黑客的潘多拉魔盒——美國大斷網·續

2017年5月，美國聯邦調查局FBI歷經大半年，抓捕了三個酷愛日本動漫的宅男。

當然，不是普通宅男，而是技術宅。他們為了打遊戲開掛，研發出網路世界最具威脅的武器——殭屍網路 Mirai，曾造成大半個美國斷網，整個互聯網世界為之一顫。（前篇詳見：《黑客的滑鐵盧——美國大斷網紀實》）

案件偵破，事情本該告一段落。然而，他們卻在被捕前把Mirai殭屍網路的代碼在網上公開。就像電影里演的那樣，壞人在最後一刻打破裝滿生化病毒的試管，為電影續集埋了個梗。

至今，任何人都可以隨意下載使用 Mirai 殭屍網路，掀起一場殭屍狂潮。甚至網上原本被撲滅的病毒已經被大肆改造，演化出了上百種不同的殭屍網路…………本文也就此展開。

（一）殭屍「覺醒」

2017年12月初的某個午夜，昏暗的房間回蕩著老王的鼾聲。地上擺著一隻路由器，上面的指示燈像螢火蟲，隨著鼾聲一閃，一閃。忽然，幾個指示燈齊刷刷連眨了幾秒。一小段脈衝信號從路由器背後躥進網線，以閃電般的速度穿行在城市的光纜中，不到一秒，竟已飛到地球另一端。

另一端連著一台筆記本電腦，屏幕前的少年喝了口咖啡，揚起嘴角微笑，他知道自己的網路蠕蟲已經起作用了。此時，他手裡的這台電腦連接著上萬台路由器設備，這些設備來自全球各地，老王家的那台是其中之一。

那頭，鼾聲仍在持續，熟睡中的老王並不知道，自家路由器已成了「殭屍路由器」。看似並無異樣的硬體指示燈，實則已經變成血紅的雙眼，貪婪地尋找下一個感染目標。

不懂技術的老王永遠也不會相信，只要地球另一端的某個人敲一串代碼，就能讓全世界上萬台路由器齊刷刷地向網路世界裡的任一目標發起攻擊，甚至能讓一個中型城市網路癱瘓。

太陽緩緩爬上地平線，老王們起床開始新的一天，誰也不知道昨晚發生過什麼，一切照舊。

那一晚，究竟發生了什麼？還得下面這份數據說起：

360網路安全研究院的李豐沛被這數據驚呆：這次的殭屍網路僅用12小時就俘虜了全球二十多萬台設備。

他自認研究殭屍網路已有相當長一段時間，也很少見到哪個能達到這麼罕見的增速。望著陡升的數據陷入沉思，李豐沛斷定，一定發生了什麼。

很快，實驗室用蜜罐捕獲到的殭屍網路樣本，分析出結果：

這次殭屍網路代號：Satori，和之前出現過的 Okiru 殭屍網路非常相似，有技術證據表明，它們都是 Mirai 殭屍網路的變種。

幾小時後，中國某大型路由器廠商上了新聞頭條：大量設備存在0day漏洞（之前從未發現的漏洞），已被殭屍網路利用。

原來，這次殭屍網路對某國產路由器的漏洞進行了針對性攻擊，由於這款路由器銷量太好，直接為 Satori 提供了擴張土壤。

至於具體是哪款路由器，你猜。

（二）不死之身

毫無疑問，殭屍網路這玩意是不死之身，因為一旦某種殭屍網路被封鎖或者幹掉，只要有人願意將它稍作改造，換個馬甲又能重出江湖。凡有名利可圖，就有人前仆後繼，哪怕名利都沒有，為了裝X也有人願意干。

於是，殭屍網路就像現實世界的流感病毒，從H1N1到H9N9那樣，幾個數字的排列組合愣是能湊出九九八十一難。一旦被滅，把技術參數一改再放出來，又是一條好漢。

文章開頭說到的 Satori 就是這樣，由於玩得太猛， 賺足回頭率時也引起廣大網路安全從業者的注意，結果慘遭網路埠封堵，擴張之勢被控制。作者只好又給它穿了條馬甲，捲土重來。

