疑犯追踪：谁是Mirai蠕虫的幕后黑手？

在2016年的9月22日，我的网站因为遭受Mirai蠕虫病毒的攻击而瘫痪了4天，该病毒会将不安全的物联网设备感染为自己的僵尸网络的一部分，然后再对外发起更多的感染攻击。在这之后的一个礼拜，发动这次攻击的幕后黑手化名为”Anna-Senpai”对外发布了Mirai的源代码。

经过几个月的深入挖掘，KrebsOnSecurity已经发现了Anna-Senpai的真实身份，还有帮他开发和修改该恶意软件的同谋的身份。下图为Anna-Senpai在2016年9月30号发布该恶意软件源码时发布的内容：

现在网络上存在很多提供“付费DDoS服务”的机构，这使得不具备技术的人员也能轻易的发起DDoS攻击。

第一部分

今年夏天的早些时候，我的网站遭受了物联网系统的几次重大攻击，而这些物联网系统是被恶意软件家族控制的，它是Mirai的前身，这些恶意软件主要包含以下几个名字：Bashlite、Gafgyt、Qbot、Remaiten和Torlus。

所有这些相关的物联网僵尸设备以类似于其他众所周知的互联网蠕虫的方式感染新系统，即从一个被感染的主机传播到另一个。就像那些早期的互联网蠕虫一样，通过积极的对网络进行扫描从而识别潜在的感染目标并将其加入到自己的僵尸网络中，这些目标主要包括：家庭路由器、网络摄像头、录像系统。当然这种行为会让大家回想起以前被称之为Morris Worm、NIMDA,、CODE RED、Welchia、Blaster和SQL Slammer的蠕虫。

被感染的物联网设备会扫描网络中存在默认设置或者默认密码的物联网设备并将其感染，然后这些被感染的设备会被驱使进行DDoS攻击（比较具有讽刺意味的是，许多最受Mirai和类似物联网蠕虫感染的设备是安全摄像机）。

Mirai的早前版本有很多的名字，会根据功能的改进来命名，所以每一个名字都对应一个变体。在2014年，一群以“lelddos”为口号的黑客非常公开的使用该代码发起大规模的持续攻击，从而使很多网站处于离线状态。其中最出名的攻击目标就是Minecraft的服务器，这是一个被Microsoft运营的允许任意设备从任意地点连入的流行电脑游戏。

Minecraft通过大像素块来搭建自己想要的建筑，这听起来可能很简单和无聊，但是实际上这款游戏很受人们的喜爱，尤其是青少年男性。微软已售出超过1亿份的Minecraft，并且每时每刻都有超过一百万人同时在线。玩家可以建立自己的世界，也可以通过登录到他们最喜欢的Minecraft服务器来访问其他人的领地或者和朋友一起玩。

一个大型的成功的Minecraft服务器，每天有超过一千个玩家登录，可以轻松地让服务器的主人每月赚取5万美元，赚的钱主要来源于租用服务器上的空间来构建Minecraft世界、购买游戏项目和特殊能力等。

不出意料的，收入最高的Minecraft服务器最终吸引了那些像lelddos一样的敲诈勒索者的注意力。Lelddos针对Minecraft服务器发起了一个巨大的DDoS攻击，他们知道目标Minecraft服务器的所有者每天可能因为游戏频道保持离线而损失数千美元。

如果他们的服务器一直处于离线无法连接状态而得不到修复，就算忠实客户也会很快的找到其他替代的Minecraft服务器。

Robert Coelho是ProxyPipe公司的副总裁，ProxyPipe公司是一家专门保护Minecraft服务器免受攻击的旧金山公司。

Coelho说“Minecraft行业竞争非常激烈”，“如果你是一个玩家，并且你最喜欢的Minecraft服务器离线，你可以切换到另一个服务器。但对于服务器运营商来说，他永远希望自己的服务器最强化以及用户最大化。你服务器上的玩家越多，也就意味着你赚的钱就越多。但如果你的服务器一旦停止运作，你就会开始失去玩家并且流失速度非常快，但从另一个角度来说这也许也是件好事。”。

当时，ProxyPipe正在向位于弗吉尼亚州雷斯顿的安全巨头Verisign购买DDoS保护。在2014年发布的季度报告中，Verisign称这次攻击是所见过的最大的攻击，尽管它在报告中没有提及ProxyPipe 仅仅将其称为媒体和娱乐业务的客户。

