本文作者：謝幺，雷鋒網網絡安全作者。

知乎上有這么一個提問：

如果真的出現了金剛狼、蜘蛛俠這樣的“超級英雄”，你覺得這個世界變得更好了，還是更糟糕了？

有人覺得，如果需要一群自認為正義的“義警”來維護和平，那世界一定法制崩壞，爛透了。有人卻認為如果真的惡徒當道，超級英雄的出現必然是好事。

這個問題沒有結果，因為現實世界可能永遠不會出現超級英雄。然而，網絡空間卻真的上演了類似情節：

一個名叫 Mirai 的惡意程序席卷了全世界超過100萬臺設備，對互聯網設備肆意發起攻擊。最嚴重時，造成了大半個美國斷網事件（2016年10月美國大面積斷網事件）

正當所有人對它無能為力，另一個奇特的程序出現了，它同樣迅速傳播，卻不進行任何破壞，反而偷偷地將設備中的 Mirai 惡意程序的感染渠道“干掉”，并提醒人們注意安全。

沒人知道這個奇特程序從哪里來的。但是，這不就是網絡版的超級英雄電影情節么？

一群擁有超能力的變種人（Mirai 惡意程序）肆意妄為，正當人們束手無策陷入絕望，另一群擁有超能力者出現，試圖拯救陷于危難的人們……

這情節簡直能不再過癮！

X戰警海報（緬懷一下年輕時的狼叔）

一切還得從一頭惡魔被解開封印說起……

2016年9月30日，被惹怒的黑客 Senpai 釋放了網絡世界最恐怖的惡魔之一 ，Mirai 。那一天，全世界的安全研究者為之瘋狂。一個月之后，這個惡魔就已經感染了全球超過100萬臺設備，而且數量依然急劇上升。

Mirai 其實只是個小小的惡意程序，但它會像寄生蟲一樣存在于設備中，不斷感染更多設備，并操縱設備來進攻，一個，十個、一百個，不斷傳播。就像喪尸電影的病毒感染一樣，一個咬一個，一個咬一個，最后喪尸席卷全球。

人們為這類蠕蟲程序起了個形象的名字 ——“僵尸網絡”。

僵尸網絡，圖片來自網絡

在某些方面，Mirai 比真正的喪尸病毒更可怕。

首先，它就在你周圍。

我們常說未來是物聯網的時代，所有一切都變得智能。對于僵尸網絡來說，那將是一場饕餮盛宴。你家的網絡攝像頭、智能電視、智能門鎖、電話、路由器、電燈、路由器等所有聯網設備都可能成為 Mirai 僵尸網絡的“獵物”。

智能家居，圖片來自網絡

其次，Mirai 僵尸網絡還具有強大的“重生”功能，你剛把自己被感染的設備上的Mirai病毒清除，可能不到一分鐘，就又被其他“喪尸”重新感染。

最可怕的是，電影中的喪尸沒有統一的指揮，不會進行有意識的集中攻擊，而 Mirai 僵尸網絡背后卻有操縱者，他能操控成千上萬被感染的設備對某一個目標發起進攻，形成“喪尸軍團”。

你能想象幾十萬只喪尸在一個人的指揮之下朝你攻擊過來的場景？

腦補場景，圖片來自網絡

2016年9月20日，著名的安全新聞網站 KrebsOnSecurity.com 就遭到了這樣的“喪尸圍攻”（DDoS 分布式拒絕攻擊）, 網站一瞬間涌入大量流量，網站服務器帶寬瞬間被撐爆，攻擊峰值的網絡流量達到每秒 665Gbps 。

同一天，法國網站主機OVH也遭到Mirai 的喪尸圍攻，DDoS 攻擊量最大達到 1.5Tpbs。

1.5Tbps 是什么概念？雷鋒網再舉個例子作為對比：

2013年3月， 一次 300Gbps 的攻擊創下了歷史記錄，被評價為“差點癱瘓歐洲網絡”。1.5Tbps 是它的三倍。放在兩年前，兩三個歐洲都癱瘓了。

據宅客了解，國內一些中小城市總的帶寬也不一定有500G，也就是說，如果有這么大的流量打到某個城市的IP上，這個城市多半要斷網。

這就是 Mirai 的威力。

2016年9月30號那天，Mirai 的作者 Senpai 做了一件什么事？—— 他把 Mirai 的源代碼公布到了網上，所有人都可以根據這些代碼來制作屬于自己的 Mirai 僵尸網絡，都有機會指揮著成千上萬的“網絡喪尸”，攻城略地。

”我只管賺錢?，F在很多人都把關注目光放在物聯網上，是時候把Mirai公布出來了?！?釋放 Mirai 時，Senpai 似乎很淡定。

20多天后，整個美國出現了大面積斷網的情況，原因就是域名解析服務商 DYN 遭到強大的DDOS攻擊，研究者發現了幾十萬個攻擊來源，這一切來源都指向了 Mirai 僵尸網絡。

從那之后，網絡上感染 Mirai 的設備數量急劇擴大，根據數據統計，第一個月就翻了一倍。公開的 Mirai 被人們收藏、標記了幾千次。

肆虐物聯網的僵尸并不只有 Mirai 。

吸血鬼、僵尸、喪尸……品種豐富

去年圣誕節之前，12月21日上午，美國觀測到一個由名為“Leet”的僵尸網絡發起的攻擊，流量高達 650Gps。

之后，網上又出現了一個專門針對DVR硬盤錄像機感染的僵尸網絡“Amnesia”，根據掃描結果，70多萬個目標籠罩在它的威脅之下。

幾個星期前的3月20日，一個和 Mirai 僵尸網絡相似的名為 Brickerbot 的新型僵尸網絡出現，和前者不同的是，它會直接干掉被入侵的設備（永久性地破壞）。比如讓路口的攝像頭損壞，甚至有辦法讓你的智能電飯煲炸掉……

