奏侵襲著這個(gè)世界，也會(huì)為了爭(zhēng)奪一個(gè)攻擊目標(biāo)而大打出手。

最近一個(gè)名為 “Bashlight”的僵尸網(wǎng)絡(luò)家族就和 Mirai競(jìng)爭(zhēng)激烈。因?yàn)楦腥灸繕?biāo)大致相同，利用的方法也大同小異，都涉及設(shè)備運(yùn)行的嵌入式Linux系統(tǒng)使用的 busybox 漏洞。

于是 Mirai 出手了，它會(huì)加密了感染設(shè)備和指令控制服務(wù)器之間的流量，并且接管被Bashlight感染的設(shè)備，還會(huì)為設(shè)備打上補(bǔ)丁防止它們?cè)俅伪桓?jìng)爭(zhēng)對(duì)手感染。

當(dāng)一個(gè)獵物同時(shí)被吸血鬼和喪尸咬到，他到底會(huì)感染成吸血鬼還是喪尸？答案當(dāng)然是看誰(shuí)的毒性猛。當(dāng)一臺(tái)設(shè)備同時(shí)被兩個(gè)僵尸網(wǎng)絡(luò)感染，到底誰(shuí)能拿到控制權(quán)？看誰(shuí)的技術(shù)NB。

目前，Bashlight 僵尸網(wǎng)絡(luò)中的 近 10 萬(wàn)臺(tái)設(shè)備已被Mirai 控制。顯然 Mirai 更勝一籌。

“滾開(kāi)，這是老子的獵物。”

就這樣，網(wǎng)絡(luò)世界成千上萬(wàn)的脆弱設(shè)備被各個(gè)僵尸網(wǎng)絡(luò)不斷侵襲、瓜分，每個(gè)僵尸網(wǎng)絡(luò)都想控制更多的物聯(lián)網(wǎng)設(shè)備控制權(quán)。一片混沌之中，兩個(gè)“僵尸大家族”脫穎而出，爭(zhēng)奪制霸物聯(lián)網(wǎng)的名號(hào)。

他們的名字是，Mirai 和 Hajime ，巧的是，在日語(yǔ)中的意思分別是 ：“未來(lái)”—— “開(kāi)始”

藍(lán)色是Hajime ，橙色的是 Mirai

這兩種僵尸蠕蟲(chóng)的傳播方式類(lèi)似，都是利用網(wǎng)絡(luò)設(shè)備未采取保護(hù)措施的特性（比如一臺(tái)網(wǎng)絡(luò)路由器開(kāi)放了遠(yuǎn)程登錄端口并使用默認(rèn)密碼）進(jìn)行傳播。

但是 Hajime 的行動(dòng)更為隱秘，技術(shù)也更為先進(jìn)。

與 Mirai 在命令和控制 C&C 服務(wù)器使用硬編碼地址不同，Hajime 建立在一個(gè)點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)之上。也就是說(shuō)，Mirai 有可能找到幕后的操縱者 （C&C服務(wù)器），而 Hajime的幕后操縱者隱藏在任何一個(gè)感染者之中，更難溯源，也更難以摧毀。

就像電影《黑客帝國(guó)》中殺不死的病毒史密斯

安全公司賽門(mén)鐵克告訴雷鋒網(wǎng)，在過(guò)去的幾個(gè)月里，Hajime 的傳播速度迅速。保守估計(jì)全球受感染的設(shè)備數(shù)量已經(jīng)達(dá)到數(shù)萬(wàn)臺(tái)，中國(guó)是受感染的市場(chǎng)之一。

Hajime 感染地區(qū)分布，來(lái)源：賽門(mén)鐵克安全公告

然而，安全研究人員驚奇地發(fā)現(xiàn)，Hajime 并不會(huì)執(zhí)行惡意操作，也不包含任何分布式拒絕攻擊（Ddos）功能與代碼，反而每隔10分鐘向被感染的設(shè)備推送一個(gè)消息：

我們是保護(hù)系統(tǒng)的白帽子。我們將通過(guò)此方法展示重要信息！

Hajime 制作者

聯(lián)系關(guān)閉

請(qǐng)保持警惕！

甚至 Hajime 還做了一系列改善安全性的動(dòng)作，比如阻擋 Mirai 賴以攻擊的端口（23、7547、5555 和 5358 的訪問(wèn)），關(guān)閉這些端口，將有效組織設(shè)備被 Mirai 感染！

沒(méi)有人知道 Hajime 的制作者是誰(shuí)，但是他卻在物聯(lián)網(wǎng)上用自己的方式幫助設(shè)備阻擋 Mirai 的感染。

Hajime 全球感染情況

Hajime 不是第一個(gè)所謂正義者試圖保護(hù)脆弱的物聯(lián)網(wǎng)設(shè)備的蠕蟲(chóng)。

2014 至 2015 年，賽門(mén)鐵克就曾發(fā)現(xiàn)一個(gè)名為 Linux.Wifatch 蠕蟲(chóng)軟件。該軟件由“白色團(tuán)隊(duì)”（the white team ) 編寫(xiě)，與 Hajime 的目的相似，試圖為物聯(lián)網(wǎng)設(shè)備提供安全保護(hù)。

這不就是超級(jí)英雄電影中蜘蛛俠、死侍的做派？—— “你們都讓開(kāi)，讓我來(lái)”

正如電影中的超能力者受到爭(zhēng)議一樣，這種白色蠕蟲(chóng)也備受爭(zhēng)議。

蜘蛛俠的正義和黑暗面，圖片來(lái)源《蜘蛛俠3》

有人覺(jué)得 Hajime 這種強(qiáng)行提供保護(hù)的方式并不合法，難保有一天 Hajime 的作者反戈。

根據(jù) Hajime的代碼， 制造者可以隨時(shí)在網(wǎng)絡(luò)中的人易受感染設(shè)備中打開(kāi)Shell 腳本。由于使用了模塊化代碼，設(shè)計(jì)者可以隨時(shí)添加新的功能。一旦制作者改變主意打算搞點(diǎn)事情，便可以立即將受感染的設(shè)備轉(zhuǎn)變成一個(gè)巨大的惡意僵尸網(wǎng)絡(luò)。

有的人卻認(rèn)為這是一件好事，既然有些不負(fù)責(zé)任的廠商不作為，人們對(duì)僵尸網(wǎng)絡(luò)無(wú)能為力，為什么不能以彼之道還治彼身？

甚至有的安全研究人員主動(dòng)向 Hajime 提供幫助。在一篇關(guān)于Hajime 的研究報(bào)告中，安全人員發(fā)現(xiàn)了 Hajime 蠕蟲(chóng)中的漏洞，于是免費(fèi)提供了一份質(zhì)量保證報(bào)告，提供了檢測(cè)這些漏洞的簽名。此后 Hajime 果然將這些漏洞一一修復(fù)。

在電影《蜘蛛俠3》中，蜘蛛俠被外星生物引誘而淪為黑暗蜘蛛俠，最終經(jīng)歷一系列遭遇之后決定撕去黑暗，重回本質(zhì)。在網(wǎng)絡(luò)世界的超能力者黑客，他們同樣面臨金錢(qián)、貪欲等等引誘，他們可以選擇成為“超級(jí)英雄”，也可能淪為邪惡暴徒，無(wú)論如何，他人的質(zhì)疑和自我的人性拷問(wèn)都無(wú)法避免。

本文作者：謝幺，雷鋒網(wǎng)網(wǎng)絡(luò)安全作者。