Question

Mirai 继承了 Qbot 的特性，它还继承了 NetSky、MyDoom、Storm 与 Srizbi 这些病毒的特性，并且有取而代之之势。克雷布斯解释道：

Mirai 似乎想要摧毁 Qbot，并使其本身更具攻击性。它的默认用户名和密码数是以往的 10 倍，这确保感染了 Mirai 的设备不会被 Qbot 或者后来出现的病毒感染。

换句话说，物联网僵尸网络在 1 年内拥有了计算机僵尸网络 10 年才能取得的进展。克雷布斯告诉我：

编写 Mirai 的人似乎有意摧毁其他十几个僵尸网络。他们在黑客论坛上也说了同样的话： 注意你的 Qbot，它可能很快就会消失不见。 Mirai 公开的时候，很多 Qbot 僵尸变成了 Mirai 僵尸，针对 Qbot 的杀毒软件也因此失去了作用。

Mirai 先强行抹除 Qbot，再侵入系统，使用默认的远程登录用户名和密码登录，然后查找 22、23 端口（多用于文件传输，并且经常保持打开的状态）或者 80 端口（网络流量）。这些端口会被封锁，以防止再次感染 Qbot。

一些使用了保护措施或者别的端口的 Qbot 僵尸网络逃过了一劫。现在，Mirai 的编写者开始大展拳脚了，克雷布斯说：

黑客的策略就是追踪网络服务供应商。他们会假装好心地说， 嘿，你们控制器运行的物联网系统被黑了，你们该做点什么 。然后有些人会听取意见， 好，我还不知道，谢谢 。而那些没有听取意见的人就感染上了 Mirai。等感染上病毒之后，他们才说， 好的，我们会关掉 Qbot 控制器 。

关掉了控制器之后，Mirai 就可以有恃无恐地攻击站点了。同时，网络安全行业也越发注意到物联网设备的安全威胁，并开始关注它的发展。

克雷布斯认为 Mirai 的创造者有两个目的：

名利和财富，也不好说哪一个更为重要。他们知道自己的所作所为会破坏网络环境，也知道这会带来很多麻烦。他们的所作所为，既为了名声，又为了对有限数目的物联网的控制。

9 月中旬发布的 3 级通信分析报告表明，Mirai 是一个由多部分组成的系统。僵尸设备准备发起攻击时，通过扫描网络以寻找新的感染目标，并将其 IP 地址发送至一个 报告 服务器中，然后运行 加载 程序，试图侵入目标设备，并指示它们下载 Mirai 恶意软件，成为新的僵尸设备。同时，控制僵尸网络的人使用了 Tor 匿名网络，能够隐藏服务器和与其联系的其他服务器的位置，并密切监视执行信息报告和命令控制的服务器。潜在客户只需支付费用，就可以使用其中的 隐藏 服务器，选择 DDOS 攻击的目标设备。

但是 Mirai 并没有自己的行事风格。报告也提到，它还攻击其他物联网僵尸网络，包括 Qbot。Mirai 与 Qbot 的操作方法类似，主要使用默认的用户名跟密码，利用手下控制的百万台设备进行攻击。9 月中旬，Qbot 对命令控制服务器进行了长达 24 小时的千兆级攻击。然而，服务器却没有被侵入。通常，命令控制服务器所依赖的公司能保护其不受 DDOS 攻击，可以通过代理服务器过滤原始网站和攻击者的恶意流量。

2016 年夏天，Mirai 做好了发起侵入的准备工作，一个拥有强大带宽的僵尸网络潜伏在设备中，其他人很难检查到它们运行的代码。9 月 20 日，克雷布斯和一个 DDOS 保护服务提供者取得了联系，警告对方 Mirai 可能会侵入他的系统，对方显然不满克雷布斯在其网站上对他的嘲讽言论，因此无视了这一警告。也许和黑手党一样，提供保护的人也可能是造成问题的那个人。6 小时后，Mirai 的攻击得逞了。

