这是Elie Bursztein的一篇客座帖子，他写的是安全和反虐待研究。这篇文章第一次发表在他的博客上，并进行了少量编辑。这篇文章对Mirai进行了回顾性分析，Mirai是臭名昭著的物联网僵尸网络，它通过使用数十万个受损的物联网设备，通过大规模的分布式拒绝服务，摧毁了主要网站。这项研究由Cloudflare（Jaime Cochran，Nick Sullivan）、乔治亚理工大学、谷歌、Akamai、伊利诺伊大学、密歇根大学和Merit Network的研究人员进行，并在2017年USENIX Security上发表了一篇论文。在2016年9月的高峰期，Mirai通过大规模分布式拒绝服务攻击（DDoS）暂时瘫痪了OVH、Dyn和Krebs等几家知名服务的安全性。OVH报告说，这些攻击超过了1tbps，这是公开记录中最大的一次。这些破纪录的攻击的显著之处在于它们是通过小型、无害的物联网（IoT）设备进行的，如家庭路由器、空气质量监测器和个人监控摄像头。根据我们的测量，在顶峰时期，Mirai感染了超过60万个易受攻击的物联网设备。![](https://blog.cloudflare这篇博客文章遵循上面的时间表Mirai Genesis：讨论了Mirai的早期，并提供了关于Mirai如何工作和传播的简要技术概述。布莱恩·克雷布斯在网站上简短地讲述了米拉布是如何沉默的。OVH DDoS攻击：检查Mirai作者试图摧毁世界上最大的主机提供商之一。抄袭者的崛起：涵盖了Mirai代码的发布，以及多个黑客组织如何最终重用代码。本节还描述了我们用来追踪Mirai在发布后出现的许多变体的技术。最后，本节讨论了每个主要变体背后的目标和动机。Mirai的《摧毁互联网：讲述了Dyn攻击背后的内幕故事，包括被摧毁的主要网站（如亚马逊）只是大规模的附带损害。米莱试图摧毁整个国家：看看对利比里亚最大的运营商Lonestar发动的多起袭击。Deutsche Telekom Deutsche Telekom Deutsche Telekom Deutsche Telekom Deutsche Telekom Deutsche Telekom Deutsche Telekom Deutsche Telekom Deutsche Telekom goes dark：讨论了在Mirai变体。原著作者出局了？：详细介绍了布莱恩·克雷布斯（Brian Krebs）对揭露米莱作者的深入调查。德国电信袭击者被捕：讲述了击落德国电信的黑客被捕的经过以及我们从他的审判中得到的教训。###米拉创世记2016年8月底，Mirai的第一份公开报告几乎没有引起注意，Mirai在9月中旬之前一直处于阴影中。当时，它在一位著名的安全记者和世界上最大的网络托管提供商之一OVH的博客上被用来对Krebs进行大规模的DDoS攻击，当时它被推到了聚光灯下。虽然世界直到8月底才了解到Mirai，但我们的遥测显示，8月1日，当感染源于一个防弹主机IP时，它变得活跃起来。从那以后，Mirai迅速蔓延开来，在那些凌晨每76分钟就扩大一倍。到第一天结束时，Mirai已经感染了超过65000台IoT设备。到了第二天，Mirai已经占到了我们的一组蜜罐观察到的所有互联网telnet扫描的一半，如上图所示。在2016年11月的高峰期，Mirai已经感染了超过60万台物联网设备。通过Censys在互联网范围内的扫描，回顾性地查看受感染的设备服务横幅，可以发现大多数设备似乎是如上图所示的路由器和摄像头。每种类型的横幅都是单独表示的，因为每种类型的标识过程不同，因此可能会对一个设备进行多次计数。Mirai正在积极删除任何横幅标识，这部分解释了为什么我们无法识别大多数设备。在深入研究Mirai的故事之前，让我们简单地看看Mirai是如何工作的，特别是它是如何传播和它的攻击能力的。Mirai的工作原理Mirai的核心是一种自我传播的蠕虫，也就是说，它是一种通过发现、攻击和感染易受攻击的物联网设备来复制自身的恶意程序。它也被认为是一个僵尸网络，因为受感染的设备是通过一组集中的命令和控制（C&C）服务器来控制的。这些服务器告诉受感染的设备下一步要攻击哪些站点。总体而言，Mirai由两个关键组件组成：复制模块和攻击模块。复制模块复制模块负责通过奴役尽可能多的易受攻击的物联网设备来扩大僵尸网络的规模。