神秘网络蠕虫出现，感染数万设备却不搞破坏，反而对抗其他木马

知乎上有这么一个提问：

如果真的出现了金刚狼、蜘蛛侠这样的“超级英雄”，你觉得这个世界变得更好了，还是更糟糕了？

有人觉得，如果需要一群自认为正义的“义警”来维护和平，那世界一定法制崩坏，烂透了。有人却认为如果真的恶徒当道，超级英雄的出现必然是好事。

这个问题没有结果，因为现实世界可能永远不会出现超级英雄。然而，网络空间却真的上演了类似情节：

一个名叫 Mirai 的恶意程序席卷了全世界超过100万台设备，对互联网设备肆意发起攻击。最严重时，造成了大半个美国断网事件（2016年10月美国大面积断网事件）

正当所有人对它无能为力，另一个奇特的程序出现了，它同样迅速传播，却不进行任何破坏，反而偷偷地将设备中的 Mirai 恶意程序的感染渠道“干掉”，并提醒人们注意安全。

没人知道这个奇特程序从哪里来的。

一群拥有超能力的变种人（Mirai 恶意程序）肆意妄为，正当人们束手无策陷入绝望，另一群拥有超能力者出现，试图拯救陷于危难的人们……

这情节简直能不再过瘾！

▲X战警海报（缅怀一下年轻时的狼叔）

一切还得从一头恶魔被解开封印说起……

恶魔解封

2016年9月30日，被惹怒的黑客 Senpai 释放了网络世界最恐怖的恶魔之一 ，Mirai 。那一天，全世界的安全研究者为之疯狂。一个月之后，这个恶魔就已经感染了全球超过100万台设备，而且数量依然急剧上升。

Mirai 其实只是个小小的恶意程序，但它会像寄生虫一样存在于设备中，不断感染更多设备，并操纵设备来进攻，一个，十个、一百个，不断传播。就像丧尸电影的病毒感染一样，一个咬一个，一个咬一个，最后丧尸席卷全球。

人们为这类蠕虫程序起了个形象的名字 ——“僵尸网络”。

在某些方面，Mirai 比真正的丧尸病毒更可怕。

首先，它就在你周围。

我们常说未来是物联网的时代，所有一切都变得智能。对于僵尸网络来说，那将是一场饕餮盛宴。你家的网络摄像头、智能电视、智能门锁、电话、路由器、电灯、路由器等所有联网设备都可能成为 Mirai 僵尸网络的“猎物”。

其次，Mirai 僵尸网络还具有强大的“重生”功能，你刚把自己被感染的设备上的Mirai病毒清除，可能不到一分钟，就又被其他“丧尸”重新感染。

最可怕的是，电影中的丧尸没有统一的指挥，不会进行有意识的集中攻击，而 Mirai 僵尸网络背后却有操纵者，他能操控成千上万被感染的设备对某一个目标发起进攻，形成“丧尸军团”。

你能想象几十万只丧尸在一个人的指挥之下朝你攻击过来的场景？

真实网络丧尸围攻

2016年9月20日，著名的安全新闻网站 KrebsOnSecurity.com 就遭到了这样的“丧尸围攻”（DDoS 分布式拒绝攻击）, 网站一瞬间涌入大量流量，

1.5Tbps 是什么概念？再举个例子作为对比：

2013年3月， 一次 300Gbps 的攻击创下了历史记录， 被评价为“差点瘫痪欧洲网络”。1.5Tbps 是它的三倍。放在两年前，两三个欧洲都瘫痪了。

这就是 Mirai 的威力。

2016年9月30号那天，Mirai 的作者 Senpai 做了一件什么事？—— 他把 Mirai 的源代码公布到了网上，所有人都可以根据这些代码来制作属于自己的 Mirai 僵尸网络，都有机会指挥着成千上万的“网络丧尸”，攻城略地。

”我只管赚钱。现在很多人都把关注目光放在物联网上，是时候把Mirai公布出来了。” 释放 Mirai 时，Senpai 似乎很淡定。

20多天后，整个美国出现了大面积断网的情况，原因就是域名解析服务商 DYN 遭到强大的DDOS攻击，研究者发现了几十万个攻击来源，这一切来源都指向了 Mirai 僵尸网络。

从那之后，网络上感染 Mirai 的设备数量急剧扩大，根据数据统计，第一个月就翻了一倍。公开的 Mirai 被人们收藏、标记了几千次。

物联网的僵尸暗战

肆虐物联网的僵尸并不只有 Mirai 。

▲吸血鬼、僵尸、丧尸……品种丰富

去年圣诞节之前，12月21日上午，美国观测到一个由名为“Leet”的僵尸网络发起的攻击，流量高达 650Gps。

之后，网上又出现了一个专门针对DVR硬盘录像机感染的僵尸网络“Amnesia”，根据扫描结果，70多万个目标笼罩在它的威胁之下。

几个星期前的3月20日，一个和 Mirai 僵尸网络相似的名为 Brickerbot 的新型僵尸网络出现，和前者不同的是，它会直接干掉被入侵的设备（永久性地破坏）。比如让路口的摄像头损坏，甚至有办法让你的智能电饭煲炸掉……

