Mirai (惡意軟體)

Mirai（日語：ミライ^[1]，中文直譯「未來」^[2][3]）是一款惡意軟體，它可以使執行Linux的計算系統成為被遠端操控的「殭屍」，以達到通過殭屍網路進行大規模網路攻擊的目的。Mirai的主要感染對象是可訪問網路的消費級電子裝置，例如網路監控攝錄影機和家庭路由器等^[4]。Mirai構建的殭屍網路已經參與了幾次影響廣泛的大型分散式阻斷服務攻擊（DDoS攻擊），包括2016年9月20日針對電腦安全撰稿人布萊恩·克萊布斯（英語：Brian Krebs）個人網站的攻擊、對法國網站代管商OVH的攻擊^[5]，以及2016年10月Dyn公司網路攻擊事件^[6][7][8]。目前已經確認上述攻擊全部由Mirai作者構建的殭屍網路發起的攻擊。

Mirai

原作者	Anna-senpai（網名）
原始碼庫	github.com/jgamblin/Mirai-Source-Code
程式語言	C（被控端），Go（控制端）
作業系統	Linux
類型	殭屍網路
許可協定	GNU通用公共許可證3.0版
網站	github.com/jgamblin/Mirai-Source-Code

關於與「Mirai (惡意軟體)」標題相近或相同的條目頁，請見「Mirai」。

Mirai的原始碼已經以開源的形式發布至駭客論壇^[9]，其中的技術也已被其他一些惡意軟體採用^[10]。

根據一份洩露的軟體作者之聊天記錄，Mirai一名來自漫畫改編的2011年日本動畫《未來日記》^[11]；作者所用網名Anna-senpai（意為「安娜前輩」）則可能與日本輕小說《下流梗不存在的灰暗世界》中的角色——安娜·錦之宮有關。^[12][13]

行為

受Mirai感染的裝置會持續地在網際網路上掃描物聯網裝置的IP位址。Mirai包含一張IP白名單表，其中包括專用網路的私有IP位址以及分配給美國郵政署和美國國防部的IP位址，使用這些位址的裝置將不會受Mirai感染。^[14]

在掃描到IP位址之後，Mirai會通過超過60種常用預設使用者名稱和密碼辨別出易受攻擊的裝置，然後登入這些裝置以注入Mirai軟體^[15][5][16]。受感染的裝置會繼續正常工作，不過偶爾會出現卡頓，而且頻寬消耗會增大^[15]。裝置在重新啟動之前將一直保持受感染的狀態。裝置重新啟動之後，除非使用者立刻修改密碼，幾分鐘之內裝置很快會被再次感染^[15]。Mirai還會在成功感染後刪除裝置上的同類惡意軟體，並封鎖用於遠端管理的埠^[17]。

網際網路上有成千上萬的物聯網裝置使用預設設定，這些裝置都很容易受到感染。受感染的裝置會監視一台下發命令與控制（英語：Command and control (malware)）的伺服器，該伺服器將指示發起攻擊的目標。^[15]

在DDoS攻擊中的使用

2016年9月20日，攻擊者通過Mirai和BASHLITE（英語：BASHLITE）^[18]對Krebs on Security（英語：Krebs on Security）網站發動了DDoS攻擊，攻擊流量達到了620 Gbps^[19]。Ars Technica報道稱在對法國網站代管商OVH的攻擊中發現了1 Tbps的攻擊流量^[5]。

2016年10月21日，Dyn（英語：Dyn (company)）公司提供的DNS服務遭到了數次通過Mirai發起的大型DDoS攻擊，牽涉到的受感染物聯網裝置數量眾多。這次攻擊使得數個高瀏覽量的網站無法正常打開，其中包括GitHub、Twitter、Reddit、Netflix和Airbnb等^[20]。Mirai和這次攻擊的關聯最初是由Level 3 通訊在報告中指出的^[18][21]。

