曾造成美國東部大斷網(wǎng)的 Mirai 僵尸網(wǎng)絡開了個壞頭，之后被安全研究員們監(jiān)測到的大型僵尸網(wǎng)絡都比 Mirai 的“僵尸軍隊”要大得多。

360 網(wǎng)絡安全研究院安全研究員李豐沛曾和團隊發(fā)布了關于 Mirai 的多項深度監(jiān)測報告，為后來  Mirai 背后元兇落網(wǎng)貢獻了一份力量，最近引起他們極大關注的是一個名叫“ Satori”的僵尸網(wǎng)絡。

Satori 已經(jīng)在短短 12小時內感染了超過 28 萬個 IP 地址，利用最新發(fā)現(xiàn)的零日漏洞控制了數(shù)十萬臺家庭路由器，速度比 Mirai  快了不止一點點——如果把 Mirai  的威力比做一把槍，那么Satori 就是大炮。只是，這臺“大炮”目前像定時炸彈一樣，還沒有發(fā)威。

Satori 比“Mirai”更可怕

Satori 剛開始是以 Mirai Okiru 的名義被追蹤的，在 11 月 23 日左右現(xiàn)出蹤跡。多家安全公司稱，Satori 的絕大多數(shù)“肉雞”位于阿根廷。此后，該僵尸網(wǎng)絡朝埃及、土耳其、烏克蘭、委內瑞拉和秘魯開始肆虐。

360網(wǎng)絡安全研究院、Fortinet 和 Check Point 分別在12月5日、12月12日和12月21日在各自的博客上發(fā)布了關于 Satori 的研究發(fā)現(xiàn)（注：360網(wǎng)絡安全研究院還在11月24日發(fā)布了一篇與此相關的安全預警《安全威脅早期預警：新的mirai僵尸網(wǎng)絡變種正在端口23和2323上積極傳播》，而 Check Point 的博文指出，他們在11 月23日發(fā)現(xiàn)了此事。）。

在12月5日這篇《安全威脅預警：Mirai 變種 Satori 正在端口 37215 和 52869 上類似蠕蟲式傳播》博文中，360網(wǎng)絡安全研究院稱：“在我們之前的 blog 中，我們提及有大約10萬個來自阿根廷的獨立掃描IP正在掃描端口 2323 和23，并且確定這是一個新的 Mirai變種。在過去的幾天中，掃描行為變得愈發(fā)嚴重，更多的國家出現(xiàn)在我們的ScanMon平臺上。仔細分析后我們看到了更多的部分，意識到之前2323/23端口上的掃描還只是巨大拼圖的一小部分。”

可以這樣說，Satori 本質與蠕蟲病毒相似，并且源代碼源于 Mirai，是 Mirai 的升級變種，但 Satori 比 Mirai 要“毒”多了。

1.Mirai 在感染物聯(lián)網(wǎng)設備后，會進一步試圖通過 telnet 掃描來找出易受攻擊的設備，并使用 Mirai 木馬程序進行感染，Satori不使用掃描器組件，而是利用兩個嵌入式漏洞，來感染連接到端口37215和52869上的遠程設備。這意味著，Satori 近似于物聯(lián)網(wǎng)蠕蟲，無需其他組件即可自行傳播。

2.Mirai 主要通過掃描 2323 和 23 端口來尋找易受攻擊的設備，Satori 是連接到 37215 和 52869 端口上且存在兩個已知漏洞中任意一個，但并未進行修復的設備。

很可怕的是，其中一個漏洞后來被認證為 0day（現(xiàn)已有修復建議）。

Satori 是沖著華為路由器來的

李豐沛告訴雷鋒網(wǎng)，此前大家關注點在攝像頭上，其實，現(xiàn)在路由器已經(jīng)超過了攝像頭，成為了“第一肉雞”。

Checkpoint 和 Fortinet 則直接點名，稱這次的 Satori 是奔著華為路由器來的。而且，上述那個0day 就存在于華為某款路由器上。

雷鋒網(wǎng)注意到，華為于11月30日發(fā)布了一則安全公告《關于HG532產(chǎn)品存在遠程代碼執(zhí)行安全漏洞的聲明》（12月22日進行了更新），承認了華為某款安全路由器漏洞的存在，并提出了修復建議。

2017年 11 月 27 日，華為接收到 Check Point 軟件技術研究部門的通知，華為 HG532 產(chǎn)品存在遠程代碼執(zhí)行的安全漏洞（CVE-2017-17215）。同時 Check Point 發(fā)布安全預警 CPAI-2017-1016，但預警中不包含漏洞細節(jié)。華為在第一時間啟動了分析調查。目前已經(jīng)確認該漏洞存在。認證后的攻擊者可以向設備37215端口發(fā)送惡意報文發(fā)起攻擊，成功利用漏洞可以遠程執(zhí)行任意代碼。