Verisign表示，2014年的攻击是由超过100,000台运行在SuperMicro IPMI上的僵尸服务器网络发起的。在对ProxyPipe发起巨大攻击的前几天，一名安全研究人员发布了有关SuperMicro设备中的一个漏洞的信息，这个漏洞能被远程攻击并且可以利用这个漏洞再对外发起攻击。

第二部分

Coelho回忆说，在2015年中期，他公司的Minecraft客户开始受到由感染了Qbot的物联网设备组成的僵尸网络的攻击。他说，这些攻击是由当时17岁的Christopher “CJ” Sculti, Jr.发起的，而他是竞争对手DDoS保护公司“Datawagon”的所有者和唯一的雇员。

Datawagon也把Minecraft服务器作为客户，其服务器托管在另一家为Minecraft服务器提供DDoS防护服务的提供商ProTraf Solutions的服务器上。

Coelho说ProTraf试图让他最大的Minecraft服务器客户停用ProxyPipe的服务。Coelho在2015年年中说，Sculti在Skype上找到了他，并表示他准备让Coelho的Skype帐户被禁用。当时，Skype软件漏洞的利用方法在网络上被售卖，这个漏洞可被用于远程和即时禁用任何Skype帐户。

果然，Coelho回忆说，他的Skype帐户和同事使用的两个其他帐户在该威胁发生后几分钟即被关闭，有效地切断了ProxyPipe对客户的技术支持，当时其中许多客户都习惯于通过Skype与ProxyPipe进行联系。

“CJ在DDoS开始之前大约五分钟就给我发了消息，他说他将禁用我的skype账号”，Coelho继续说，“当这种情况发生后最可怕的事情是，你不知道你的Skype帐户是否已被黑客入侵和控制，还是它只是被禁用了。”。

在ProxyPipe的Skype帐户被禁用后，公司的服务器就遭受了大规模的，不断变化的DDoS攻击，也导致ProxyPipe无法为其客户提供服务。Coelho说，在攻击的几天内，许多ProxyPipe保护的最赚钱的Minecraft服务器都转移到了ProTraf Solutions那。

“在2015年，ProTraf使得很多我们保护的服务器下线，所以很多客户跳到了他们那边，”Coelho继续说，“我们告诉我们的客户，我们知道是ProTraf做的，但是有些客户不在乎，他们还是转移到了ProTraf，因为他们觉得在我们这因为服务器下线已经失去了很多钱了”。

我发现Coelho的故事令人着迷，因为它令人毛骨悚然地回应了我在2016年9月遭受的620 Gbps攻击事件。我也通过Skype与Sculti联系了两次，第一次是在2015年7月7日，Sculti吹嘘说他对互联网上运行了默认用户名和密码的物联网设备进行了扫描，他还说他已经将一些程序上传到了扫描到的这些设备上，数量超过了25万。

我第二次在Skype上收到来自Sculti的信息是在2016年9月20日，也就是我的网站遭受620 Gbps攻击的那一天，Sculti对于我发表的一篇提到他名字的文章感到愤怒。之后我在Skype上将他拉入了黑名单，再之后，我的Skype帐户收到了来自数以千计的垃圾Skype帐户的会话请求，导致我几乎不可能使用该软件进行电话或即时消息。

在与Sculti进行9月20日的对话6小时后，巨大的620 Gbps DDoS攻击开始了。

谁是LELDDOS？

Coelho说他相信lelddos的主要成员是Sculti和ProTraf的所有者。当被问及为什么他如此确信这一点时，他讲述了在2015年初lelddos对ProxyPipe进行了一次大型的攻击，同时还发生了大量互联网地址空间被窃取的骗局。

根据ProxyPipe，一连串的互联网ip被云托管公司FastReturn劫持。Dyn，一个密切跟踪哪些互联网地址块被分配给哪些组织的公司，确认了Coelho描述的互联网ip被劫持的时间。

在攻击几个月后，FastReturn的所有者，一个名叫Ammar Zuberi来自迪拜的年轻人去做了ProTraf的软件开发人员。 在此过程中，Zuberi将分配给FastReturn的大部分互联网ip转移到了ProTraf。

