1.概述

安天安全研究與應急處理中心(安天CERT)在北京時間10月22日下午啟動高等級分析流程，針對美國東海岸DNS服務商Dyn遭遇DDoS攻擊事件進行了跟進分析。安天團隊分析認為，此事件有一定的政治因素背景，涉及到IoT(Internet of Things，物聯網)設備安全等多種因素，在表象的DDoS攻擊和DNS安全之外，依然有很多值得關注和研究的問題。

事件相關背景如下：美國當地時間2016年10月21日，為美國眾多公司提供域名解析網絡服務的Dyn公司遭DDoS攻擊。Dyn公司在當天早上確認，其位于美國東海岸的DNS基礎設施所遭受DDoS攻擊來自全球范圍，嚴重影響其DNS服務客戶業務，甚至導致客戶網站無法訪問。該攻擊事件一直持續到當地時間13點45分左右。該公司在官網表示將追查此事，并將發布事件的分析報告。

圖1 -1Dyn官方確認

圖1 -2官網事件狀態更新情況

本次Dyn遭到攻擊影響到的廠商服務包括：Twitter、Etsy、Github、Soundcloud、Spotify、Heroku、PagerDuty、Shopify、Intercom，據稱PayPal、BBC、華爾街日報、Xbox官網、CNN、HBO Now、星巴克、紐約時報、The Verge、金融時報等的網站訪問也遭到了影響。Dyn公司稱此次DDoS攻擊事件涉及IP數量達到千萬量級，其中很大部分來自物聯網和智能設備，并認為攻擊來自名為“Mirai”的惡意代碼。

黑客組織NewWorldHackers和Anonymous宣稱對此事件負責，此事件被認為是用以抗議正在厄瓜多爾駐英國大使館避難的維基解密創始人阿桑奇遭遇斷網的事件。

名詞解釋：DNS服務器，是進行域名和與之相對應的IP地址轉換的服務器。DNS中保存了一張域名和與之相對應的IP地址的表，以解析消息的域名。根據解析結果進行目標站點訪問。若DNS服務器遭受DDos攻擊，則無法正常解析域名，故用戶無法訪問對應目標站點。

2.安天對智能設備僵尸網絡的捕獲分析情況

目前，依托IoT設備的僵尸網絡的規模不斷增長，典型的IoTDDoS僵尸網絡家族包括2013年出現的CCTV系列、肉雞MM系列(ChiekenMM，數字系列10771、10991、25000、36000)、BillGates、Mayday、PNScan、gafgyt等眾多基于Linux的跨平臺DDoS僵尸網絡家族,安天對這些木馬的規范命名如下。

其中在本次事件中被廣泛關注的Mirai的主要感染對象是物聯網設備，包括：路由器、網絡攝像頭、DVR設備。從事DDoS網絡犯罪組織早在2013年開始就將抓取僵尸主機的目標由Windows轉向Linux，并從x86架構的Linux服務器設備擴展到以嵌入式Linux操作系統為主的IoT設備。

Mirai日語的意思是“未來”，研究人員將新變種命名為“Hajime”，日語的意思是“起點”。

安天捕獲并分析了大量關于智能設備、路由器的惡意樣本，并配合主管部門對對部分設備進行了現場取證。這些設備主要是MIPS、ARM等架構，因存在默認密碼、弱密碼、嚴重漏洞未及時修復等因素，導致被攻擊者植入木馬。由于物聯網設備的大規模批量生產、批量部署，在很多應用場景中，集成商、運維人員能力不足，導致設備中有很大比例使用默認密碼、漏洞得不到及時修復。包括Mirai等針對物聯網設備DDoS入侵主要通過telnet端口進行流行密碼檔暴力破解，或默認密碼登陸，如果登陸成功，通過telnet登陸成功后就嘗試利用busybox等嵌入式必備的工具進行wget下載DDoS功能的bot，修改可執行屬性，運行控制物聯網設備。由于CPU指令架構的不同，在判斷了系統架構后一些僵尸網絡可以選擇MIPS、arm、x86等架構的樣本進行下載。運行后接收相關攻擊指令進行攻擊。

從一個Mirai的樣本里面可以看到如下的弱密碼：

安天在此前跟進IoT僵尸網絡跟蹤分析過程中，發現如下包括DVR、網絡攝像頭、智能路由器的品牌中有部分型號存在單一默認密碼問題。

圖2 -1 部分型號存在默認密碼的設備品牌

Mirai Botnet的相關源代碼于2016年9月30日被一名ID為『Anna-senpai』的用戶發布在hackerforums論壇。該用戶聲稱，代碼出于『讓用戶增加對安全工業的重視程度』的目的而發布。在代碼被公布后，相關技術立刻被運用到其他的惡意軟件項目中。在2016年10月4日，這份代碼被上傳到github上并很快被fork逾千次。

