去年干掉Dyn讓全球多家大型網(wǎng)站無法訪問的DDoS攻擊始作俑者——Mirai僵尸網(wǎng)絡，至今依然逍遙法外。

　　據(jù)Dyn公司估測，2016年10月致其服務中斷的DDoS攻擊中，至少涉及了10萬臺被Mirai感染的設備。11月7號，安全評級公司SecurityScorecard發(fā)布一份研究結果，稱即便在面世1年之后，Mirai僵尸網(wǎng)絡感染依然廣泛。

　　2017年7月到9月間，SecurityScorecard在公網(wǎng)上發(fā)現(xiàn)34,062個IPv4地址，呈現(xiàn)出被Mirai物聯(lián)網(wǎng)(IoT)惡意軟件感染的嵌入式設備所表現(xiàn)出的癥狀。而2016年8月1日到2017年7月31日的1整年間，感染Mirai IoT惡意軟件的IoT設備IPv4地址數(shù)量為184,258個。

　　即便該僵尸網(wǎng)絡更小更分散，依然對互聯(lián)網(wǎng)安全產(chǎn)生了威脅。

　　其他安全專家也贊同該評估。Mirai僵尸主機數(shù)量的下降，與IoT安全的改善毫無關系。比如用戶給DVR之類最易被感染的設備打上補丁。而是在于Mirai不是長期駐留型，感染在主機重啟后就會消失。Mirai攻擊的是基于中國電子設備廠商雄邁的DVR，這些設備很不穩(wěn)定，可以很容易地遠程重啟它們——不用經(jīng)過身份驗證。

　　因此，沒有哪個僵尸網(wǎng)絡操控者可以創(chuàng)建單一大型僵尸網(wǎng)絡——DVR會隨機重啟，需要盡快再次入侵。

　　其他更近期的IoT僵尸網(wǎng)絡，比如最具代表性的Reaper，則展現(xiàn)出更大的安全風險。

　　對Dyn公司的攻擊，發(fā)生在信息安全博主布萊恩·克雷布斯的網(wǎng)站遭攻擊之后，德國電信和TalkTalk的路由器被Mirai變種發(fā)起DDoS攻擊之前。所有這些都發(fā)生在去年。用IoT設備當攻擊平臺的高調(diào)DDoS攻擊為什么沒有延續(xù)，是個令人費解的問題，尤其是在傷害潛力不減的情況下。

　　比如說，上月，安全研究員特洛伊·穆爾什和尼爾·克拉維茲博士，發(fā)現(xiàn)了有EnGenius路由器構成的類Mirai僵尸網(wǎng)絡。穆爾什稱，自2月以來，他已在網(wǎng)絡中發(fā)現(xiàn)了9萬臺被控設備。

　　Mirai源代碼于2016年10月初泄露，就在Dyn公司遭DDoS攻擊前3周。這開啟了僵尸網(wǎng)絡養(yǎng)殖模仿作案的大門。

　　情況如何?

　　SecurityScorecard公司的Mirai情報，提供了感染該IoT惡意軟件設備的現(xiàn)狀分析。

　　2017年第3季度，教育產(chǎn)業(yè)是受Mirai變種影響最大的行業(yè)，緊隨其后的是能源、制造業(yè)、娛樂行業(yè)和金融服務業(yè)。

　　這一階段受Mirai活動影響最嚴重的國家，是墨西哥，然后是中國、美國、巴西和土耳其。

　　墨西哥Mirai感染的盛行，是其IoT系統(tǒng)推廣工作的副產(chǎn)品，比如最近推出的面向IoT的地區(qū)性專用通訊服務。