有深度學習方面的安全專家發現，Mirai構建的殭屍網路數量在Dyn攻擊事件發生前後有穩定的上升。^[22]

Mirai亦被用於2016年11月針對賴比瑞亞網際網路基礎設施的攻擊^[23][24][25]。電腦安全專家Kevin Beaumont認為這次攻擊的發動者與Dyn攻擊相同^[23]。

其他事件

2016年11月末，90萬台德國電信使用者的路由器因Mirai變種利用TR-064協定的一次失敗嘗試而崩潰，這些路由器由智易科技生產，受影響使用者的網際網路訪問因此出現異常^[26][27]。儘管另一家名為TalkTalk的運營商隨後更新了他們的路由器，但仍有TalkTalk路由器感染上Mirai的另一支新變種^[28]。

作者

Krebs on Security網站在2017年1月發布報告，認為Mirai的作者「Anna-senpai」真名為Paras Jha，是羅格斯大學學生和一家DDoS防禦服務提供商總裁^[11][29]，但後者否認這一指控的真實性^[30]。美國聯邦調查局之後對其進行了盤問^[31]。

2017年12月10日美國聯邦調查局已經公布調查結果，而在此之前Mirai的作者已經被捕。該作者確實就是此前Krebs on Security研究人員認為的Paras Jha^[32]。

參見

• 阻斷服務攻擊
• 其他著名物聯網惡意軟體
  • BASHLITE（英語：BASHLITE）
  • Linux.Darlloz（英語：Linux.Darlloz）
  • Remaiten（英語：Remaiten）
  • Linux.Wifatch（英語：Linux.Wifatch）

