你不在家時 你的攝像頭都做了什麼？

你枯坐窗前，蹂躪著30塊的咖啡，你走在樹下，陽光曬得你心亂如麻。

是否有那麼一瞬間，你突然覺得世界不對了。

一點兒都不對了。

只有你一個人站在原地，而背後，一張巨大的網正在形成它的肌理，正在注入血色，正在向你逼近。

你猛然回頭！

什麼都沒有。

殭屍網路的新世界

你可能玩過「球球大作戰」或者「貪吃蛇大作戰」。

這些遊戲像一幕幕戲劇，其中輪迴著冰冷堅硬的鐵律：

「在這裡你我都不會傻到和對手講「道理」，因為你的實力和個頭就是唯一的道理。」

在賽博世界，每個有血有肉的人都退化成為一個IP，甚至一串字元。隱匿在數字背後，弱肉強食的規則更為直白。現實世界的佔山為王，在這裡變成了抽絲結網。這個網，就是殭屍網路。

你的私人電腦、手機、ipad、硬體設備，在黑客眼裡都只是一個「壯丁」。他們利用病毒木馬控制這些壯丁，誰手上控制的壯丁最多，誰就擁有最強大的「部隊」，可以在網路世界里肆意殺伐，攻城略地。

簡單來說，利用惡意代碼控制互聯網上的設備，讓他們像殭屍一樣失去了原本的「意識」，這些殭屍網路在C2端（也就是控制者）的命令下統一行動，就組成了殭屍網路。殭屍網路的一個重要作用就是進行 DDoS 攻擊，也就是發動這些硬體對特定伺服器同時發起訪問，造成對方網路癱瘓，無法正常運行。

李豐沛對宅客頻道說。

他是360網路安全研究院的工程師。在360，網路安全研究院神秘而機要，掌握著由全球網路數據組成的「世界地圖」。

你以為世界歲月靜好井井有條。但是從這張數據地圖裡，可以看到殭屍網路就盤繞在你身邊，它們甚至已經爬進你的家裡，在角落閃爍著幽暗的燈光。

「殭屍軍團」的是這樣蔓延的：

惡意殭屍程序會在全網進行掃描，一旦發現有漏洞的設備（電腦、硬體等等），就馬上入侵控制，把它納入殭屍大軍麾下，再以新的殭屍設備為跳板，繼續感染其他設備。這像極了殭屍片中病毒的指數級擴散模式。

這些殭屍大軍，少則有幾千台設備，多則達到數百萬台設備。實際上，你的設備很可能已經被某個殭屍軍團控制，參加了數次網路世界中的火併，但你卻仍舊懵然無知。

網路世界的「第一次世界大戰」：Mirai 和它的變種

傳統的殭屍網路以控制 PC 或者伺服器為主，但那已經是上一個時代的產物了。新版的殭屍網路盯上了一個新目標，那就是在很多人家角落裡安靜的攝像頭。

不要小看這些攝像頭，全球的攝像頭總量加在一起已經有數千萬台，而這個數據在幾年前還僅僅只有現在的一個零頭。攝像頭低調安靜，一般人不會去查看他們是否「健康」。

但攝像頭同時又很強大，有著比一般硬體強大的處理能力和網路帶寬（因為要處理和上傳視頻數據），這正是進行殭屍網路攻擊最好的候選者。

我現在說的，並不是新鮮事。一場大戰已經發生。

2016年，名為 Mirai 的病毒源代碼被他的製造者發布到了網上，這個病毒專門用於控制眾多品牌的攝像頭。被發布到網路之後，各大安全廠商迅速查殺，但是這個病毒的代碼也迅速被各路黑客改寫，成為變種繼續在網路中生存。

這像極了現實世界中我們和病毒的對抗。每當一種新葯研製成功，就可以殺死大部分的病毒，但是總有以下部分存活下來，適應了新的藥物，從而成為變種，更難被殺死。

黑客利用 Mirai 家族迅速控制了全球上百萬的攝像頭，但是在普通人眼裡，一切都平靜得和以前一樣。

直到10月的一個晚上，美國東海岸的大部分人發現自己連 Twitter 和 CNN 都沒有辦法登陸（我們從來都登不上去也沒有抱怨，美國人就是矯情），相關的部門才意識到，一個主要的 DNS 服務商，也就是網址解析服務正在被 Mirai 攻擊！

