摘要: 最近出现的 Satori 僵尸网络让安全研究员们深感不安,因为它的规模快速增长为数十万台被攻陷设备。谁成想,Satori 僵尸网络竟然出自一个脚本小子之手。研究人员表示,一个名叫 Nexus Zeta 的黑客创造出 Satori。后者是出现在2016年10...
最近出现的 Satori 僵尸网络让安全研究员们深感不安,因为它的规模快速增长为数十万台被攻陷设备。谁成想,Satori 僵尸网络竟然出自一个脚本小子之手。研究人员表示,一个名叫 Nexus Zeta 的黑客创造出 Satori。后者是出现在2016年10月的 Mirai 物联网僵尸网络的变体。
Satori 僵尸网络利用0day 漏洞
Satori 也被称为 “Mirai Okiru”,出现在11月23日左右,当时它开始在互联网传播。Satori 病毒性极强,从一出现就感染了很多台设备。跟此前的 Mirai 变体不同,它并不是依赖于基于 Telent 的暴力攻击,而是使用利用代码。更确切地说,它扫描端口52869并使用 CVE-2014-8361 (影响 Realtek、D-Link等设备的 UPnP 利用代码),而且它扫描端口37215和当时未知的一个利用代码。
随后发现 Satori 利用的实际上是一个影响HG532路由器的0day 漏洞 (CVE-2017-17215)。收到 Check Point 公司研究人员的通知后,其公司在攻击开始发生一周后发布了更新以及安全警告。
12月5日,Satori 开始在多个研究员和网络安全公司的蜜罐中出现。当时,Satori 共有超过18万个僵尸,其中多数位于阿根廷。随后,Satori 开始感染位于埃及、土耳其、乌克兰、委内瑞拉和秘鲁的互联网服务提供商的设备。
Satori 僵尸网络的 C&C 服务器被拿下
上周末,来自多家互联网服务提供商和网络安全公司的代表联合拿下了 Satori 僵尸网络的主 C&C 服务器。当时,它由50万至70万个僵尸组成。Satori 被拿下后,针对端口52869和37215的扫描活动骤升。当时发生的最可能的场景是,Nexus Zeta 在为另外一个 Satori 实例扫描并寻找僵尸。
罪魁祸首竟然是一个脚本小子
Check Point 公司在昨天发布的报告中公布了 Satori 僵尸网络作者的真实身份:即之前提到的 Nexus Zeta。由于 Nexus Zeta 通过注册一个 HackForums(一个臭名昭著的准黑客们举行会议的地方)账户的邮件地址注册了Satori 基础设施中使用的域名。研究人员表示,虽然他很少活跃在此类论坛中,但他发布的帖子表明他并不是专业黑客。
从Nexus Zeta在11月22日(即Satori活动被检测到的前一天)发布的一篇帖子中可看出,他正在求助如何设置一个Mirai僵尸网络(Satori是Mirai的一个变体)。目前还有两个问题尚不明朗。第一个是,Satori还会卷土重来吗?第二个是,Nexus Zeta是自己发现了复杂的0day漏洞还是他从别的地方购买的?
从目前可获知的信息来看,Satori 并未被认为是过去几周来任何大规模 DDoS 攻击的来源。需要注意的是,Satori (Mirai Okiru) 僵尸网络并不是上个月出现的基于 Mirai Akuma变体之上的僵尸网络。
本文由安全客原创发布,原文链接: https://www.anquanke.com/post/id/92353
更多资讯
(信息来源于网络,安华金和搜集整理)