它通过（随机）扫描整个互联网寻找可行的目标并进行攻击。一旦它危及到一个易受攻击的设备，模块就会向C&C服务器报告，这样它就可以被最新的Mirai有效载荷感染，如上图所示。为了危害设备，Mirai的初始版本完全依赖于IoT设备常用的64个已知默认登录/密码组合的固定集。虽然这次攻击技术含量很低，但事实证明它非常有效，导致60多万台设备受损。有关DDoS技术的更多信息，请阅读此Cloudflare primer。攻击模块攻击模块负责对C&C服务器指定的目标进行DDoS攻击。该模块实现了大部分的DDoS代码技术，如HTTP洪泛、UDP泛洪和所有TCP泛洪选项。这种广泛的方法允许Mirai执行容量攻击、应用层攻击和TCP状态耗尽攻击。克雷布斯谈安全攻击克雷布斯的安全是布赖恩克雷布斯的博客。克雷布斯是一位广为人知的独立记者，专门研究网络犯罪。考虑到Brian的工作范围，他的博客已经成为他所曝光的网络罪犯发起的许多DDoS攻击的目标，这一点也不奇怪。根据他的遥测数据（谢谢分享，布莱恩！），他的博客在2012年7月至2016年9月期间遭受了269次DDOS攻击。如上图所示，Mirai攻击是迄今为止最大的攻击，最高达到623 Gbps。查看针对Brian网站的IP的地理位置发现，参与攻击的设备中不成比例地来自南美和东南亚。如上图所示，巴西、越南和哥伦比亚似乎是受损设备的主要来源。这次针对Krebs的大规模攻击的一个可怕后果是，为Brian提供DDoS保护的CDN服务Akamai不得不撤销其支持。这迫使布赖恩把他的网站移到了盾牌工程。正如他在一篇博文中深入讨论的，这起事件凸显了DDoS攻击是如何成为一种常见且廉价的审查方式。OVH攻击布莱恩不是米莱的第一个引人注目的受害者。在他被击中前几天，Mirai攻击了欧洲最大的托管提供商之一OVH。根据他们的官方数据，OVH为超过100万的客户提供了大约1800万个应用程序，维基解密是其中最著名和最具争议的一个。我们对那次袭击知之甚少，因为OVH没有参与我们的联合研究。因此，关于它最好的信息来自OVH在活动后发布的一篇博客文章。从这篇文章来看，这次攻击持续了大约一个星期，涉及到一个未公开的OVH客户的大规模、间歇性的DDoS流量爆发。OVH的创始人Octave Klaba在Twitter上报道说，攻击的目标是Minecraft服务器。正如我们在这篇文章中所看到的，Mirai在游戏玩家战争中得到了广泛的应用，这很可能是它最初被创建的原因。根据OVH遥测数据，攻击峰值为1TBs，使用了145000个物联网设备。虽然物联网设备的数量与我们观察到的一致，但报告的攻击量明显高于我们观察到的其他攻击。例如，如前所述，Brian的最高点是623 Gbps。不管具体规模有多大，米拉袭击显然是有记录以来最大的一次。它们使之前的公共记录保持者相形见绌，一次对Cloudflare的攻击最高达到~400Gpbs。模仿者的兴起出乎意料的是，2017年9月30日，Mirai的作者Anna senpai通过一个臭名昭著的黑客论坛发布了Mirai的源代码。他还写了一篇论坛帖子，如上图所示，宣布退休。这一代码发布引发了大量模仿黑客，他们开始运行自己的Mirai僵尸网络。从那时起，Mirai的攻击不再局限于单一的参与者或基础设施，而是与多个群体联系在一起，这使得将攻击归因于并识别其背后的动机变得更加困难。Mirai基础设施集群为了跟上Mirai变种的扩散并跟踪其背后的各种黑客组织，我们转向了基础设施集群。我们能找到的所有Mirai版本的逆向工程允许我们提取不同黑客团体用作C&C的IP地址和域，而不是运行他们自己的Mirai变体。我们总共恢复了两个IP地址和66个不同的域。在提取的域上应用DNS扩展并对它们进行聚类使我们识别出33个没有共享基础设施的独立C&C集群。最小的集群使用单个IP作为C&C。最大的集群拥有112个域和92个IP地址。上图描述了我们发现的六个最大的星团。这些顶级的集群对它们的域名使用了非常不同的命名方案：例如，"集群23"偏爱与动物相关的域名，比如33kitensspecial.pw，而"集群1"则有许多与电子货币相关的领域，如钱包区.ru. 许多具有不同特征的不同基础设施的存在证实了在源代码泄漏后，多个组独立运行Mirai。聚集在一起