歡迎光臨
每天分享高質量文章

【每日安全資訊】萬萬沒想到:Satori 僵屍網絡出自腳本小子之手

最近出現的 Satori 僵屍網絡讓安全研究員們深感不安,因為它的規模快速增長為數十萬台被攻陷設備。誰成想,Satori 僵屍網絡竟然出自一個腳本小子之手。研究人員表示,一個名叫 Nexus Zeta 的黑客創造出 Satori。後者是出現在2016年10月的 Mirai 物聯網僵屍網絡的變體。

Satori 僵屍網絡利用0day 漏洞

Satori 也被稱為 “Mirai Okiru”,出現在11月23日左右,當時它開始在互聯網傳播。Satori 病毒性極強,從一齣現就感染了很多台設備。跟此前的 Mirai 變體不同,它並不是依賴於基於 Telent 的暴力攻擊,而是使用利用代碼。更確切地說,它掃描端口52869並使用 CVE-2014-8361 (影響 Realtek、D-Link等設備的 UPnP 利用代碼),而且它掃描端口37215和當時未知的一個利用代碼。

隨後發現 Satori 利用的實際上是一個影響HG532路由器的0day 漏洞 (CVE-2017-17215)。收到 Check Point 公司研究人員的通知後,其公司在攻擊開始發生一周後發佈了更新以及安全警告。

12月5日,Satori 開始在多個研究員和網絡安全公司的蜜罐中出現。當時,Satori 共有超過18萬個僵屍,其中多數位於阿根廷。隨後,Satori 開始感染位於埃及、土耳其、烏克蘭、委內瑞拉和秘魯的互聯網服務提供商的設備。
Satori 僵屍網絡的 C&C; 服務器被拿下

上周末,來自多家互聯網服務提供商和網絡安全公司的代表聯合拿下了 Satori 僵屍網絡的主 C&C; 服務器。當時,它由50萬至70萬個僵屍組成。Satori 被拿下後,針對端口52869和37215的掃描活動驟升。當時發生的最可能的場景是,Nexus Zeta 在為另外一個 Satori 實體掃描並尋找僵屍。

罪魁禍首竟然是一個腳本小子

Check Point 公司在昨天發佈的報告中公佈了 Satori 僵屍網絡作者的真實身份:即之前提到的 Nexus Zeta。由於 Nexus Zeta 通過註冊一個 HackForums(一個臭名昭著的準黑客們舉行會議的地方)賬戶的郵件地址註冊了Satori 基礎設施中使用的域名。研究人員表示,雖然他很少活躍在此類論壇中,但他發佈的帖子表明他並不是專業黑客。

從Nexus Zeta在11月22日(即Satori活動被檢測到的前一天)發佈的一篇帖子中可看出,他正在求助如何設置一個Mirai僵屍網絡(Satori是Mirai的一個變體)。目前還有兩個問題尚不明朗。第一個是,Satori還會卷土重來嗎?第二個是,Nexus Zeta是自己發現了複雜的0day漏洞還是他從別的地方購買的?

從目前可獲知的信息來看,Satori 並未被認為是過去幾周來任何大規模 DDoS 攻擊的來源。需要註意的是,Satori (Mirai Okiru) 僵屍網絡並不是上個月出現的基於 Mirai Akuma變體之上的僵屍網絡。

本文由安全客原創發佈,原文鏈接: https://www.anquanke.com/post/id/92353

更多資訊

◈ 美國男子以網絡攻擊要挾公司雇佣他,悲劇獲刑三年

http://t.cn/RH40cnf

◈ 朱利安·阿桑奇的Twitter帳戶已經消失

http://t.cn/RH40Vf9

◈ 黑產盯上“吃雞”游戲,木馬盛行勒索扣費

http://t.cn/RH40VDb

◈ 特朗普:網絡安全就是國家安全

http://t.cn/RH40f9o

(信息來源於網絡,安華金和搜集整理)


赞(0)

分享創造快樂