客戶可以通過如下措施規(guī)避或預防該漏洞的攻擊，詳情請向當?shù)胤仗峁┥袒蛉A為TAC咨詢：

 （1） 配置設備內置防火墻功能

 （2） 修改默認口令

 （3） 運營商端部署防火墻

客戶可以部署華為NGFW(下一代防火墻)或者數(shù)據(jù)中心防火墻產(chǎn)品，并升級  IPS  特征庫至 2017 年 12 月 1 日發(fā)布的最新版本(IPS_H20011000_2017120100)以檢測和防護來自于網(wǎng)絡層面的該漏洞攻擊。

華為一直按照行業(yè)慣例進行著生命周期管理，并已經(jīng)建立了生命周期管理體系，明確了產(chǎn)品生命周期策略及產(chǎn)品終止策略。對于非全面停止服務產(chǎn)品華為已經(jīng)與客戶進行溝通，并根據(jù)客戶意見提供解決版本；對于全面停止服務產(chǎn)品華為建議用戶采用規(guī)避措施來規(guī)避或預防該問題，或者使用較新型號的產(chǎn)品進行替換。

相關的調查工作正在持續(xù)進行，華為 PSIRT 會隨時更新安全通告，請持續(xù)關注針對此漏洞的安全公告。

“中關村在線”的一篇報道則稱，這些被 Satori 控制的路由器由兩個最大的運營商為客戶提供，通過運營商可以快速定位并修復設備的漏洞。

作者露出馬腳

Satori 是有過抵抗的。

據(jù) Bleeping Computer 報道，過去一周內，眾多 ISP 和網(wǎng)絡安全公司對該僵尸網(wǎng)絡進行了干預，并拿下了 Satori 僵尸網(wǎng)絡所需的 C＆C服務器。這些服務器被拿下后，僵尸網(wǎng)絡數(shù)量瞬間消失了50 萬到 70 萬臺。

但對方?jīng)]有放棄反抗。在上述服務器被拿下后，52869 和 37215 端口的掃描活動出現(xiàn)了巨大的峰值。最有可能的情況是，Satori 的作者正在想法設法掃描端口，尋找肉雞。

圖片來源：Bleepingcomputer，數(shù)據(jù)來源：360 網(wǎng)絡安全研究院

在11月21日 Check Point 的博文中，Check Point 的研究人員透露了 Satori 僵尸網(wǎng)絡作者的身份 ——Nexus Zeta。

研究人員表示，他們已經(jīng)追蹤到他，因為該作者注冊 Satori 基礎架構中使用的域名有一個電子郵件地址，這個郵件地址與最流行的黑客論壇之一 HackForums 的一個帳號高度關聯(lián)。

Check Point說：“雖然他在這樣的論壇上不太活躍，但他露出了馬腳?！?/p>

在 Satori 活動被發(fā)現(xiàn)的前一天，也就是 11 月 22 日，一個論壇帖子顯示，Nexus Zeta 在尋求幫助，想建立一個 Mirai 僵尸網(wǎng)絡（編者敲黑板：Satori 是 Mirai 的變種）。

但是，據(jù) Bleeping Computer  稱，在過去幾個星期里，Satori 沒有被認定與任何主要的 DDoS 攻擊的來源相關。

李豐沛認為，Bleeping Computer  的觀點限定在“最近 + 主要攻擊”，這與他們監(jiān)測到的情況是一致的。但是，如果再向前溯源，情況可能就不一樣了。

360 網(wǎng)絡安全研究院的上述博文曾指出：“我們還懷疑本次攻擊與 2017 年 8 月發(fā)生在中國的另一次 IoT 物聯(lián)網(wǎng)相關的攻擊有關系，也許后續(xù)我們會發(fā)布另外一篇 blog 詳細闡述?！?/span>

更可怕的是，Satori  的故事還遠未結束，我們還得憂心其他的僵尸網(wǎng)絡與攻擊。

李豐沛對雷鋒網(wǎng)說，由于Mirai 的源碼已經(jīng)在網(wǎng)上公開，改造 Mirai ，以其變種身份形式出現(xiàn)，構造巨大的僵尸網(wǎng)絡早已不是難事。而且，攻擊者完全可以一被發(fā)現(xiàn)一個域名就更換新的，身份十分隱秘。

“美國東部大斷網(wǎng)”式的噩夢復制并不遙遠。

參考來源：黑客視界、中關村在線、BleepingComputer等。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。