Zuberi告诉KrebsOnSecurity他没有参与lelddos，但他承认他在跳槽到ProTraf之前劫持了ProxyPipe的网络。他说“这个领域的东西对我来说都是未知的和神秘的，我感兴趣的是互联网的基础生态系统到底有多么的不安全。”。

根据Zuberi说的，CJ Sculti Jr.是lelddos的成员，ProTraf的两个共同所有者也是。这很有趣，因为不久之后的2016年9月Mirai攻击使这个网站下线。一个专门从事网络犯罪论坛信息分享的人指出Bashlite / Qbot的主要作者是ProTraf的雇员：一个19岁的来自华盛顿，宾夕法尼亚州的电脑奇才Josiah White。

White在LinkedIn上的个人资料为ProTraf的“企业DDoS缓解专家”，但多年来，他更多地被黑客社区称为“LiteSpeed”。

LiteSpeed是White在Hackforums [dot] net起的昵称，这是一个聚集了大量年轻人的黑客论坛，脚本小子们可以在此轻松地购买和出售网络犯罪工具和赃物。 直到最近，该论坛也一直都是购买和销售DDoS出租服务的地方。

我联系White以了解Qbot / Bashlite作者的传闻是否属实。White承认他写了一些Qbot / Bashlite的组件，包括恶意软件用来将感染传播到新机器的代码。但White说，他从来没有打算让他的代码在网上进行销售和交易。

White声称，一位他曾经的朋友，在Hackforums上的绰号为“Vyp0r”的人背叛了他的信任还逼迫他在网上发布代码，否则就要在网上发布White的个人资料并让警察抓他。

“我写的大多数东西都是为了朋友，但是后来我意识到，HF [Hackforums]上的东西往往不会保持私密”，White在给KrebsOnSecurity的即时消息中写道，“最终，我发现他们在暗地里售卖我写的代码，所以我将所有的都公开了以阻止他们的行为。当我年轻时，我犯了一些错误，我已经意识到了这个错误，所以现在我要摆正自己的位置继续前行”。

谁是PARAS JHA？

White的雇主ProTraf Solutions只有另外一名员工，来自新泽西州范伍德20岁的总裁Paras Jha。在他的LinkedIn个人资料中，Jha说，“Paras是一个充满激情的企业家，由创造力驱动。”简介如下：“高度自我激励，在7年级时开始自学各种语言编程。今天，他的软件开发技能包括C＃，Java，Golang，C，C ，PHP，x86 ASM，更不用说Web浏览器语言如Javascript和HTML / CSS。”

Jha的LinkedIn页面还显示，他在运行Minecraft服务器方面拥有丰富的经验，多年来他一直在Minetime工作，当时最受欢迎的Minecraft服务器之一。

在第一次阅读Jha的LinkedIn简历后，有一个感觉萦绕在我的心头挥之不去，我好像在其他地方看到过这个独特的计算机语言技能组合。然后我就明白了：Jha在他的LinkedIn上写的编程技能的组合与HackForums上Mirai的作者Anna-Senpai写的技能非常相似。

在2016年9月底之前，Mirai的源代码就已经被发在了HackForums上，Anna-Senpai在Hackforums发的大多数帖子都是为了嘲笑在使用Qbot构建DDoS攻击军队的其他黑客。

最好的例子是2016年7月10日发布在Hackforums上名为“Killing All Telnets”的主题，其中Anna-Senpai大胆警告论坛成员，他的恶意代码构造的僵尸网络包含了一个特别有效的“bot杀手”，它被开发来将受感染的物联网设备中存在的Qbot删除，并且Qbot无法再感染该系统。

最初，论坛成员只是把Anna的威胁当作笑话，但随着回复越来越多，其他成员肯定了他的bot杀手确实有预期的效果。

“2016年7月该僵尸网络的所有者在黑客论坛写了一个名为[Killing all Telnets]的主题，他是对的，”来自纽约市安全公司Flashpoint的威胁研究人员Allison Nixon和Pierre Lamy写道，“我们当时的情报反映了一个从传统的gafgyt感染模式到拒绝在安全研究人员的电脑上正确执行的模式的巨大转变。这个新物种扼杀了所有其他的恶意软件”。