攻擊持續了數個小時，黑客才選擇收手。這期間，美國經濟最發達的東海岸地區處於網路癱瘓狀態，經濟損失超過20億美元。這無異於針對美國的又一次「911」。

作為頂級安全研究員，李豐沛如此評價了這次網路世界的「911」：

由於 Mirai 病毒的控制端是不斷變化的，而且經過了深度的匿名，所以要調查出真兇成本很高。

但是這次攻擊在我看來非常愚蠢，從攻擊者角度看，他至少做錯了三件事：

1、他攻擊了美國的 DNS 解析服務，這會一次打倒很多網站，會引起巨大的公眾關注。

2、他攻擊的流量非常大，遠超過打癱伺服器的需要，這會引起政府的巨大重視。

3、他的攻擊時間點選擇了美國大選之前，這個時間相當敏感，可能招致更多的部門去調查他。

因為從病毒的代碼來看，質量非常高，很多地方設計精巧，可以知道作者是一個很聰明的人，但這次攻擊造成美國大斷網的行為卻非常愚蠢。所以我懷疑他的殭屍網路出租給了他人使用。

然而，即使是這樣，這場網路世界最新的世界大戰依然沒有結論。至今美國人甚至連當時的對手是誰都沒有確定（如果不是美國秘而不宣的話）。

這就是由攝像頭組成的 IoT 設備殭屍網路的可怖之處。

「第二次世界大戰」還會降臨：重新集結的攝像頭

然而，我們身邊的噩夢還遠遠沒有結束。

2016年的殭屍網路世界大戰，更像一次意外，或者是示威。殭屍網路的正確用法和雇傭軍類似，黑客收錢，替金主攻擊敵人。

這些攻擊可能是某家金融機構攻擊競爭對手，也可能是某些遊戲私服攻擊另一隊私服。它們往往都是在地下涌動，被攻擊者不願聲張，而攻擊者也不願暴露。

Mirai 造成美國大斷網之後，被黑客控制的攝像頭數量不僅沒有下降，反而呈指數上漲。有人通過在線設備檢索平台 Shodan 和知道創宇的網路空間探測平台 ZoomEye，估算其中可能被 Mirai 感染的攝像頭已經在2000萬到3000萬之間。

根據 360 網路安全研究院對外發布的探測數據，可以確定捕捉到的被感染設備在200w，每日新增活躍1w-2w之間。

▲截至2017年5月10日，累計監測到被 Mirai 感染的殭屍設備活躍數量已經達到了將近250萬台，數據來自 360 網路安全研究院信息發布平台 http://data.netlab.360.com

目前我們所探測到的 Marai 和變種所控制的設備，單一控制端就可以打出 1Tbps 的 DDoS 攻擊（每秒1T流量），這比人類歷史上已公開的最大攻擊——去年 CDN 服務巨頭 Akamai 曾遭遇 620G左右 DDoS 攻擊——還要大得多。

李豐沛說出這個讓人憂心的現狀。

但這還不是黑暗力量的全部。

廣袤的網路海洋中滋生出更多「怪獸」，一個名為「Hajime」的木馬，和 Mirai 一樣，這種木馬也在沒日沒夜地侵襲網路空間中的攝像頭。然而讓全世界都難以理解的是：在整個 Hajime 木馬中，卻沒有一行攻擊代碼。

它恰恰像我們體內95%的 DNA 一樣，不參與遺傳，不表達特徵，它們的存在就像一種寄生，它的迅猛侵襲讓人看不清動機卻又無比恐懼。

目前，Hajime 在全網的體量已經僅次於 Mirai，成為一個「隱形的巨人」，就像房間里的大象，人們都知道它的存在，卻經常忽略它的影響。李豐沛說：

卡巴斯基最先報告了 Hajime，如今它在規模上已經大體和 Mirai 成為同一級別。它的感染量巨大，雖然沒有攻擊代碼，但在傳播的過程中都有可能造成網路災難。另外，今天它沒有攻擊代碼，並不代表它永遠人畜無害，因為黑客對它擁有完整的 Root 許可權，是可以隨時升級成為進攻武器的。

讓人驚奇的是，Mirai 和 Hajime 這兩支網路世界最大的軍團在每一台攝像頭裡都進行著白熱化的爭鬥。

一旦一個病毒成功入侵了攝像頭，拿到最高的 Root 許可權，就會採取「堵門」策略，其他的病毒都無法進入。

一旦一個病毒入侵攝像頭之後，由於種種程序錯誤不能拿到最高許可權，後面進來的對手就會把它踢掉，再後來的對手又會把上一任踢掉。如此循環。

很多用戶的攝像頭不僅已經不屬於他們自己，反而成了病毒之間火併的戰場。

李豐沛說。

Mirai 和 Hajime 的混戰如火如荼，研究員卻突然發現有一支新的木馬正在崛起。一開始他們以為這又是一支新的 Mirai 變種，但是，這支病毒迅速佔領全球很多攝像頭，並且持續對外發出掃描動作，短時間內就爬到了監控數據榜的前十位。這個勢頭讓李豐沛和同事不得不重視。

