当前位置:安全资讯 >> 全文

万万没想到:让研究人员忧心忡忡的 Satori 僵尸网络出自脚本小子之手

发布时间:2017-12-22 19:26 标签: Satori,脚本小子
分享到 0

最近出现的 Satori 僵尸网络让安全研究员们深感不安,因为它的规模快速增长为数十万台被攻陷设备。谁成想,Satori 僵尸网络竟然出自一个脚本小子之手。

研究人员表示,一个名叫 Nexus Zeta 的黑客创造出 Satori。后者是出现在201610月的 Mirai 物联网僵尸网络的变体。

Satori 僵尸网络利用华为 0day 漏洞

Satori 也被称为 Mirai Okiru,出现在1123日左右,当时它开始在互联网传播。

Satori 病毒性极强,从一出现就感染了很多台设备。跟此前的 Mirai 变体不同,它并不是依赖于基于 Telent 的暴力攻击,而是使用利用代码。更确切地说,它扫描端口52869并使用 CVE-2014-8361 (影响 RealtekD-Link等设备的 UPnP 利用代码),而且它扫描端口37215和当时未知的一个利用代码。

随后发现 Satori 利用的实际上是一个影响华为 HG532路由器的 0day 漏洞 (CVE-2017-17215)。收到 Check Point 公司研究人员的通知后,华为在攻击开始发生一周后发布了更新以及安全警告。

125日,Satori 开始在多个研究员和网络安全公司的蜜罐中出现。当时,Satori 共有超过18万个僵尸,其中多数位于阿根廷。随后,Satori 开始感染位于埃及、土耳其、乌克兰、委内瑞拉和秘鲁的互联网服务提供商的设备。

Satori 僵尸网络的 C&C 服务器被拿下

上周末,来自多家互联网服务提供商和网络安全公司的代表联合拿下了 Satori 僵尸网络的主 C&C 服务器。当时,它由50万至70万个僵尸组成。

Satori 被拿下后,针对端口5286937215的扫描活动骤升。当时发生的最可能的场景是,Nexus Zeta 在为另外一个 Satori 实例扫描并寻找僵尸。

罪魁祸首竟然是一个脚本小子

Check Point 公司在昨天发布的报告中公布了 Satori 僵尸网络作者的真实身份:即之前提到的 Nexus Zeta

由于 Nexus Zeta 通过注册一个 HackForums(一个臭名昭著的准黑客们举行会议的地方)账户的邮件地址注册了Satori 基础设施中使用的域名。研究人员表示,虽然他很少活跃在此类论坛中,但他发布的帖子表明他并不是专业黑客。

Nexus Zeta1122日(即Satori活动被检测到的前一天)发布的一篇帖子中可看出,他正在求助如何设置一个Mirai僵尸网络(SatoriMirai的一个变体)。

目前还有两个问题尚不明朗。第一个是,Satori还会卷土重来吗?第二个是,Nexus Zeta是自己发现了复杂的华为0day漏洞还是他从别的地方购买的?

从目前可获知的信息来看,Satori 并未被认为是过去几周来任何大规模 DDoS 攻击的来源。需要注意的是,Satori (Mirai Okiru) 僵尸网络并不是上个月出现的基于 Mirai Akuma变体之上的僵尸网络。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/amateur-hacker-behind-satori-botnet/
参与讨论,请先 登录 | 注册

用户评论