几乎就在同一时间，法国托管公司 OVH 也遭到了 Mirai 僵尸网络的攻击，目标是《我的世界》的服务器。随后，为《我的世界》服务器提供合法保护服务的 ProxyPipe 也遭遇了数据海啸，阻止其继续提供托管服务。客户纷纷转移了业务，据 ProxyPipe 公司估计，这可能造成 40 万～50 万美元的损失。ProxyPipe 的所有者随后找到了为 Mirai 病毒提供网络服务器的供应商，并告诉他们 Mirai 病毒已经造成了巨大的损失。该供应商位于乌克兰，他们无视了这个警告，于是其他的互联网服务供应商黑入了这位乌克兰供应商的 IP 地址，将其系统设置成拒绝一切连接请求，这样僵尸网络就无法连接目标控制器了。原来的 Mirai 陷入了窘境，可这使问题变得更糟了。

9 月 30 日，星期五，就在克雷布斯的网站遭遇大型攻击的 10 天后，Mirai 的编写者投降了，但这或许只是一时示弱。在黑客论坛上，一个网名叫 安娜前辈 的资深用户声明他有一个猛料。他表明 Mirai 掌握了 38 万台僵尸设备，而在克雷布斯的网站遭遇 DDOS 攻击之后，很多人都注意到了自己设备中的问题，就是这些问题让自己的设备沦为僵尸设备。现在，僵尸网络掌握的设备数量缩小到了 30 万台左右，而且还在下降。所以，他发布了恶意软件的源代码和控制僵尸设备的客户端，并说明了如何将它运行到免费的文件托管服务器的工作程序中去。然后，程序很快被复制到了 GitHub 共享网站（著名的代码托管平台）上。

Qbot 在黑客世界就是一个典型的例子。吸取了 Qbot 的经验，Mirai 的编写者决定在被抓之前尽快离开。克雷布斯说， 参与这类活动的人们很容易被抓，不管他们的动机是什么，这类人的人格都十分脆弱、易怒，所以通常会犯一些错误暴露自己的行踪 。

一个黑客往往会长期使用一个身份，或者是好几个重叠的身份，这种模式通常会导致行踪的暴露。很多东西会暴露身份，任何线索都能帮助调查人员找到黑客。比如，Qbot 中有两名成员被指控为黑客团队 蜥蜴小队 的创始人，他们于 2016 年 10 月被起诉，2 个月后认罪。FBI 在一起电话骚扰事件中捕捉到了蛛丝马迹，随后他们调查了更有利可图的几个网站，其中一个遭到了黑客的侵入，也泄露了所有黑客的个人信息。

在 Mirai 的案件中，僵尸网络的名字本身包含了编写者的线索。Mirai 指的是一部日本系列动漫《未来日记》，故事讲的是一个男孩为了谋生，不得不参加类似《饥饿游戏》的生存战斗。黑客起的名字通常基于一些能引起共鸣的创意，不过大多数时候，恶意软件的名字都是安全公司根据黑客的行为或是代码中的一些注脚起的。

Mirai 的作者却不落俗套，克雷布斯表示：

他们很擅长掩饰行踪，从我的观察来看，他们事先就规划好了实施袭击的方法，如何释放恶意软件以及如何混淆视线，让人们无法发现他们真实的身份。他们规划好了一切，但没有付诸实践。

所以，到底发生了什么让僵尸网络的编写者放弃了它呢？克雷布斯认为 Mirai 的主人和 Qbot 一样， 一些证据表明是他们实施了 DDOS 攻击行为，因此他们不得不泄露源代码 。

他们放弃的理由和 Qbot 的作者类似，克雷布斯说， FBI 调查了这起案件，并在国际上得到了很多帮助。我认为那些创建和发布僵尸网络的人们觉得，如果 FBI 找到了唯一的源代码副本的话，他们就完蛋了 。所以他们用黑客的方式毁灭了证据，把副本散发给每个人，而 Mirai 背后的真正黑客至今没有浮出水面。