最近出现的 Satori 僵尸网络让安全研究员们深感不安,因为它的规模快速增长为数十万台被攻陷设备。谁成想,Satori 僵尸网络竟然出自一个脚本小子之手。研究人员表示,一个名叫 Nexus Zeta 的黑客创造出 Satori。后者是出现在2016年10月的 Mirai 物联网僵尸网络的变体。
Satori 僵尸网络利用0day 漏洞
Satori 也被称为 “Mirai Okiru”,出现在11月23日左右,当时它开始在互联网传播。Satori 病毒性极强,从一出现就感染了很多台设备。跟此前的 Mirai 变体不同,它并不是依赖于基于 Telent 的暴力攻击,而是使用利用代码。更确切地说,它扫描端口52869并使用 CVE-2014-8361 (影响 Realtek、D-Link等设备的 UPnP 利用代码),而且它扫描端口37215和当时未知的一个利用代码。
随后发现 Satori 利用的实际上是一个影响HG532路由器的0day 漏洞 (CVE-2017-17215)。收到 Check Point 公司研究人员的通知后,其公司在攻击开始发生一周后发布了更新以及安全警告。
12月5日,Satori 开始在多个研究员和网络安全公司的蜜罐中出现。当时,Satori 共有超过18万个僵尸,其中多数位于阿根廷。随后,Satori 开始感染位于埃及、土耳其、乌克兰、委内瑞拉和秘鲁的互联网服务提供商的设备。
Satori 僵尸网络的 C&C 服务器被拿下
上周末,来自多家互联网服务提供商和网络安全公司的代表联合拿下了 Satori 僵尸网络的主 C&C 服务器。当时,它由50万至70万个僵尸组成。Satori 被拿下后,针对端口52869和37215的扫描活动骤升。当时发生的最可能的场景是,Nexus Zeta 在为另外一个 Satori 实例扫描并寻找僵尸。
罪魁祸首竟然是一个脚本小子
Check Point 公司在昨天发布的报告中公布了 Satori 僵尸网络作者的真实身份:即之前提到的 Nexus Zeta。由于 Nexus Zeta 通过注册一个 HackForums(一个臭名昭著的准黑客们举行会议的地方)账户的邮件地址注册了Satori 基础设施中使用的域名。研究人员表示,虽然他很少活跃在此类论坛中,但他发布的帖子表明他并不是专业黑客。
从Nexus Zeta在11月22日(即Satori活动被检测到的前一天)发布的一篇帖子中可看出,他正在求助如何设置一个Mirai僵尸网络(Satori是Mirai的一个变体)。目前还有两个问题尚不明朗。第一个是,Satori还会卷土重来吗?第二个是,Nexus Zeta是自己发现了复杂的0day漏洞还是他从别的地方购买的?
从目前可获知的信息来看,Satori 并未被认为是过去几周来任何大规模 DDoS 攻击的来源。需要注意的是,Satori (Mirai Okiru) 僵尸网络并不是上个月出现的基于 Mirai Akuma变体之上的僵尸网络。
文章原文链接:https://www.anquanke.com/post/id/92353