巨大僵尸網絡 Satori 沖著中國某品牌路由器而來，作者身份被披露

曾造成美國東部大斷網的 Mirai 僵尸網絡開了個壞頭，之后被安全研究員們監測到的大型僵尸網絡都比 Mirai 的“僵尸軍隊”要大得多。

360 網絡安全研究院安全研究員李豐沛曾和團隊發布了關于 Mirai 的多項深度監測報告，為后來  Mirai 背后元兇落網貢獻了一份力量，最近引起他們極大關注的是一個名叫“ Satori”的僵尸網絡。

Satori 已經在短短 12小時內感染了超過 28 萬個 IP 地址，利用最新發現的零日漏洞控制了數十萬臺家庭路由器，速度比 Mirai  快了不止一點點——如果把 Mirai  的威力比做一把槍，那么Satori 就是大炮。只是，這臺“大炮”目前像定時炸彈一樣，還沒有發威。

Satori 比“Mirai”更可怕

Satori 剛開始是以 Mirai Okiru 的名義被追蹤的，在 11 月 23 日左右現出蹤跡。多家安全公司稱，Satori 的絕大多數“肉雞”位于阿根廷。此后，該僵尸網絡朝埃及、土耳其、烏克蘭、委內瑞拉和秘魯開始肆虐。

360網絡安全研究院、Fortinet 和 Check Point 分別在12月5日、12月12日和12月21日在各自的博客上發布了關于 Satori 的研究發現（注：360網絡安全研究院還在11月24日發布了一篇與此相關的安全預警《安全威脅早期預警：新的mirai僵尸網絡變種正在端口23和2323上積極傳播》，而 Check Point 的博文指出，他們在11 月23日發現了此事。）。

在12月5日這篇《安全威脅預警：Mirai 變種 Satori 正在端口 37215 和 52869 上類似蠕蟲式傳播》博文中，360網絡安全研究院稱：“在我們之前的 blog 中，我們提及有大約10萬個來自阿根廷的獨立掃描IP正在掃描端口 2323 和23，并且確定這是一個新的 Mirai變種。在過去的幾天中，掃描行為變得愈發嚴重，更多的國家出現在我們的ScanMon平臺上。仔細分析后我們看到了更多的部分，意識到之前2323/23端口上的掃描還只是巨大拼圖的一小部分?！?/strong>

可以這樣說，Satori 本質與蠕蟲病毒相似，并且源代碼源于 Mirai，是 Mirai 的升級變種，但 Satori 比 Mirai 要“毒”多了。

1.Mirai 在感染物聯網設備后，會進一步試圖通過 telnet 掃描來找出易受攻擊的設備，并使用 Mirai 木馬程序進行感染，Satori不使用掃描器組件，而是利用兩個嵌入式漏洞，來感染連接到端口37215和52869上的遠程設備。這意味著，Satori 近似于物聯網蠕蟲，無需其他組件即可自行傳播。

2.Mirai 主要通過掃描 2323 和 23 端口來尋找易受攻擊的設備，Satori 是連接到 37215 和 52869 端口上且存在兩個已知漏洞中任意一個，但并未進行修復的設備。

很可怕的是，其中一個漏洞后來被認證為 0day（現已有修復建議）。

Satori 是沖著華為路由器來的

李豐沛告訴雷鋒網，此前大家關注點在攝像頭上，其實，現在路由器已經超過了攝像頭，成為了“第一肉雞”。

Checkpoint 和 Fortinet 則直接點名，稱這次的 Satori 是奔著華為路由器來的。而且，上述那個0day 就存在于華為某款路由器上。

雷鋒網注意到，華為于11月30日發布了一則安全公告《關于HG532產品存在遠程代碼執行安全漏洞的聲明》（12月22日進行了更新），承認了華為某款安全路由器漏洞的存在，并提出了修復建議。

