Satori僵尸网络又回来了,目标包括国产物联网设备

科技动态 2018-06-19

360网络安全研究院(360Netlab)在上周五发表的一篇文章中指出,他们在6月14日注意到 Satori 的开发者开始扫描收集uc-httpd 1.0.0设备的IP地址列表,这可能是在为针对4月公开的XiongMai(雄迈)uc-httpd 1.0.0 漏洞(CVE-2018-10088)做准备。这些扫描活动导致了近期在 80 和 8000 端口上的扫描流量激增。

在很短的时间里,Satori 开发者又发布了一个更新版本。这个更新是一个蠕虫病毒,针对了 D-Link DSL-2750B设备,对应的漏洞利用在5月25日刚刚被公开。

相关资料显示,Satori是Mirai僵尸网络的一个变种,360Netlab首次注意到这个僵尸网络是在2017年11月22日。仅在一周之后,也就是2017年12月5日,Satori在12小时内感染了超过26万台家用路由器设备,成为臭名昭著的僵尸网络之一。

在那之后,安全社区采取了联合行动。多家运营商在Satori的重点攻击端口37215上采取了对抗措施。从事后来看,这些措施有效抑制了Satori的扩张速度。不过,从目前来看,安全社区的这些披露和联合行动似乎都并没有能够阻止Satori开发者继续发布更新。

在今年1月8日,360Netlab检测到Satori的后继变种Satori.Coin.Robber尝试在端口37215和52869上重新建立整个僵尸网络。值得注意的是,这个新变种开始渗透互联网上现存的Claymore Miner挖矿设备,通过攻击其3333 管理端口,替换钱包地址,并最终攫取受害挖矿设备的算力和对应的ETH代币。360Netlab表示,这也是他们第一次观察到到僵尸网络替换其他挖矿设备的钱包。

在今年5月10日,GPON 漏洞(CVE-2018-10561和CVE-2018-10562)公布以后不到 10 天的时间里,Satori 也加入抢夺易受攻击GPON设备的行列。并且,在短时间内就挤掉了其它竞争对手,成为其中投放能力最强的一个。

现在,Satori僵尸网络似乎又回来了。利用的漏洞仍然是CVE-2018-10561,通过扫描互联网,来寻找拥有 “uc-httpd 1.0.0” 设备指纹的IP地址。

360Netlab表示,Satori此次集成了四种 DDoS 攻击向量 udp_flood、syn_flood、tcp_ack_flood和gre_flood,目前至少已经发起了两次DDoS攻击,分别发生在6月13日晚上9点和6月14日晚上11点左右。

针对80 和 8000 端口的扫描流量分别在6月9日和6月14出现了增长,均是由Satori 样本arm.bot.le及其更新版本导致的:

之所以判定这些恶意软件样本与之前的Satori是同源的,来源于新样本使用了与5月份相同的下载地址,且新样本包含了一段在之前Satori的okiru系列样本中使用过的代码。

安全内参

责编内容by:安全内参 (源链)。感谢您的支持!

您可能感兴趣的

计算机网络(四)——交换机与路由器2... 上次谈到子网划分问题,这次详细说说子网划分,对于网络来说意味着什么; 早期的IP地址都是两级IP地址,即由网络位与主机位组成,这样设计的IP地址不合理处在于...
Malware Uses Router LEDs to Steal Data from Secure... Specially-designed malware installed on a router or a switch can take co...
Computex 2018 Origin Wireless路由器 可实现运动跟踪保护家人... 【天极网网络频道】6月5日,2018Computex台北国际电脑展在台北世界贸易中心展馆举行。作为亚洲盛大的IT展会,今年的台北电脑展涉及5G、笔记本、...
斐讯“0元购”翻车,谁会是最后一个接盘侠... 说到斐讯大家可能都不陌生,近两年他的路由器“0元购”活动可以说是广为人知,当然所谓“0元购”不是真的所谓不要你的钱,只是要你先付款把路由器买了,在分期通过...
小米之家售后服务支持店来袭 在手机厂家不断更新产品的时候,手机售后服务却一直是用户诟病的地方。在用户的心目中,手机售后这个行业似乎存在着一些“猫腻”。虽然一些厂商声称注重用户体验,但恰恰在...