直到我与Jha的商业伙伴Josiah White沟通后，我才开始重新阅读Anna-Senpai在Hackforums上的几十个帖子。2016年7月12日，即在他发布了“Killing all Telnets”主题一个星期后，他在一个自称为“Nightmare”的黑客组织发布的主题中发布了一个帖子，我这才觉得Jha的编程技能看起来很熟悉。这样的团体或黑客团体在Hackforums是常见的，论坛成员可以通过说明他们的技能和回答几个问题来申请成员资格。Anna-Senpai在他的申请帖中这样描述自己：

Hackforums帖子显示Jha和Anna-Senpai具有完全相同的编程技能。此外，根据安全公司Incapsula对Mirai的分析，用于控制由Mirai驱动的僵尸网络的恶意软件是由Go（aka“Golang”）编写的，这是一个由Google在2007年开发的有点深奥的编程语言，它在2016年十分流行。Incapsula还说，安装在物联网设备bots的恶意代码由C编写。

DREADIS[NOT]COOL

我开始深入了解Paras Jha在网络上的历史和足迹，发现他的父亲在2013年10月为他的儿子注册了一个域名，parasjha.info。该网站不再在线，但Archive缓存了Jha早期与各种流行的Minecraft服务器工作的简历。

谷歌搜索这个相当独特的用户名“dreadiscool”，发现这个账号出没在几十个专门用于计算机编程和Minecraft的论坛中。在许多这些帐户中，所有者显然对于他的Minecraft服务器不断的遭受DDoS攻击感到沮丧，并且急于寻求如何最好地应对攻击的建议。

从Dreadiscool发布的文章来看，Jha觉得对Minecraft服务器发起DDoS攻击要更为有利可图，而不是试图维护服务器本身。

Jha在他的网站上写道：“我在处理DDoS攻击方面的经验使我开始了一家服务器托管公司，专注于为客户提供解决方案来减轻这种攻击。”

一些Dreadiscool最近的帖子可以追溯到2016年11月，其中许多帖子都是对高度技术主题的冗长解释。Dreadiscool在这些帖子中的语调比多年前更加自信了，涵盖了从编程到DDoS攻击的一系列主题。

例如，Dreadiscool自2013年以来一直是Minecraft论坛spigotmc.org的活跃成员。此用户在spigotmc.org上的头像（如上所示）是从1994年Quentin Tarantino的“Pulp Fiction”中截取的场景，然后将两个演员的脸替换成其他人的。

左边这个人是Vyp0r，Vyp0r就是ProTraf的Josiah White说的威胁他的那个人的Hackforums绰号。右边的是Tucker Preston，他是BackConnect Security的共同创始人之一，该公司是另一个从事DDoS缓解服务的提供商，也有过大范围劫持其他提供商网络的历史。坐在他们后面的床上的是“山田”，日本动漫（“动漫”）B Gata H Hei中的角色。

在MyAnimeList.net（可以记录他们看了什么动漫的网站）有一个Dreadiscool用户，他在这个网站说，“B Gata H Kei”是他看过的九个动漫电影系列之一。其他八个？Mirai恶意软件的名字就来源于Mirai Nikki系列。

Dreadiscool在Reddit的个人信息也很有趣，最近发布的大多数帖子都涉及当时发生的主要的DDoS攻击，包括对Rutgers大学的一系列DDoS攻击。后面有更多关于Rutgers大学的内容。

与Anna-Senpai的对话

在KrebsOnSecurity遭受620 Gbps攻击的同时，法国网络托管服务巨人OVH遭受了更大的攻击，由同一个Mirai僵尸网络发起攻击。虽然这个事实已经在新闻媒体中广泛报道，但是OVH被攻击的原因可能不是那么多人知晓。

根据OVH创始人和首席技术官Octave Klaba的推文，这次大规模攻击的目标也是一个Minecraft服务器（尽管Klaba在他的推文中错误地将其称为目标“mindcraft服务器”）。

事实证明，在对这个网站和OVH攻击后的几天里，Anna-Sempai在针对Coelho的ProxyPipe攻击时对Mirai进行了训练，以至于破解了他们的DDoS缓解服务并导致许多流行的Minecraft服务器下线。

无法获得更多的带宽，也不愿意与第三方DDoS缓解公司签订昂贵的年度合同，Coelho转向唯一的另一个选择来从攻击中解脱：向Mirai僵尸网络的C