RSA Conference 2017已經于美國時間2017年2月13日開幕，全球主流信息安全廠商、行業專家、安全從業者齊聚舊金山，共享這場行業盛宴。近兩年來，由于安全威脅的不斷演變和升級，網絡安全已經成為需要全球共同治理和面對的難題。而在剛剛過去的2016年發生的幾起全球重大網絡安全事件中，都能看到Mirai的影子。在此次RSA大會上，360網絡安全研究院研究員李豐沛發表主題演講，針對Mirai僵尸網絡的歷史、危害和演進做出了詳細的解讀。

360網絡安全研究院研究員李豐沛現場發表演講

李豐沛在演講中提到，Mirai僵尸網絡的成長非常快，從2016年8月才開始觀察到，到了2016年10月21日就首先把美國打“斷網”。而這之后，Mirai不斷在全世界留下新的“犯案”記錄，連續發動了針對新加坡、利比里亞、德國的DDoS攻擊。

在美國斷網事件中，美國域名解析服務提供商Dyn公司遭到了峰值達到1．1Tbps 的DDoS攻擊，造成了美國東部大面積的網絡癱瘓，包括Twitter、Facebook在內的多家美國網站無法通過域名訪問。而造成半個美國互聯網癱瘓的罪魁禍首，則是Mirai僵尸網絡控制下的數以10萬計的物聯網設備。Mirai惡意程序通過掃描物聯網設備，嘗試默認通用密碼進行登錄操作，一旦成功即將這臺物聯網設備作為“肉雞”納入到僵尸網絡里，進而操控其攻擊其他網絡設備。

李豐沛認為，這是一次典型“拒絕訪問服務”（DDoS）網絡攻擊。域名服務商遭到了大量垃圾請求，這讓 DNS 解析商完全無法應對，真正的請求也無法回答，互聯網網站癱瘓。

而在之后的德國斷網事件中，也是由于Mirai僵尸網絡發起了針對 7547 端口的掃描，德國電信累積大約90萬個路由器被Mirai僵尸網絡的掃描過程打宕，并由此導致大面積網絡訪問受限。

我們看到，Mirai僵尸網絡充分利用了防護薄弱且數量巨大的物聯網設備，白帽子們以往總是針對物聯網設備的脆弱性在喊狼來了，結果Mirai一出現就成為讓人頭疼的威脅。而時至今日，越來越多的物聯網設備開始接入互聯網，防護困難甚至對安全性的忽視，使得物聯網設備里的應用程序體異常脆弱，很容易被攻擊者發現漏洞并利用。Mirai僵尸網絡的規模很快就要到兩百萬，這個量級比大多數的僵尸網絡大2～3個數量級。

另外，由于物聯網設備存在設備分散、責權不清，早期設備甚至都沒法遠程升級等問題，這就導致了就算知道其防護不力，也沒有辦法進行修復。

Mirai僵尸網絡的出現可謂影響深遠，美國在斷網事件發生26天后，美國國土安全部DHS就發布了《保障物聯網安全戰略原則》，其中提出，物聯網制造商必須在產品設計階段構建安全，否則可能會被起訴。DHS網絡政策助理部長Robert Silvers表示，“需要在設計階段構建安全。安全不應該是馬后炮。例如，我們需要內置、難以破解的密碼，可靠的操作系統升級，并促進安全更新和漏洞管理。”

我國在工信部發布的《物聯網發展規劃（2016－2020年）》中，也提出了物聯網產業未來五年發展的主要任務，在物聯網關鍵技術標準制定、關鍵核心技術創新、行業標準研制、物聯網與行業領域的深度融合等方面給出了詳細的指導意見。

最后，李豐沛談到，由Mirai僵尸網絡而導致的一系列斷網事件，不僅僅會是年度DDoS事件，甚至在未來幾年內都會有著重要的影響。目前，全世界的安全社區都在針對Mirai僵尸網絡及物聯網安全問題進行研究，360也在本屆RSA大會上向全世界安全社區推出了ScanMon系統，ScanMon系統可提供全球范圍內實時和歷史掃描行為的監控和分析。360網絡安全研究院在針對 mirai 僵尸網絡出現、發展、新變種的持續跟蹤中，就大量借助了 ScanMon 的能力。目前，該系統免費向安全社區開放。