Mirai變種惡意程式感染10萬物聯網裝置組成殭屍網路大軍，其中9成來自華為家用路由器

去年在全球引起多起網路災難的惡意程式Mirai最近又有新變種，並感染10萬物聯網裝置成為可以隨時發動DDoS攻擊的殭屍網路，其中9萬台為華為家用路由器。

Mirai在2016年9月現身，藉由感染大量物聯網（Internet of Things, IoT）裝置成為殭屍網路而多次發動500Gbps以上，甚至Tb級大規模流量的分散式阻斷攻擊（DDoS），推特、GitHub、Sony PlayStation網路及雲端服務業者都成了受害者。今年內Mirai歷經多次變種演化。

Ars Technica報導，美國寬頻電信商CenturyLink研究人員最近發現一隻Mirai變種在網路上感染有漏洞的IoT裝置。CenturyLink研究人員發現，這隻Mirai變種兩周來已感染10萬台IoT裝置並建立起殭屍網路，其中華為的EchoLife 家用無線路由器產品佔了將近9萬台。

安全廠商CheckPoint上周在華為Huawei HG532無線路由器上發現一項遠端程式碼執行漏洞，可讓遠端攻擊者利用發出變造過的呼叫開採，藉以執行任意程式碼。

另一家安全公司Qihoo 360 Netlab研究人員Li Fengpei將該變種命名為Mirai Satori。他發現Satori具有蠕蟲性質，它不像前代Mirai載入Telnet掃瞄工具來尋找目標裝置，而是藉由掃瞄並連接37215 port及52869 port並複製到其他裝置上。事實上，研究人員觀察到網路上掃瞄這二個傳輸埠的殭屍裝置半天就高達28萬個。

CenturyLink安全策略長Dale Drew表示，Mirai變種建立的殭屍網路可讓攻擊者隨時發動DDoS攻擊，或是威脅DDoS攻擊以勒索目標受害者，甚至當成付費服務提供客戶達成不法目的。

CenturyLink旗下骨幹網路業者Level 3已經關閉2個控制該殭屍網路的C&C伺服器網域，但駭客還是能透過其他管道來指揮殭屍網路上的裝置。Drew表示安全廠商目前除了密切監控該網路活動並即時出手掃蕩外，其實能做的有限。