产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
最近出现的 satori 僵尸网络让安全研究员们深感不安,因为它的规模快速增长为数十万台被攻陷设备。谁成想,satori 僵尸网络竟然出自一个脚本小子之手。研究人员表示,一个名叫 nexus zeta 的黑客创造出 satori。后者是出现在2016年10月的 mirai 物联网僵尸网络的变体。
satori 僵尸网络利用0day 漏洞
satori 也被称为 “mirai okiru”,出现在11月23日左右,当时它开始在互联网传播。satori 病毒性极强,从一出现就感染了很多台设备。跟此前的 mirai 变体不同,它并不是依赖于基于 telent 的暴力攻击,而是使用利用代码。更确切地说,它扫描端口52869并使用 cve-2014-8361 (影响 realtek、d-link等设备的 upnp 利用代码),而且它扫描端口37215和当时未知的一个利用代码。
随后发现 satori 利用的实际上是一个影响hg532路由器的0day 漏洞 (cve-2017-17215)。收到 check point 公司研究人员的通知后,其公司在攻击开始发生一周后发布了更新以及安全警告。
12月5日,satori 开始在多个研究员和网络安全公司的蜜罐中出现。当时,satori 共有超过18万个僵尸,其中多数位于阿根廷。随后,satori 开始感染位于埃及、土耳其、乌克兰、委内瑞拉和秘鲁的互联网服务提供商的设备。
satori 僵尸网络的 c&c 服务器被拿下
上周末,来自多家互联网服务提供商和网络安全公司的代表联合拿下了 satori 僵尸网络的主 c&c 服务器。当时,它由50万至70万个僵尸组成。satori 被拿下后,针对端口52869和37215的扫描活动骤升。当时发生的最可能的场景是,nexus zeta 在为另外一个 satori 实例扫描并寻找僵尸。
罪魁祸首竟然是一个脚本小子
check point 公司在昨天发布的报告中公布了 satori 僵尸网络作者的真实身份:即之前提到的 nexus zeta。由于 nexus zeta 通过注册一个 hackforums(一个臭名昭著的准黑客们举行会议的地方)账户的邮件地址注册了satori 基础设施中使用的域名。研究人员表示,虽然他很少活跃在此类论坛中,但他发布的帖子表明他并不是专业黑客。
从nexus zeta在11月22日(即satori活动被检测到的前一天)发布的一篇帖子中可看出,他正在求助如何设置一个mirai僵尸网络(satori是mirai的一个变体)。目前还有两个问题尚不明朗。第一个是,satori还会卷土重来吗?第二个是,nexus zeta是自己发现了复杂的0day漏洞还是他从别的地方购买的?
从目前可获知的信息来看,satori 并未被认为是过去几周来任何大规模 ddos 攻击的来源。需要注意的是,satori (mirai okiru) 僵尸网络并不是上个月出现的基于 mirai akuma变体之上的僵尸网络。
本文由安全客原创发布,原文链接: https://www.anquanke.com/post/id/92353
试用申请
