作者:Alex deVries, Tim Skutt

物联网僵尸已经出现了。他们有很多人。我们不会很快摆脱他们的。

他们会接触到你的设备，所以现在就采取措施让它免疫，这样你的设备就不会受到影响。

在之前的一篇博客中，物联网僵尸正在吞噬互联网，“我们深入研究了最近的大规模分布式拒绝服务(DDoS)攻击，这些攻击利用物联网设备作为机器人或僵尸进行攻击。在我们写完那个博客后不久，攻击的源代码就被一个自称是恶意软件作者的人发布了。恶意软件Mirai是一种携带木马的病毒，可以让物联网设备在几个知名网站上执行DDoS攻击。估计数字是巨大的;恶意软件技术估计12万年设备被感染了但三级报告说150万台设备．这只是最近的一个例子。

这些病毒是永恒的。

当我们考虑如何应对这种冲击时，使用医学病毒学来更好地了解Mirai是如何传播的是有帮助的。医学感染是以易感、感染和恢复曲线．这在这里也很有效:

一旦一台设备感染了Mirai，它就会使用默认凭据随机地在互联网上搜索打开Telnet端口的设备。一旦被发现，它就会感染他们，把他们变成僵尸，反过来，这些僵尸会在互联网上寻找更多的目标。这在第一个主要坡道中显示。

有些设备会被清洁或保护，但许多设备永远不会被清洁或保护。这些是永久感染的设备

即使一个设备被清洗了，如果它没有免疫，其他被感染的设备可能会再次感染它。由于许多受影响的设备永远不会更新以消除感染，在可预见的未来，这种流行病将不断自我更新。

我们能杀了它吗?

也许有一些方法可以杀死Mirai，或者至少限制它的影响。

修复所有设备

实际上，这是不可能发生的。大多数设备所有者并不知道他们的设备被感染了，也不具备修复它们的技能或能力，或者不愿意修复它们(因为它不会直接影响到他们)。

杀死命令和控制服务器

Mirai的一个弱点是，新感染病毒的设备需要向命令控制服务器注册才能下载指令。这些是被攻击的服务器，不太可能是被感染的设备。如果命令和控制服务器被杀死，它将限制Mirai的扩散。

保护目标

为了应对最近的物联网DDoS攻击，安全网站krebsonsecurity.com被转移到另一家托管公司，以避免攻击。DDoS攻击并不是什么新鲜事，有很多方法可以减轻这种攻击，比如移动目标。

但最终，修复所有目前感染或潜在感染的设备是不切实际的，我们也不太可能完全杀死感染。

的事情来

如果不是Mirai，其他一些自传播恶意软件将被开发出来感染其他物联网设备。Mirai的源代码发布，加速后续病毒的发展。

Mirai源代码的广泛可用性将激发人们进行调整。我们可以预期，对命令和控制服务器的依赖很可能会消失。这种变异会让它更难被杀死。

到目前为止，Mirai一直专注于DDoS攻击，但接下来将利用物联网设备攻击与僵尸物联网设备相同网络上的其他系统。

你的设备进行免疫接种

在可预见的未来，物联网僵尸将会出现。我们可以尽最大努力避免它们，甚至隔离它们，但随着网络的变化和新设备的部署，暴露它们的新途径将会开辟。由于感染的威胁是持久的，你的设备成为目标只是时间问题。预防感染的免疫装置至关重要。

免疫接种的第一步可能听起来很明显——消除已知的感染方法。消除或阻止不必要的服务(如Telnet)，消除默认凭据并将其替换为可靠的密码，阻止到外部端点的意外连接。

然而，当我们展望未来时，免疫接种的第二步是必要的——防止适应性病毒可能利用的脆弱性。这就是工具，比如CWE/SANS最危险的25个软件错误能帮上忙。这也是风河可以提供帮助的地方。

风河产品提供多层预集成防护，包括:

• 安全启动和初始化，以保护不受损害的可执行代码
• 静态数据加密，以保护凭证和其他敏感信息
• 相互身份验证，以防止假冒端点和恶意连接尝试
• 动态数据加密，保护敏感信息
• 对操作系统进行加固，防止特权升级
• 防火墙，以阻止意外的外部访问以及意外连接到外部世界
• 安全更新，防止恶意修改，同时仍然支持授权的更改

这些防御措施被纳入风河的可定制操作系统产品中，允许从设备中排除不必要的服务。这最大限度地减少了感染可能危及您的设备的方式，同时仍然提供设备一套强大的防御。

此外，风河还有一个专业服务帮助评估和定制产品以满足设备需求的组织——从建立和部署安全凭证的工具和流程，到优化硬件安全功能的使用，再到安全威胁评估和安全测试。

说“死”

物联网僵尸将接触到你的设备，与它交谈，并试图找到感染它的方法。有一些方法可以保护您的设备和预集成的解决方案，不仅可以使其免疫于今天的病毒株，还可以防止即将发生的变异。现在接种疫苗将确保你的设备长期保持健康。