我最近一直在阅读Mirai,这是一种恶意软件,其来源已被披露,旨在感染物联网设备。它似乎是对安全受损的物联网设备的严重威胁。根据维基百科:
Mirai(日语中的“未来”)是一种恶意软件,它将运行 Linux 的计算机系统变成远程控制的“机器人”,可在大规模网络攻击中用作僵尸网络的一部分。它主要针对在线消费设备,例如远程摄像机和家庭路由器。Mirai 僵尸网络已被用于一些规模最大、最具破坏性的分布式拒绝服务 (DDoS) 攻击,包括 2016 年 9 月 20 日对计算机安全记者 Brian Krebs 网站的攻击、对法国网络主机 OVH 的攻击和 2016 年 10 月的攻击。 Dyn 网络攻击。
这篇文章(以及我在网上阅读的其他文章)表明,Mirai 通过为使用数据库中出厂默认用户名和密码的设备抓取互联网来发起攻击。那么,在物联网设备上简单地更改您的用户名和密码就足够了吗?这会保护它免受 Mirai 攻击,还是 Mirai 有其他方法可以让它进入?
注意:我不是在问如何判断我的设备是否被感染:我问的是更改密码是否足以防止感染。
Mirai 的源代码已公开发布,Jerry Gamblin善意地创建了一个 GitHub 存储库,以便您可以轻松浏览代码以用于研究/学术目的,例如。
我认为通过剖析代码以了解 Mirai 如何找到其目标,您将获得最权威的答案,因此我环顾四周,这是我的发现:
扫描程序仅在有限的一组子网上搜索以查找目标。它们是:127.0.0.0/8、0.0.0.0/8、3.0.0.0/8、15.0.0.0/7、56.0.0.0/8、10.0.0.0/8、192.168.0.0/16、172.0146 , 100.64.0.0/10, 169.254.0.0/16, 198.18.0.0/15, 224 .. .*+, {6, 7, 11, 21, 22, 26, 28, 29, 30, 33, 55, 214, 215}.0.0.0/8。我对最后一组块进行了分组,因为它们在代码的注释中都被标记为“国防部”。
Mirai执行相当原始的SYN 扫描以尝试查找是否有任何端口打开。如果您不熟悉 SYN 扫描的工作原理,它们本质上涉及发送 TCP SYN数据包,这是启动 TCP 连接的正常过程。然后攻击者等待接收 SYN-ACK 数据包,这将确认目标正在侦听指定端口。您可以在 Wikipedia 上阅读有关该过程的更多信息。
任何以 SYN-ACK 响应的目标都会添加到潜在受害者列表中。
Mirai 然后监控以检查其连接是否成功
如果连接超时或出现问题,Mirai 最多会重试 10 次。
如果这一切都成功了,那就太倒霉了。您的设备现在已被感染,直到它重新启动!
所以,总而言之,为了回答您的问题,是的,如果您更改用户名和密码,公开已知的 Mirai 版本将被击败。不过,任何修改 Mirai 副本的人都可以添加额外的攻击媒介,尽管您可能不再将其归类为相同的恶意软件类型。