各種各樣的僵尸網絡，他們以各自的節奏侵襲著這個世界，也會為了爭奪一個攻擊目標而大打出手。

最近一個名為 “Bashlight”的僵尸網絡家族就和 Mirai競爭激烈。因為感染目標大致相同，利用的方法也大同小異，都涉及設備運行的嵌入式Linux系統使用的 busybox 漏洞。

于是 Mirai 出手了，它會加密了感染設備和指令控制服務器之間的流量，并且接管被Bashlight感染的設備，還會為設備打上補丁防止它們再次被競爭對手感染。

當一個獵物同時被吸血鬼和喪尸咬到，他到底會感染成吸血鬼還是喪尸？答案當然是看誰的毒性猛。當一臺設備同時被兩個僵尸網絡感染，到底誰能拿到控制權？看誰的技術NB。

目前，Bashlight 僵尸網絡中的 近 10 萬臺設備已被Mirai 控制。顯然 Mirai 更勝一籌。

“滾開，這是老子的獵物。”

就這樣，網絡世界成千上萬的脆弱設備被各個僵尸網絡不斷侵襲、瓜分，每個僵尸網絡都想控制更多的物聯網設備控制權。一片混沌之中，兩個“僵尸大家族”脫穎而出，爭奪制霸物聯網的名號。

他們的名字是，Mirai 和 Hajime ，巧的是，在日語中的意思分別是 ：“未來”—— “開始”

藍色是Hajime ，橙色的是 Mirai

這兩種僵尸蠕蟲的傳播方式類似，都是利用網絡設備未采取保護措施的特性（比如一臺網絡路由器開放了遠程登錄端口并使用默認密碼）進行傳播。

但是 Hajime 的行動更為隱秘，技術也更為先進。

與 Mirai 在命令和控制 C&C 服務器使用硬編碼地址不同，Hajime 建立在一個點對點網絡之上。也就是說，Mirai 有可能找到幕后的操縱者 （C&C服務器），而 Hajime的幕后操縱者隱藏在任何一個感染者之中，更難溯源，也更難以摧毀。

就像電影《黑客帝國》中殺不死的病毒史密斯

安全公司賽門鐵克告訴雷鋒網，在過去的幾個月里，Hajime 的傳播速度迅速。保守估計全球受感染的設備數量已經達到數萬臺，中國是受感染的市場之一。

Hajime 感染地區分布，來源：賽門鐵克安全公告

然而，安全研究人員驚奇地發現，Hajime 并不會執行惡意操作，也不包含任何分布式拒絕攻擊（Ddos）功能與代碼，反而每隔10分鐘向被感染的設備推送一個消息：

我們是保護系統的白帽子。我們將通過此方法展示重要信息！

Hajime 制作者

聯系關閉

請保持警惕！

甚至 Hajime 還做了一系列改善安全性的動作，比如阻擋 Mirai 賴以攻擊的端口（23、7547、5555 和 5358 的訪問），關閉這些端口，將有效組織設備被 Mirai 感染！

沒有人知道 Hajime 的制作者是誰，但是他卻在物聯網上用自己的方式幫助設備阻擋 Mirai 的感染。

Hajime 全球感染情況

Hajime 不是第一個所謂正義者試圖保護脆弱的物聯網設備的蠕蟲。

2014 至 2015 年，賽門鐵克就曾發現一個名為 Linux.Wifatch 蠕蟲軟件。該軟件由“白色團隊”（the white team ) 編寫，與 Hajime 的目的相似，試圖為物聯網設備提供安全保護。

這不就是超級英雄電影中蜘蛛俠、死侍的做派？—— “你們都讓開，讓我來”

正如電影中的超能力者受到爭議一樣，這種白色蠕蟲也備受爭議。

蜘蛛俠的正義和黑暗面，圖片來源《蜘蛛俠3》

有人覺得 Hajime 這種強行提供保護的方式并不合法，難保有一天 Hajime 的作者反戈。

根據 Hajime的代碼， 制造者可以隨時在網絡中的人易受感染設備中打開Shell 腳本。由于使用了模塊化代碼，設計者可以隨時添加新的功能。一旦制作者改變主意打算搞點事情，便可以立即將受感染的設備轉變成一個巨大的惡意僵尸網絡。

有的人卻認為這是一件好事，既然有些不負責任的廠商不作為，人們對僵尸網絡無能為力，為什么不能以彼之道還治彼身？

甚至有的安全研究人員主動向 Hajime 提供幫助。在一篇關于Hajime 的研究報告中，安全人員發現了 Hajime 蠕蟲中的漏洞，于是免費提供了一份質量保證報告，提供了檢測這些漏洞的簽名。此后 Hajime 果然將這些漏洞一一修復。

在電影《蜘蛛俠3》中，蜘蛛俠被外星生物引誘而淪為黑暗蜘蛛俠，最終經歷一系列遭遇之后決定撕去黑暗，重回本質。在網絡世界的超能力者黑客，他們同樣面臨金錢、貪欲等等引誘，他們可以選擇成為“超級英雄”，也可能淪為邪惡暴徒，無論如何，他人的質疑和自我的人性拷問都無法避免。

本文作者：謝幺，雷鋒網網絡安全作者。