2017年年底，360 NetLab 研究人員捕捉到 Satori的變種，一種專門偷數字貨幣的殭屍網路：Satori Coin Robber，我建議翻譯成「擼幣者」。

為啥？因為它太猥瑣，「擼」字比較搭。它專黑別人的數字貨幣挖礦機，然後把錢包地址改成自己的。這就好比有人把街邊煎餅攤子上的收款二維碼偷摸換成自己的—— 礦工們花血本買挖礦機，掏電費，挖出來的礦卻進了別人口袋，辛苦大半年，仍在解放前。

類似變種沒完沒了，就像感冒病毒一樣永遠無法徹底撲滅。按照李豐沛的說法，光是Mirai 的變種樣本，360網路安全研究院就已經捕捉到數百種。

那，殭屍網路問題永遠無法解決？目前看來，是。現在最好的辦法就是現實世界抓肉身，抓到一個，扔進去撿肥皂，以此處罰犯罪者，震懾其他人。

於是，在追蹤大戲裡，安全人員會長期和殭屍網路背後的黑手陷入一種詭異的「相愛相殺」。360網路安全研究院有一次甚至捕捉到一個 Mirai 變種，發現代碼里有一段表白：「iloveyouthreesixty」（我愛你 360）。

（這是病毒的代碼截圖，360 網路安全研究院院長宮一鳴首發在自己的微博 @宮一鳴cn 里）

或許，這就是宿敵的惺惺相惜，雖然道不同，但是單從技術水平上，我敬你是條漢子。洪七公和歐陽鋒，X博士和萬磁王，蝙蝠俠和小丑都大抵如此。

甚至，殭屍網路的 Satori 的作者還主動在社交媒體上，和各大網路安全公司、媒體互動。

（三）挑釁 or 自投羅網？

2018年1月17日，@360NetLab 在 Twitter上發布了一篇關於 Satori 變種「擼幣者」的技術分析報告，裡頭提到 Satori 的作者在殭屍網路樣本中留了一段話，還附了個聯繫方式。

第二天，360NetLab 的賬號收到一個推文的@信息，有個網友抱怨:

「都怪你們暴露我的郵箱，現在記者都找上門問我怎麼回事了！」

推文附了一張圖，顯示一個疑似 PC Magzine 的外國記者看到360報告里的郵箱，飛快跑來詢問殭屍網路的具體情況。

（點擊可查看大圖）

李豐沛分析發現，這個 Twitter 用戶說話風格、圖片中的郵箱地址和殭屍網路中留下的信息都符合，大概率就是Satori 作者本人。

翻看了一下他的以往發布記錄，發現他還懟過不少國外網路安全研究者和媒體。比如，有個安全研究者發布了一篇大意是「如何區分Satori和Okiru兩種殭屍網路」，結果他直接在評論區開罵：

「瑪德智障（Fuckingnumb skull），Satori 就是 Okiru，Okiru就是 Satori ，他們發現的是老子4個月以前做的版本！」

總之，這個殭屍網路對搜查他的人不屑一顧，根本不怕行蹤暴露，一副「就喜歡你看我不爽又弄不死我」的樣子。又或者，他們就像是涉世未深的孩子，思想不複雜，卻又有自己的一套想法，手裡捏著導彈發射器，根本不明白這個武器意味的什麼，能讓自己蹲幾年。

安全研究人員經常拿他們沒辦法，很難抓到活人，大多數時候只能被動封鎖，怎麼辦？有人想出一招以毒攻毒的方法。

（三）殭屍網路也以毒攻毒

2018年1月25日，國外研究人員發現新型殭屍網路「捉迷藏」（HNS）增速迅猛，十幾天內從12台擴充至1.4萬台，算起來增長了1000多倍。主要針對 IP 攝像機。

