http81殭屍網路預警：專門攻擊攝像頭，國內5萬台設備已淪陷

過去一年裡，大半個安全社區都在為兩件事情忙碌，勒索軟體和Mirai蠕蟲。

勒索軟體不必多說，由於長期佔據頭條位置，許多安全公司把2016年直接命名為「勒索軟體之年」。如果你還不清楚，趕緊在嘶吼網站學習下。

與強行要錢的勒索軟體相比，Mirai蠕蟲則顯得有些和風細雨，日常只是不停地尋找WiFi攝像頭，感染、感染、再感染。但它一旦爆發，後果極為驚人，像針對KrebsOnSecurity、OVH打出了創紀錄DDoS流量，Dyn被D導致數百個知名網站無法訪問，造成了美國過半地區類似「斷網」的效果。

Mirai開啟了一扇地獄之門，讓大家去認清IoT設備的薄弱安全現狀。它不是孤例，現在，新的惡鬼來了。

Mirai的新同伴

自2016年9月曝光以來，Mirai蠕蟲首度迎來新同伴。

根據360網路安全研究院監測，從今年4月16日開始，有一個新的IoT殭屍網路在HTTP 81埠進行大範圍傳播。

這個殭屍網路利用一組公開不久的OEM攝像頭安全漏洞進行傳播，由於是OEM貼牌設備，許多品牌攝像頭也受影響，漏洞作者評估有超過1250個不同廠商、型號的攝像頭受影響，通過Shodan估算目前互聯網上有超過15萬設備易被攻擊。

http81殭屍網路的擴張極為迅猛。經過前期初步試探，在4月16日-24日9天時間內，它開始全網瘋狂掃描尋找問題攝像頭，每日掃描至少150萬次，最多的一天用57400個IP掃描了將近270萬次。

其主要分布在國內，目前已經感染了超過5萬台攝像頭，量級正在接近Mirai。

360網路安全研究員李豐沛透露，在積累上量過程，http81殭屍網路還嘗試向一個境外IP發起過DDoS攻擊，IP對應的網站是某個俄羅斯銀行。

4月24日，360發布博客披露了這一殭屍網路，隨後不久攻擊者把它的主控域名解析到一個內網地址，暫時進行了下線。

從弱口令到遠程控制漏洞

儘管http81殭屍網路暫時性下線了，但其所表現的特徵需要特別警惕。

李豐沛說，http81殭屍網路利用一組OEM攝像頭高危安全漏洞進行傳播，而這組漏洞從公開到被利用，時間不足一月。

這意味著什麼呢？我們來看看過去的IoT殭屍網路。

在Mirai之前，曾經有過一些小型的IoT殭屍網路，比如Wifatch、Lizard Squad蠕蟲、智魁等，它們基本上都是利用路由器、攝像頭的硬編碼後台弱口令來進行攻擊的。即使Mirai，早期版本也主要依靠弱口令，它內置了六十多組常見弱口令。

Mirai開源後，出現過一些使用路由器TR-069/TR-064漏洞進行攻擊的變種。TR-069/TR-064漏洞在2016年11月7日披露，大約20天後，有人利用漏洞製作新的Mirai變種，感染了德國電信90萬台路由器，導致德國電信大範圍網路故障，幾近斷網。5個月後，又有人利用漏洞控制了近十萬台路由器，專門向WordPress網站發起撞庫攻擊。

相關跡象表明，黑產們正緊緊盯著IoT設備新曝光的安全漏洞，一有好使的立馬用起來，其效率之高，目前的廠商修復速度大概只有望塵莫及了。

沉默的廠商

http81殭屍網路還有個有趣的插曲。嘶吼編輯在檢索資料的時候，了解到知道創宇今年3月分析過利用漏洞，當時創宇的人根據相關特徵查看全網數據，發現許多OEM設備在16年沒有漏洞，17年卻有了漏洞。

他們由此推測，該漏洞出現時間大約是去年，後來舊攝像頭通過更新有漏洞固件的方式導致出現了漏洞，而那些新生產的有問題攝像頭則被銷售到世界各地。

一堆壞消息里，或許這算是個好消息，至少它證明OEM廠商是有更新能力的。到現在為止，我們仍不清楚OEM廠商是誰，也不清楚對方是否知曉漏洞信息，只能寄希望對方看到漏洞後會積極地修復。

在IoT設備安全形勢嚴峻的大環境下，怎麼樣才能讓廠商做得更安全？我們可以在歷史中能找到一些借鑒。

「2000年左右的Windows，要比現在的IoT設備系統複雜很多，出漏洞的空間大很多，但Windows的安全狀況改變得很好。因為微軟有整套安全流程，它堅持了二十多年持續不斷地改進，一直和安全社區保持溝通。」李豐沛說。

就安全社區而言，我們沒有什麼很好的辦法來推動原始廠商往前走。只能期待廠商意識和安全響應能力的增強。無論如何，通過具體的攻擊事件推動發展的代價是巨大的，對所有人都如此。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！