最近出現的 Satori 僵屍網路讓安全研究員們深感不安,因為它的規模快速增長為數十萬臺被攻陷裝置。誰成想,Satori 僵屍網路竟然出自一個指令碼小子之手。研究人員表示,一個名叫 Nexus Zeta 的駭客創造出 Satori。後者是出現在2016年10月的 Mirai 物聯網僵屍網路的變體。
Satori 僵屍網路利用0day 漏洞
Satori 也被稱為 “Mirai Okiru”,出現在11月23日左右,當時它開始在網際網路傳播。Satori 病毒性極強,從一齣現就感染了很多臺裝置。跟此前的 Mirai 變體不同,它並不是依賴於基於 Telent 的暴力攻擊,而是使用利用程式碼。更確切地說,它掃描埠52869並使用 CVE-2014-8361 (影響 Realtek、D-Link等裝置的 UPnP 利用程式碼),而且它掃描埠37215和當時未知的一個利用程式碼。
隨後發現 Satori 利用的實際上是一個影響HG532路由器的0day 漏洞 (CVE-2017-17215)。收到 Check Point 公司研究人員的通知後,其公司在攻擊開始發生一週後釋出了更新以及安全警告。
12月5日,Satori 開始在多個研究員和網路安全公司的蜜罐中出現。當時,Satori 共有超過18萬個僵屍,其中多數位於阿根廷。隨後,Satori 開始感染位於埃及、土耳其、烏克蘭、委內瑞拉和秘魯的網際網路服務提供商的裝置。
Satori 僵屍網路的 C&C; 伺服器被拿下
上週末,來自多家網際網路服務提供商和網路安全公司的代表聯合拿下了 Satori 僵屍網路的主 C&C; 伺服器。當時,它由50萬至70萬個僵屍組成。Satori 被拿下後,針對埠52869和37215的掃描活動驟升。當時發生的最可能的場景是,Nexus Zeta 在為另外一個 Satori 實體掃描並尋找僵屍。
罪魁禍首竟然是一個指令碼小子
Check Point 公司在昨天釋出的報告中公佈了 Satori 僵屍網路作者的真實身份:即之前提到的 Nexus Zeta。由於 Nexus Zeta 透過註冊一個 HackForums(一個臭名昭著的準駭客們舉行會議的地方)賬戶的郵件地址註冊了Satori 基礎設施中使用的域名。研究人員表示,雖然他很少活躍在此類論壇中,但他釋出的帖子表明他並不是專業駭客。
從Nexus Zeta在11月22日(即Satori活動被檢測到的前一天)釋出的一篇帖子中可看出,他正在求助如何設定一個Mirai僵屍網路(Satori是Mirai的一個變體)。目前還有兩個問題尚不明朗。第一個是,Satori還會捲土重來嗎?第二個是,Nexus Zeta是自己發現了複雜的0day漏洞還是他從別的地方購買的?
從目前可獲知的資訊來看,Satori 並未被認為是過去幾周來任何大規模 DDoS 攻擊的來源。需要註意的是,Satori (Mirai Okiru) 僵屍網路並不是上個月出現的基於 Mirai Akuma變體之上的僵屍網路。
本文由安全客原創釋出,原文連結: https://www.anquanke.com/post/id/92353
更多資訊
◈ 美國男子以網路攻擊要挾公司僱傭他,悲劇獲刑三年
http://t.cn/RH40cnf
◈ 朱利安·阿桑奇的Twitter帳戶已經消失
http://t.cn/RH40Vf9
◈ 黑產盯上“吃雞”遊戲,木馬盛行勒索扣費
http://t.cn/RH40VDb
◈ 特朗普:網路安全就是國家安全
http://t.cn/RH40f9o
(資訊來源於網路,安華金和蒐集整理)