本以為又是一個 Mirai 變種，但人們很快發現，它根本不具備任何攻擊性！只是單純的黑進你的設備，啥也不幹，既不驅使殭屍大軍們發動DDoS攻擊，也不對設備進行損壞，並且重啟之後會自動消失。

？？？？？

抓了這麼多肉雞，不用來發動攻擊，究竟是為了什麼？

有人猜測，或許目前還處在技術測試階段，所以沒來得及加入攻擊特性；也有人認為，他們想用「善意」的殭屍網路來以毒攻毒。

說到這裡，不得不提另一個更出名的殭屍網路，Hajime，它特別喜歡黑中國的攝像頭設備，肉雞數量曾一度超過引起美國大斷網的Mirai 殭屍網路。但是，它也不具有任何攻擊性，還會專門迴避國防部等敏感機構的特定網路。

每隔10分鐘，Hajime向被感染的設備推送一個消息：

「我們是保護系統的白帽子，通過此方法展示重要信息。」

不僅不搞破壞，還幫用戶把一些其他惡意殭屍網路常用的埠關閉，防止設備被其他惡意殭屍網路感染。就像是有人發明了一種病毒，感染之後不僅不會發燒流鼻涕，還能讓你強身健體，面色紅潤，幫你抵禦其他惡性病毒。

儘管 Hajime 的行為看著很暖心，也有人指出問題—— ，倘若哪天它的作者改一改代碼，原本「行善」的殭屍網路立馬就變成一個大殺器。畢竟，人心會變。即便作者自己不這麼做，萬一他的電腦被其他黑客黑吃黑，強行接管控制權發動兵變怎麼辦？按照墨菲定律：一件事若有可能變壞，它就一定會發生。

於是，有人把事情做得更絕 —— 既然怕善意殭屍網路反戈，那我就直接把設備廢了，誰也別想控制！

BrickBot 殭屍網路就是這麼乾的。

（四） BrickBot 殭屍網路：互聯網化療

BrickBot殭屍網路首次出現在2016年，它最大的特點是，黑掉一個設備之後，直接把系統文件刪掉，讓設備徹底起不來，俗稱「變磚」。

作者顯然不是奔著錢來的，設備直接變磚，他無從獲利。儘管如此，它還是活躍了一整年。

有人說，作者希望通過這種極端手段，讓用戶意識到它的設備有安全問題，最終給設備打上補丁，升級到一個比較安全的版本。

2017年12月底，360NetLab 李豐沛在網路發現 BrickBot 殭屍網路的源代碼泄露了，並且就是原作者泄露的。這個作者準備撒手不幹了。他在網上洋洋洒洒留了一篇長達320行的隱退感言。

我翻譯了一些片段，或許我們能通過這些感受到他的心路歷程，至於對錯，自在人心。文章略長，需要些耐心：

「互聯網化療」是我寫的項目，也就是大家所說的BrickBot。

這幾年，網路上有太多脆弱的設備節點被黑客利用，淪為大規模 DDoS攻擊武器。於是，2015年我就開始搭建一個不具破壞性的殭屍網路項目，試圖幫人們清理那些用於DDoS攻擊的惡意殭屍網路。

但是，我發現壞人太多，並且越來越老練，自己有些捉襟見肘。

真正下定決心讓用戶的設備變磚，是在2016年，那是一個艱難的決定。當時某大型設備廠商曝出重大弱口令漏洞，成千上萬用戶成為黑客眼裡的肥肉，眼看著大量就要設備即將淪陷，我決定直接毀掉這些潛在的網路攻擊武器。那一刻，我義無反顧。

2016年11月，德國電信大斷網，我乾的；

2017年1月，美國華盛頓特區，國會附近的一部分攝像頭變磚，那也是我乾的；

2017年3月，我發現兩組設備不太安全，將影響機場和其它重要的基礎設施，比如核武器的安全。結果一個月後，美國國土安全部（DHS）專門發了一個針對該言論的警告我，講真，這真讓我心寒。

