僵尸军团持续扩充 恶意软件Mirai变种影响分析

　　美国断网事件影响面

　　不得不提的是，在互联网时代世界经济都由之来驱动，对目标网络进行攻击，也就有了“利益”可图，而地下黑产最喜欢的首当其冲的就是DDoS这种最为古老而又十分有效的攻击方式。据媒体先前报道称，地下黑产对于DDoS攻击致瘫一家网站的收费仅为50元，正是因为这种既得利益，驱使着地下黑产不断升级壮大自己手中的“资源”。

　　Mirai开源之后黑客自然蠢蠢欲动，不排除是为了提供更好的“服务”而进行测试和不断巩固“资源”肉机的行为，例如德国电信断网事件，就很难排除这一点，正如前不久黑客公开出租40万Mirai“僵尸大军”的消息，行动已经开始了。

　　德国电信受攻击影响面

　　而据知道创宇早先发布的《变种Mirai僵尸网络分析报告》显示，德国电信遭到Mirai攻击背后，排除政治因素外，Mirai真正的目的也许就是企图进一步感染更多的主机。Mirai变种代码样本分析显示，在黑客利用更多的网络设备漏洞寻找Mirai下一个载体的过程中，感染代码中越来越多的出现了阻断功能。

　　多个busybox命令被执行

　　知道创宇404实验室漏洞研究人员告诉笔者，在德国电信这一事件当中，路由器的7547端口成为攻击入口，新的底层协议漏洞被黑客利用，而一段命令则用于在感染之后不再向之后的连接行为返回任何信息，以避免一台主机受到感染之后再次被其它人以同样方式进行重新控制。

　　同时感染主机还会不断向外界随机IP发出请求，除了7547端口，5555端口分析显示也受这一相关漏洞影响，从而进一步的向外界持续感染扩散。

　　ZoomEye统计全球仍然存在的7547端口漏洞潜在影响面

　　同时根据知道创宇ZoomEye网络空间搜索引擎排查显示，至11月29日晚，全球范围内仍然受7547端口命令执行漏洞所影响的设备共计有50余万，其中仅英国，就有221096台潜在威胁设备，我们的亚洲近邻印度总计也有100264台威胁设备。而知道创宇还强调，这还是其中未被感染代码过滤阻断的设备数量。

　　潜在被感染设备品牌统计

　　研究人员还对潜在被感染设备的设备类型进行了进一步统计，抽取1000个IP进一步排查显示，其中D-Link品牌设备以37%比例排名首位，之后则是之前有分析出德国此次受影响的ZyXEL，两个品牌以总和超过60%的比例占据绝大多数比例。

　　研究人员表示，Mirai在开源之后正在被更多的黑客从更多的物联网设备所爆出的新漏洞中所利用并突破，对“僵尸军团”不断进行着扩充，这对新漏洞的应急处置来说从来没有哪一时刻像现在这般紧急，不然Mirai将很难得到控制，形式将愈演愈烈，恐慌将会进一步蔓延。