神秘的第三位巨頭：HTTP81

HTTP81 浮出水面。

「HTTP81」是李豐沛和團隊為這個木馬的命名。在2017年4月，團隊觀測到了這個木馬。之所以叫 HTTP81，是因為這個木馬不斷掃描網路設備的「81」埠，這和 Mirai 掃描的「23」埠顯著不同。李豐沛說，把這個木馬病毒和 Mirai 區分開的因素有三個：

傳播方式不同：Mirai 最初主要掃描「23」埠，HTTP81主要在「81」埠上掃描。利用了和所有 Mirai 家族都不一樣的漏洞。

通信方式：在通信協議方面，HTTP81採用了不同於 Mirai 全新的「自主研發」通信協議。

攻擊方試：Mirai 最有特徵的攻擊方法是 GRE 和 STOMP 攻擊，而 HTTP81 實現了全新的攻擊方試。

李豐沛覺得，HTTP81 的作者也是個聰明人，整體代碼質量不錯，是安全研究員的強勁對手。

當他把這個病毒報告給註明病毒平台 VirusTotal 的時候，進駐的57家安全廠商已經有7家發現了這個問題，不過，這7家都是國外廠商，並且有一些並沒有意識到這個病毒的可怕性，只是把它當做簡單的 Mirai 變種來處理。

可怕的事情還是發生了。

迅速感染了4-5w台設備之後，HTTP81 儼然成為了 IoT 殭屍網路的第三名，雖然離前兩位還差兩個數量級別。在2017年4月23日，HTTP81 發起了第一次進攻。目標是俄羅斯的一家銀行。這讓李豐沛和同事們感覺到更重的責任。

由於這個病毒的攻擊域名地處伊朗，並且對域名信息做了嚴密的隱私保護，所以遠在的安全研究員對抗它的最好方式就是——把這個病毒的技術細節公佈於眾。

就在首次攻擊發生的第二天，360 選擇在網路安全研究院的博客上發布了對這個木馬的研究報告，把它的攻擊方法進行了曝光。就在報告發出的一天之後，HTTP81突然把控制端解析到了一個內網網段，並且在48小時之內停止了對外的掃描擴張。

這種立竿見影讓作為安全研究員的李豐沛覺得非常鼓舞。但他知道，這一切只能拖慢黑客的步伐。因為 HTTP81 的控制者顯然只是選擇了蟄伏，未來某一天只要他重新修改控制埠的數據，就可以立刻讓殭屍復活。

▲根據 360 的報告，由於數據的地緣性限制，看到「HTTP81」被感染設備的分佈主要限定在大陸地區。具體位置分佈如上圖（此圖僅為示意，南海部分領海未顯示在內）。

而在李豐沛的數據地圖上，擁有 100-1000 個設備的殭屍網路，每天都會新增幾十個。對於這些殭屍網路的追蹤，要耗費巨大的成本，作為安全企業，難以以一己之力斬草除根。

不死的殭屍網路

不久前，國外安全公司賽門鐵克發布報告，裡面有一個震驚的結論：一個物聯網設備在接入互聯網2分鐘之後就會被殭屍網路控制。這就是智能設備的安全現狀。

這些攝像頭、路由器等物聯網設備的安全狀況處在極其「坑爹」的狀態，很多設備都使用了「admin」或者「root」這樣的通用密碼，並且一大部分還把密碼寫死在了硬體里，沒辦法更改。至於這些硬體的系統，大多更是沒有任何加固，也沒有升級更新的機制。對於很多黑客來說，搞定他們只需要動動小手指。

根據 Gartner 的預計，到2020年，全球的物聯網設備數量將達到200億台。難以想象 200 億台設備被黑客控制，將是怎樣可怕的場景。

李豐沛說，追蹤 HTTP81 的設備，最終會追溯到某白牌攝像頭生產企業，位於。實際上目前很多攝像頭的生產企業都位於智能硬體製造業發達的，但受制於成本和意識，很多企業並沒有安全意識。

這就像PC時代的歷史一樣。PC 系統歷經10年才有了今天的安全意識，才有了對於白帽子和漏洞的獎勵機制，才有了各大安全廠商的 SRC，而智能硬體在短短几年就從零發展到了幾千萬台。廠商具備安全意識的過程也許不會有10年那麼長，但是我們仍然要等待。

實際上，即使是以法律制度健全著稱的美國，在去年發生大斷網事件以後，國土安全部才發布了 IoT 相關的策略性文章，政府在此指導下的具體規則，還在制定當中。也許在正義的力量集結之前，你和我還要在殭屍網路的籠罩下繼續等待。

陽光猛烈，歲月靜好，遠方的大壩正在出現裂痕。

你猛然駐足。