2017年夏天，我在印度搞了個事，上了頭條，考慮到中國和印度的地緣關係有點緊張，所以藉助媒體發了個聲，表明這是我個人乾的，不要引起中國和印度的矛盾。

8月，我發現海康威視有一個未公開漏洞（0day），嚇壞了。對於這種設備數量極多的產品來說，每個0day漏洞都可能帶伴隨一次大災難。上一次互聯網大災難造成美國大斷網，下一次的大災難離我們多遠？依我看，也就一兩個 0day 的距離。

那一次，我花了差不多三周把海康和大華約 100萬個攝像頭弄失效了，大華和海康因此還發了公告，最終整個設備進行了固件升級。我還專門在網上發文詳細描述這件事，希望給廠商修復問題一些技術參考。

總之，在這13個月里，我至少阻止了超過1000萬台脆弱設備淪為惡意殭屍網路，如果不是我，互聯網毀滅性事件很可能發生在2017。

但是，我破壞掉脆弱的設備，只是權宜之計。

我發現，很多情況下，設備的安全問題都是些低級錯誤，比如把不該暴露的埠暴露在網上等等，這說明設備生產廠商和供應鏈和消費者都不夠重視基礎網路安全。勿以惡小而為之，否則千里之堤也將潰於蟻穴！只要設備安全問題一天得不到重視，未來就會有越來越多易受攻擊的設備出現，越來越多暴露在不安全環境下的埠出現。

而我，我只是想盡綿薄之力，延遲這一天的到來。。。 。。。

在這篇文章里，作者用「互聯網化療」來指代自己的殭屍網路，說明他覺得這是一種「治療」手段，是正義的，只是有些極端，就像化療一樣，好細胞壞細胞一律殺死，寧殺一千不放過一個。

雖然裡頭有一些疑似吹牛逼的事，比如德國大斷網已經查明是另一個人乾的，裡面提到的設備數量級也被360的李豐沛質疑有誇大成分。但無論如何，他似乎飽含著秉持正義的心態，這讓他寧願冒著吃牢飯的風險，也要做這件對自己個人毫無好處的事。

然而， BrickBot 把別人的設備變磚時，他有問過那些人嗎？得到別人的同意嗎？別人又為何需要他來主持正義？

懲惡揚善的事自古大快人心，可自以為是的正義，有時可能比邪惡更可怕。金庸筆下誅滅魔教的滅絕師太，《白蛇傳》里伏妖降魔的法海，《三體·3》里聖母仁心卻先毀掉地球後毀掉宇宙的程心，皆是如此。誰對，誰錯，誰來裁決？

（尾聲）

即將完稿時，我又在網上看到新殭屍網路變種的消息，我猜李豐沛這幾天又捕獲到不少樣本。

從 Mirai 開始，黑客的潘多拉盒子已經打開。 或許未來，殭屍網路真的像感冒病毒一樣尋常，所有設備暴露在它們的威脅之中，任何抵抗力低下者都無法僥倖逃脫。在那樣的生態系統里，安全研究者們扮演免疫系統中一部分，每次病毒入侵，他們都用最快的速度檢測、響應、聯合撲滅。

殭屍網路最終會終結嗎？以怎樣的方式？作惡者抓完嗎？不知道。甚至，千年以後回頭看歷史長河，說不定會發現殭屍網路反倒推動了整個社會的進步，它用一種略殘酷的方式倒逼著人們關注普遍存在的信息安全問題，並淘汰一部分人。

安全問題終究會有，殭屍網路沒有了，或許又有別的，人類社會演化了幾千萬年，依然如此多的社會問題，更何況是誕生短短几十年的網路世界？未來向來充滿不確定性，搬個小板凳來，一起坐看吧。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！