2017年 11 月 27 日，華為接收到 Check Point 軟件技術研究部門的通知，華為 HG532 產品存在遠程代碼執行的安全漏洞（CVE-2017-17215）。同時 Check Point 發布安全預警 CPAI-2017-1016，但預警中不包含漏洞細節。華為在第一時間啟動了分析調查。目前已經確認該漏洞存在。認證后的攻擊者可以向設備37215端口發送惡意報文發起攻擊，成功利用漏洞可以遠程執行任意代碼。

客戶可以通過如下措施規避或預防該漏洞的攻擊，詳情請向當地服務提供商或華為TAC咨詢：

 （1） 配置設備內置防火墻功能

 （2） 修改默認口令

 （3） 運營商端部署防火墻

客戶可以部署華為NGFW(下一代防火墻)或者數據中心防火墻產品，并升級  IPS  特征庫至 2017 年 12 月 1 日發布的最新版本(IPS_H20011000_2017120100)以檢測和防護來自于網絡層面的該漏洞攻擊。

華為一直按照行業慣例進行著生命周期管理，并已經建立了生命周期管理體系，明確了產品生命周期策略及產品終止策略。對于非全面停止服務產品華為已經與客戶進行溝通，并根據客戶意見提供解決版本；對于全面停止服務產品華為建議用戶采用規避措施來規避或預防該問題，或者使用較新型號的產品進行替換。

相關的調查工作正在持續進行，華為 PSIRT 會隨時更新安全通告，請持續關注針對此漏洞的安全公告。

“中關村在線”的一篇報道則稱，這些被 Satori 控制的路由器由兩個最大的運營商為客戶提供，通過運營商可以快速定位并修復設備的漏洞。

作者露出馬腳

Satori 是有過抵抗的。

據 Bleeping Computer 報道，過去一周內，眾多 ISP 和網絡安全公司對該僵尸網絡進行了干預，并拿下了 Satori 僵尸網絡所需的 C＆C服務器。這些服務器被拿下后，僵尸網絡數量瞬間消失了50 萬到 70 萬臺。

但對方沒有放棄反抗。在上述服務器被拿下后，52869 和 37215 端口的掃描活動出現了巨大的峰值。最有可能的情況是，Satori 的作者正在想法設法掃描端口，尋找肉雞。

圖片來源：Bleepingcomputer，數據來源：360 網絡安全研究院

在11月21日 Check Point 的博文中，Check Point 的研究人員透露了 Satori 僵尸網絡作者的身份 ——Nexus Zeta。

研究人員表示，他們已經追蹤到他，因為該作者注冊 Satori 基礎架構中使用的域名有一個電子郵件地址，這個郵件地址與最流行的黑客論壇之一 HackForums 的一個帳號高度關聯。

Check Point說：“雖然他在這樣的論壇上不太活躍，但他露出了馬腳。”

在 Satori 活動被發現的前一天，也就是 11 月 22 日，一個論壇帖子顯示，Nexus Zeta 在尋求幫助，想建立一個 Mirai 僵尸網絡（編者敲黑板：Satori 是 Mirai 的變種）。

但是，據 Bleeping Computer  稱，在過去幾個星期里，Satori 沒有被認定與任何主要的 DDoS 攻擊的來源相關。

李豐沛認為，Bleeping Computer  的觀點限定在“最近 + 主要攻擊”，這與他們監測到的情況是一致的。但是，如果再向前溯源，情況可能就不一樣了。

360 網絡安全研究院的上述博文曾指出：“我們還懷疑本次攻擊與 2017 年 8 月發生在中國的另一次 IoT 物聯網相關的攻擊有關系，也許后續我們會發布另外一篇 blog 詳細闡述。”

更可怕的是，Satori  的故事還遠未結束，我們還得憂心其他的僵尸網絡與攻擊。

李豐沛對雷鋒網說，由于Mirai 的源碼已經在網上公開，改造 Mirai ，以其變種身份形式出現，構造巨大的僵尸網絡早已不是難事。而且，攻擊者完全可以一被發現一個域名就更換新的，身份十分隱秘。

“美國東部大斷網”式的噩夢復制并不遙遠。

參考來源：黑客視界、中關村在線、BleepingComputer等。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。