还记得一年前让美国大面积网络瘫痪的“黑色星期五”么，当时的美国正沉浸在两位总统候选人的精彩辩论赛中，一觉起来， Twitter、亚马逊、PayPal 等热门网站就“群体抽风”无法登陆了。事后确认，造成美国这次大面积断网的主要原因是美国域名解析服务提供商Dyn公司受到强力DDoS攻击，而攻击流量来源之一是感染了Mirai僵尸的摄像头设备。这是第一次大规模的物联网设备组成的僵尸网络发起的DDoS攻击，然而攻击并没有停下来……

今年8月，绿盟科技DDoS态势感知平台监控到某客户的网络带宽流量存在异常，经分析确认，这是一次有预谋的DDoS攻击。通过对攻击源IP进行溯源分析，绿盟科技发现本次攻击依然利用了物联网设备，不同于美国断网，这次的攻击对象居然是机顶盒，没错，就是我们几乎每天都在看的有线电视机顶盒！

这次的恶意软件被叫做Rowdy。

进一步取证分析后发现，Rowdy的bot上线方式竟然与造成美国网络瘫痪的Mirai相同， DDos攻击代码也基本一致。基于这些特征，可以确定，Rowdy样本是Mirai物联网恶意软件的变种，虽然入侵方式同样是破解物联网设备弱口令，但这一次，Rowdy伪装得更好，不仅采用加壳措施进行自我保护，还采用一定的算法隐藏控制服务器地址。

另据绿盟科技威胁情报中心（NTI）发布的《2017上半年DDoS与Web应用攻击态势报告》，曾指出，2016下半年开始火遍全球的Mirai，依旧活跃，新变种在不断拓展能力，加入了比特币挖掘组件。这一次，Mirai恶意软件经过改造后，实现了从摄像头等视频监控系统向机顶盒物联网设备的跨越，这无疑大幅度扩展了其传播范围。

绿盟科技专家对Rowdy物联网恶意软件的传播进行了跟踪分析后还发现，Rowdy在短短数月时间已经形成了规模不小的Bot僵尸网络，感染的设备涉及国内5家厂商，但是，国内的机顶盒使用量有多大呢？

据国家统计局2月份发布的《中华人民共和国2016年国民经济和社会发展统计公报》显示，机顶盒设备实际用户到达2.23亿户，同时据奥维云网《2017年中OTT运营大数据蓝皮书》显示，机顶盒设备实际用户达到2.4亿台。机顶盒如此庞大的网络，一旦被Rowdy快速渗透，后果不堪设想。

绿盟科技专家指出，Rowdy僵尸网络所控制的机顶盒数量如果达到一定量级，它所发动的DDoS攻击能量将远超Mirai僵尸网络，毫无疑问将对互联网服务造成重大破坏。

• 传播机制

Rowdy僵尸通过自动化扫描方式传播感染，构成整个僵尸网络。首先，会对目标设备进行扫描，利用内置用户名/口令字典，尝试登录Telnet服务。然后，便通过设备的busybox工具下载并执行恶意病毒程序。

Rowdy样本支持多个平台，包括x86、ARM、MIPS。僵尸网络能发动多种DDoS攻击类型，包括 HTTP Flood、SYN Flood、UDP Flood、DNS Flood、ACK Flood、VSE Flood、GRE IP Flood。组成僵尸网络的设备均为上网出口设备，因此该僵尸网络具备发起大规模、大流量DDOS攻击的能力。

• 影响范围

在跟踪调查中还发现，Rowdy-Bot僵尸网络已经开始向外发起DDoS攻击，国内受控制僵尸主机已达2000多台，东南部沿海地区是重灾区。

在绿盟威胁情报中心NTI通过对Rowdy僵尸网络的C&C控制服务器溯源发现，IP地址位置位于荷兰阿姆斯特丹，而其控制的僵尸主机却全部在国内。

通过对历史数据回溯，可以看到，从8月初到9月初，近一个月内，随着被感染的设备增加，僵尸网络逐渐扩大，8月20日峰值达到2700多台，而随着后续僵尸网络调查深入和清理，僵尸网络又迅速收敛，扩散速度得到有效抑制，被感染设备数量开始下降。

• 应对措施

为了防止Rowdy样本在网络中持续扩散造成影响，以及僵尸网络对外发起DDoS攻击消耗业务带宽，绿盟科技建议尽快对本地网络终端的Rowdy僵尸主机进行检测和清理，并修改设备口令。一旦遭受攻击，可以通过部署本地或者云端的抗拒绝服务系统进行流量清洗。

此外，绿盟科技DDoS防护专家指出有效防护DDoS攻击需要考虑以下三部分，并根据实际攻击场景进行组合：

虽然Rowdy僵尸网络被遏制了，但是类似的物联网僵尸网络一定会再次出现。物联网设备，包括摄像头、路由器、智能电视、机顶盒、智能家居和可穿戴设备，只要接入互联网，就有可能成为攻击者的潜在目标。攻击者会利用存在漏洞的物联网设备，尤其是缺省弱口令的设备，组成庞大的僵尸网络，为其发动大规模DDoS攻击做准备，威胁互联网安全。

所以，使用物联网设备的同志们啊，为了不让你家的智能设备沦为“肉鸡”，一定要改密码！

相关阅读

安全专家警告：物联网可以杀人
两大物联网恶意软件为了争夺僵尸网络打起来了

作者：绿盟科技