各种各样的僵尸网络，他们以各自的节奏侵袭着这个世界，也会为了争夺一个攻击目标而大打出手。

最近一个名为 “Bashlight”的僵尸网络家族就和 Mirai竞争激烈。因为感染目标大致相同，利用的方法也大同小异，都涉及设备运行的嵌入式Linux系统使用的 busybox 漏洞。

于是 Mirai 出手了，它会加密了感染设备和指令控制服务器之间的流量，并且接管被Bashlight感染的设备，还会为设备打上补丁防止它们再次被竞争对手感染。

当一个猎物同时被吸血鬼和丧尸咬到，他到底会感染成吸血鬼还是丧尸？答案当然是看谁的毒性猛。当一台设备同时被两个僵尸网络感染，到底谁能拿到控制权？看谁的技术NB。

目前，Bashlight 僵尸网络中的 近 10 万台设备已被Mirai 控制。显然 Mirai 更胜一筹。

“滚开，这是老子的猎物。”

转机

就这样，网络世界成千上万的脆弱设备被各个僵尸网络不断侵袭、瓜分，每个僵尸网络都想控制更多的物联网设备控制权。一片混沌之中，两个“僵尸大家族”脱颖而出，争夺制霸物联网的名号。

他们的名字是，Mirai 和 Hajime ，巧的是，在日语中的意思分别是 ：“未来”—— “开始”

▲蓝色是Hajime ，橙色的是 Mirai

这两种僵尸蠕虫的传播方式类似，都是利用网络设备未采取保护措施的特性（比如一台网络路由器开放了远程登录端口并使用默认密码）进行传播。

但是 Hajime 的行动更为隐秘，技术也更为先进。

与 Mirai 在命令和控制 C&C 服务器使用硬编码地址不同，Hajime 建立在一个点对点网络之上。也就是说，Mirai 有可能找到幕后的操纵者 （C&C服务器），而 Hajime的幕后操纵者隐藏在任何一个感染者之中，更难溯源，也更难以摧毁。

▲就像电影《黑客帝国》中杀不死的病毒史密斯

然而，安全研究人员惊奇地发现，Hajime 并不会执行恶意操作，也不包含任何分布式拒绝攻击（Ddos）功能与代码，反而每隔10分钟向被感染的设备推送一个消息：

我们是保护系统的白帽子。我们将通过此方法展示重要信息！

Hajime 制作者

联系关闭

请保持警惕！

甚至 Hajime 还做了一系列改善安全性的动作，比如阻挡 Mirai 赖以攻击的端口（23、7547、5555 和 5358 的访问），关闭这些端口，将有效组织设备被 Mirai 感染！

没有人知道 Hajime 的制作者是谁，但是他却在物联网上用自己的方式帮助设备阻挡 Mirai 的感染。

▲Hajime 全球感染情况

争议 · 白帽子的白色蠕虫？

Hajime 不是第一个所谓正义者试图保护脆弱的物联网设备的蠕虫。

这不就是超级英雄电影中蜘蛛侠、死侍的做派？—— “你们都让开，让我来”

正如电影中的超能力者受到争议一样，这种白色蠕虫也备受争议。

▲蜘蛛侠的正义和黑暗面，图片来源《蜘蛛侠3》

有人觉得 Hajime 这种强行提供保护的方式并不合法，难保有一天 Hajime 的作者反戈。

根据 Hajime的代码， 制造者可以随时在网络中的人易受感染设备中打开Shell 脚本。由于使用了模块化代码，设计者可以随时添加新的功能。一旦制作者改变主意打算搞点事情，便可以立即将受感染的设备转变成一个巨大的恶意僵尸网络。

有的人却认为这是一件好事，既然有些不负责任的厂商不作为，人们对僵尸网络无能为力，为什么不能以彼之道还治彼身？

甚至有的安全研究人员主动向 Hajime 提供帮助。在一篇关于Hajime 的研究报告中，安全人员发现了 Hajime 蠕虫中的漏洞，于是免费提供了一份质量保证报告，提供了检测这些漏洞的签名。此后 Hajime 果然将这些漏洞一一修复。

在电影《蜘蛛侠3》中，蜘蛛侠被外星生物引诱而沦为黑暗蜘蛛侠，最终经历一系列遭遇之后决定撕去黑暗，重回本质。在网络世界的超能力者黑客，他们同样面临金钱、贪欲等等引诱，他们可以选择成为“超级英雄”，也可能沦为邪恶暴徒，无论如何，他人的质疑和自我的人性拷问都无法避免。