安天CERT對10月4日上傳到github上的Mirai源碼進行了相應分析，梳理了其代碼結構：

圖2-2Mirai源碼目錄結構分析

泄露出的Mirai事件相關源碼主要包括兩部分：

(1) loader：加載器，其中存放了針對各個平臺編譯后的可執行文件，用于加載Mirai的實際攻擊程序。

(2) Mirai：用于實施攻擊的程序，分為bot(被控制端，使用C語言編寫)和cnc(控制端，使用Go語言編寫)兩部分。

被控制端具有以下模塊：

類似的“開源”行為提供了極壞的示范性，會進一步降低其他攻擊者危害IoT設備的成本。鑒于此，本文不對代碼進行解讀。

3.安天對IoT僵尸網絡的監測情況

安天的態勢感知與監控預警系統可以對僵尸網絡的樣本傳輸、上線控制、攻擊指令進行持續監控。除了Mirai相關事件外，我們也可以看到IoT僵尸網絡對其他目標的攻擊事件。

表：典型的IoT僵尸網絡攻擊事件

2014年之前使用Linux系統的IoT設備被植入惡意代碼主要通過掃描弱密碼。但在破殼漏洞(CVE-2014-6271)出現后，互聯網上也出現了大量利用該漏洞進行掃描植入惡意代碼事件。根據當時安天蜜罐系統捕獲的情況來看，破殼漏洞出現后，針對Linux主機入侵的事件呈現全面上升趨勢。安天發現的首例通過破殼漏洞實際感染的事件是在2014年9月份。而后安天CERT陸續發了多篇IoT設備上的惡意代碼分析報告如：《利用路由器傳播的DYREZA家族變種分析》、《黑客用HFS搭建服務器來傳播惡意代碼》，另有一篇《Trojan[DDOS]/Linux. Znaich分析報告》當時并未公開，因此作為本報告附件。而其他少數具備獲取主機權限的漏洞也發現被攻擊者利用。

4 分析小組的一點思考

安天分析小組認為，IoT僵尸網絡的快速蔓延來自如下因素的組合：

隨著小到智能家居、大到智慧城市的物聯網蓬勃發展，在線IoT設備數量大幅增加;

隨著作為主流桌面操作系統的Windows的內存安全(如DEP、ASLR、SEHOP)等方面的能力不斷強化，依托遠程開放端口擊穿Windows變得日趨困難，但對于普遍沒有經過嚴格的安全設計的IoT設備的遠程注入的成功率則高的多。

IoT設備自身多數未嵌入安全機制，同時其又多半不在傳統的IT網絡之內，等于游離于安全感知能力之外，一旦遇到問題有的也不能有效響應。

IoT設備往往更多24小時在線，其是比桌面Windows更“穩定”的攻擊源。

兩年前，安天論述了“威脅將隨‘互聯網+’向縱深領域擴散與泛化”的觀點，并使用泛化(Malware/Other)一詞來說明安全威脅向智能設備等新領域的演進，而正如我們所擔心的那樣，安全威脅在智能汽車、智能家居、智能穿戴，大到智慧城市中已經無所不在。

圖4 -1網絡安全威脅泛化與分布圖(引自安天2015年網絡威脅年報)

正因為此，這次針對DynDNS服務的大規模DDoS事件中，安天更重視其中暴露的IoT安全問題。盡管DNS的確被很多人認為是互聯網的阿喀琉斯之踵。但我們同樣不要忘記，互聯網是依托IP地址聯通的，而域名是為便于人記憶的原因而產生的。對于北美大型行業用戶來說，其更多廣泛采用VPN和IP地址鏈接，其基本系統運轉并不依賴DNS的解析。也正因為此，如此大流量的DDoS，盡管給網民訪問網站帶來一段階段的不便，但其并不足以沖擊北美社會運行和互聯網的根基。從這個意義上看，這個事件的熱度，更多來自媒體對公眾感覺的放大，而其實際影響則相對有限。而更危險的行為是有針對性的、有放大效應的針對重要節點的威脅行動，特別是能夠產生實體空間后果的威脅。

毫無疑問DNS體系是信息基礎設施，但IoT僵尸網絡絕不僅僅是這起攻擊事件的道具。物聯網就是物物相連的互聯網，是未來信息社會重要基礎支撐環節之一。物聯網是在互聯網基礎上延伸和擴展的網絡，物聯網并不僅僅是網絡，它還可以利用感知技術、信息傳感等技術的嵌入式傳感器、設備及系統構建成復雜的涉及實體社會空間的應用，這些應用所在的設備很多都是維系民生的重要節點的關鍵基礎設施設備，甚至包括關鍵工控設施的基礎傳感器。被入侵的這些設備本身具有更多的資源縱深價值，這比使用這些設備參與DDoS攻擊所帶來的危險更為嚴重。其大面積的脆弱性存在，有著更為隱蔽、危害更大的社會安全風險和國家安全風險。只是這種風險，更不容易被感知到罷了。

把公眾影響力作為衡量網絡安全事件的主要度量衡，是大規模蠕蟲爆發時代的慣性。但在安全威脅日趨變得更加定向而隱蔽的時候，如果我們只關注容易看見的威脅，就必然會放過更危險的敵人?？藙谫惥S茨說：“幾乎所有的戰局，間歇和平靜的時間遠遠多于行動的時間。”對于安全工作者來說，還有什么比毫無先兆的平靜更令人恐懼的呢?

加強IoT設備的安全防護，提高攻擊入侵IoT設備的成本，以及加強IoT設備的安全威脅監測預警，是安天已經在進行的工作，就像我們在過去十年讓安天AVL SDK引擎運行于數萬臺防火墻和數億部手機中一樣。