今年3月，韓國安全研究人員Pierre Kim發(fā)布了一個關于GoAhead 以及其他OEM攝像頭的脆弱性分析報告，涉及多家廠商超過1250個不同型號的設備，估算全球潛在涉及的攝像頭設備超過18萬個。

　　利用Pierre Kim披露的漏洞，http81僵尸網(wǎng)絡的幕后操控者遠程入侵了大量沒有及時修復漏洞的網(wǎng)絡攝像頭設備，在這些攝像頭中植入惡意代碼，只要發(fā)出指令就可以隨時向任何目標實施DDoS攻擊。由于網(wǎng)絡攝像頭屬于長期在線的設備，普遍擁有比較高的帶寬，相比由電腦組成的僵尸網(wǎng)絡具備更強的殺傷力。

　　360網(wǎng)絡安全研究院發(fā)現(xiàn)，http81僵尸網(wǎng)絡借鑒了Mirai的端口嗅探手法和部分基礎代碼，但是對比僵尸網(wǎng)絡的關鍵特性，http81在傳播、C2通信協(xié)議、攻擊向量等方面與Mirai完全不同，屬于新的僵尸網(wǎng)絡家族。

　　對普通公眾來說，Mirai是在美國斷網(wǎng)事件中“一戰(zhàn)成名”。但在此前數(shù)個月，Mirai就已經(jīng)在大規(guī)模掃描存在漏洞的物聯(lián)網(wǎng)設備，構(gòu)建遍布全球的僵尸網(wǎng)絡。統(tǒng)計顯示，Mirai僵尸網(wǎng)絡已累計感染超過200萬臺攝像機等IoT設備。

　　http81僵尸網(wǎng)絡也正在急劇擴張。360網(wǎng)絡安全研究院研究員李豐沛介紹說，360全球網(wǎng)絡掃描實時監(jiān)控系統(tǒng)早在4月15日發(fā)現(xiàn)http81僵尸網(wǎng)絡活躍度異常增加，當日掃描事件數(shù)量比平時增長4倍到7倍，獨立掃描IP來源增長幅度達到40倍到60倍。4月22日，http81活躍度更是達到高峰，掃描來源的IP地址超過 57,000個。與普通僵尸網(wǎng)絡100到1000個IP節(jié)點的規(guī)模相比，http81已經(jīng)成為一個巨型僵尸網(wǎng)絡。

　　監(jiān)測數(shù)據(jù)顯示，http81僵尸網(wǎng)絡主要分布在國內(nèi)，尤其是北京、河南、山東、江蘇、廣州等地區(qū)，每日活躍的設備數(shù)量一般在2700到9500個之間。這意味著http81一旦展開DDoS攻擊，國內(nèi)互聯(lián)網(wǎng)很可能成為重災區(qū)，其他國家和地區(qū)也不能完全排除受感染或受攻擊的可能性。為此360網(wǎng)絡安全研究院發(fā)布報告披露了http81僵尸網(wǎng)絡，向全球網(wǎng)絡安全社區(qū)發(fā)出安全警示。

　　當http81僵尸網(wǎng)絡被公開曝光后，開始變得更加低調(diào)和隱蔽。據(jù)360網(wǎng)絡安全研究院追蹤分析，http81控制主機域名的IP地址已改為私網(wǎng)IP地址，其掃描行為也明顯下降，暫時停止了大規(guī)模掃描。

　　但是由于國內(nèi)的網(wǎng)絡攝像頭等設備大多缺乏安全更新維護，只要http81的惡意代碼沒有被攝像頭運維人員清除，攻擊者隨時可以控制主機重新上線。如果任由http81僵尸網(wǎng)絡掃描感染更多設備，其防御難度也會越來越高。360網(wǎng)絡研究院正在持續(xù)監(jiān)控該僵尸網(wǎng)絡，一旦發(fā)現(xiàn)攻擊者重新上線，360將協(xié)同相關部門及時采取預防應對措施。