近日，安天追影小組通過整理安全事件發現了，一款以物聯網設備為主要感染對象的命名為“Mirai”樣本。在分析小組進行分析的過程中，發生了一起利用“Mirai”惡意代碼進行攻擊的DDOS攻擊事件，受害方是為美國眾多公司提供域名解析網絡服務的Dyn公司。同時，受到影響的廠商服務包括：Twiter、Github、CNN、星巴客、紐約時報等知名網站。Dyn公司稱此次DDoS攻擊事件涉及IP數量達到千萬量級，其中很大部分來自物聯網和智能設備，并認為攻擊來自名為“Mirai”的惡意代碼。

      安天追影小組對Mirai的樣本進行分析說明，經分析該樣本為ELF格式，是運行在Linux操作系統上的惡意代碼。該樣本主要分為四個模塊，分別為Attack模塊、Kill模塊、Scanner模塊和CNC模塊。

      Attack模塊，會對某一批特定目標IP（靶機）做永真循環的數據包發送，位于僵尸網絡中的大量Mirai樣本受控結點通力合作，具備對目標主機進行DDoS攻擊的能力。Killer模塊，會禁止多個知名端口的服務，即關閉該進程并建立一個套接字綁定到該端口將其占用。Scanner模塊會針對Telnet登錄口令進行猜解，嘗試登錄到某一其他設備上并控制該設備。CNC模塊的主要功能是遠程命令和控制服務，是木馬中常見的控制端服務程序，在Maria中的功能主要用于獲取控制端的相關命令。

      Maria樣本使用了很多隱藏自身的方法，以此保證自身不被輕易發現。對于大量重要的關鍵字符串，Maria進行了加密，因為在文件中直接搜索加密前的明文字符串是不可見的，只有加載到內存后，需要使用時，才會調用解密函數將進行解密。

      隨著小到智能家居、大到智慧城市的物聯網蓬勃發展，在線物聯網設備數量大幅增加，該類設備一般沒有經過嚴格的安全設計，惡意代碼對其注入、進而利用其進行攻擊的難度低于攻擊桌面操作系。這起攻擊事件也敲響了加強物聯網設備安全防護的警鐘。提高攻擊入侵物聯網設備的成本，以及加強物聯網設備的安全威脅監測預警，是安天已經在進行的工作。目前，該類惡意代碼可以被追影產品檢出