外部連結

• GitHub上的Mirai原始碼

參考文獻

1. IoT機器悪用、ウイルス「ミライ」世界で猛威. YOUMIURI ONLINE (読売新聞社). 2016-10-29 [2016-10-31]. （原始內容存檔於2016-10-30）.
2. 孫宇青. 美國網路遇駭 推特、亞馬遜遭殃. 自由時報. 2016-10-23 [2017-09-29]. （原始內容存檔於2020-08-07）.
3. 美主要網站遭駭客攻陷 升級國安層次. 自由時報. 2016-10-22 [2017-09-29]. （原始內容存檔於2020-10-25）.
4. Biggs, John. Hackers release source code for a powerful DDoS app called Mirai. TechCrunch. 2016-10-10 [2016-10-19]. （原始內容存檔於2016-10-20） （英語）.
5. Bonderud, Douglas. Leaked Mirai Malware Boosts IoT Insecurity Threat Level. securityintelligence.com. 2016-10-04 [2016-10-20]. （原始內容存檔於2016-10-21） （英語）.
6. Hackett, Robert. Why a Hacker Dumped Code Behind Colossal Website-Trampling Botnet. Fortune.com. 2016-10-03 [2016-10-19]. （原始內容存檔於2016-10-22） （英語）.
7. Newman, Lily Hay. What We Know About Friday’s Massive East Coast Internet Outage. WIRED. [2016-10-21]. （原始內容存檔於2016-10-22） （英語）.
8. Dyn | crunchbase. [2016-10-23]. （原始內容存檔於2019-12-26） （英語）.
9. Statt, Nick. How an army of vulnerable gadgets took down the web today. The Verge. 2016-10-21 [2016-10-21]. （原始內容存檔於2016-10-22） （英語）.
10. Kan, Michael. Hackers create more IoT botnets with Mirai source code. ITWORLD. 2016-10-18 [2016-10-20]. （原始內容存檔於2016-10-20） （英語）.
11. Who is Anna-Senpai, the Mirai Worm Author? —  Krebs on Security. krebsonsecurity.com. 2017-01-17 [2017-01-23]. （原始內容存檔於2017-01-22） （英語）.
12. Heller, Michael. Release of Mirai IoT botnet malware highlights bad password security. TechTarget. 2016-10-04 [2016-10-31]. （原始內容存檔於2016-10-31） （英語）. Both names Anna and Mirai reference Japanese anime.
13. Cox, Edward. Mirai IoT Botnet: 5 Fast Facts You Need to Know. Heavy.com. 2016-10-22 [2016-10-31]. （原始內容存檔於2016-10-22） （英語）. 3. ‘Mirai’s Author Has an Avi of Anime Character Anna Nishikinomiya and Mirai Means “Future” in Japanese
14. Zeifman, Igal. Breaking Down Mirai: An IoT DDoS Botnet Analysis. Incapsula（英語：Incapsula）. 2016-10-10 [2016-10-20]. （原始內容存檔於2016-10-21） （英語）.
15. Moffitt, Tyler. Source Code for Mirai IoT Malware Released. Webroot（英語：Webroot）. 2016-10-10 [2016-10-20]. （原始內容存檔於2016-10-21） （英語）.
16. Osborne, Charlie. Mirai DDoS botnet powers up, infects Sierra Wireless gateways. ZDNet. 2016-10-17 [2016-10-20]. （原始內容存檔於2016-10-20） （英語）.
17. Xander. DDoS on Dyn The Complete Story. ServerComparator. 2016-10-28 [2016-11-21]. （原始內容存檔於2016-11-21） （英語）.
18. Double-dip Internet-of-Things botnet attack felt across the Internet. [2017-01-23]. （原始內容存檔於2017-05-19） （英語）.
19. The internet of stings. 經濟學人. 2016-10-08 [2016-10-27]. （原始內容存檔於2016-10-17） （英語）.
20. Today the web was broken by countless hacked devices. theregister.co.uk. 2016-10-21 [2016-10-24]. （原始內容存檔於2020-05-17） （英語）.
21. Blame the Internet of Things for Destroying the Internet Today. Motherboard. VICE. [27 October 2016]. （原始內容存檔於2016-10-24）.
22. Deep Learning Security. Think Mirai DDoS is over? It ain’t!!. Medium. 2016-10-26 [2016-10-27]. （原始內容存檔於2016-10-27） （英語）.
23. Unprecedented cyber attack takes Liberia's entire internet down. The Telegraph. [2016-11-21]. （原始內容存檔於2021-01-26） （英語）.
24. DDoS attack from Mirai malware 'killing business' in Liberia. PCWorld. [2016-11-21]. （原始內容存檔於2016-11-22） （英語）.
25. Massive cyber-attack grinds Liberia's internet to a halt. The Guardian. [2016-11-21]. （原始內容存檔於2016-11-21） （英語）.
26. Krebs, Brian. New Mirai Worm Knocks 900K Germans Offline. krebsonsecurity.com. 2016-11-30 [2016-12-14]. （原始內容存檔於2016-12-20） （英語）.
27. German leaders angry at cyberattack, hint at Russian involvement | Germany | DW.COM | 29.11.2016. Deutsche Welle. [2017-01-05]. （原始內容存檔於2017-01-05） （英語）.
28. New Mirai Variant Embeds in TalkTalk Home Routers. www.incapsula.com. [2016-12-18]. （原始內容存檔於2016-12-22） （英語）.
29. Coldewey, Devin. Mirai botnet creator unmasked as DDOS protection developer tempted by the dark side. TechCrunch. 2017-01-18 [2017-01-23]. （原始內容存檔於2017-01-23） （英語）.
30. Solidot | Krebs 找到 Mirai 僵尸网络可能的作者. www.solidot.org. 2017-01-20 [2017-01-23]. （原始內容存檔於2017-01-23） （中文（簡體））.
31. FBI questions Rutgers student about massive cyber attack. NJ.com. 2017-01-20 [2017-01-23]. （原始內容存檔於2017-01-23） （英語）.
32. 针对物联网设备的蠕虫病毒Mirai开发者已经被捕. [2017-12-15]. （原始內容存檔於2020-08-13）.