還記得大明湖畔的Mirai嗎？就是造成美國東部大斷網(wǎng)的“初代”僵尸網(wǎng)絡(luò)。

這位明星級別的僵尸網(wǎng)絡(luò)當(dāng)時可是賺足了眼球，2016 年 10 月 21日，其對美國互聯(lián)網(wǎng)域名解析服務(wù)商 DYN 發(fā)起 DDoS 攻擊，而 DYN 服務(wù)器被攻擊導(dǎo)致 Twitter、亞馬遜、華爾街日報等數(shù)百個重要網(wǎng)站無法訪問，美國主要公共服務(wù)、社交平臺、民眾網(wǎng)絡(luò)服務(wù)癱瘓。

而直到一年后，2017 年 12 月 13 日晚，在美國的阿拉斯加法庭上，這起引人注目的網(wǎng)絡(luò)安全事件終于塵埃落定，三個美國年輕人承認(rèn)造成“美國斷網(wǎng)事件”的 Mirai 僵尸網(wǎng)絡(luò)工具是他們開發(fā)的。

事后 FBI 還特意發(fā)推特感謝了一票幫忙尋找犯罪者的安全公司。

但 Mirai 僵尸網(wǎng)絡(luò)開了個壞頭，隨之而來其他針對物聯(lián)網(wǎng)設(shè)備的僵尸網(wǎng)絡(luò)所造成的影響也如同傾斜的多米諾骨牌，愈演愈烈。

這里就不得不提到另一位明星選手 Satori 僵尸網(wǎng)絡(luò)了。其一經(jīng)出現(xiàn)就在短短 12 小時內(nèi)感染了超過 28 萬個 IP 地址，利用最新發(fā)現(xiàn)的零日漏洞控制了數(shù)十萬臺家庭路由器，速度比 Mirai  快了不止一點點。

這大炮級別的威力讓各路人馬吃了一雞，眾多 ISP 和網(wǎng)絡(luò)安全公司紛紛祭出“天馬流星拳”一錘錘向 Satori 僵尸網(wǎng)絡(luò)的 C＆C服務(wù)器，滅了 50 多萬臺僵尸網(wǎng)絡(luò)。逼得對方設(shè)法掃描端口，尋找肉雞。

就在安全公司松了一口氣時候，Satori 又出幺蛾子了。

有黑客將 Satori 的惡意軟件的代碼公布在 Pastebin 上，意味著想搞事情的黑客只要復(fù)制粘貼一下就可以讓惡意軟件運行，進(jìn)一步擴(kuò)大感染和攻擊范圍。

而且在12月份，安全人員分析 Brickerbot 惡意軟件源代碼的片段時，發(fā)現(xiàn)了和 Satori 代碼相同之處。可以證明 Satori 的代碼已經(jīng)開始在黑客內(nèi)部流傳。

一周后，1 月 17 日下午 360 團(tuán)隊在 Twitter 的 blog 中更新了一篇文章，稱他們發(fā)現(xiàn) Satori 變種正在通過替換錢包地址盜取 ETH 數(shù)字代幣。

據(jù)雷鋒網(wǎng)了解，博客中提到，從 2018年1月8日開始，360 安全團(tuán)隊開始檢測到 Satori 的后繼變種正在端口 37215 和 52869 上重新建立整個僵尸網(wǎng)絡(luò)。新變種開始滲透互聯(lián)網(wǎng)上現(xiàn)存其他 Claymore Miner 挖礦設(shè)備，通過攻擊其 3333 管理端口，替換錢包地址，并最終攫取受害挖礦設(shè)備的算力和對應(yīng)的 ETH 代幣。于是他們將這個變種命名為 Satori.Coin.Robber。

黑別人機(jī)器用來挖礦的，常見，黑挖礦設(shè)備進(jìn)去換個錢包地址的，不多見。

截止 2018-01-16 17:00 ，礦池的付費記錄顯示：

Satori.Coin.Robber 當(dāng)前正在持續(xù)挖礦，最后一次更新大約在5分鐘之前；

Satori.Coin.Robber 過去2天內(nèi)平均算力大約是 1606 MH/s；賬戶在過去24小時累積收入 0.1733 個ETH代幣；

Satori.Coin.Robber 已經(jīng)在2017年1月11日14時拿到了礦池付出的第一個 ETH 代幣，另有 0.76 個代幣在賬戶上；

值得一提的是，Satori.Coin.Robber 的作者通過下面這段話宣稱自己當(dāng)前的代碼沒有惡意，并且留下了一個電子郵箱地址：

中文大意是“我是Satori的作者，現(xiàn)在這個 bot 還沒有什么惡意的代碼，所以暫時放輕松。聯(lián)系我的話，郵件寫給curtain@riseup.net?！?/p>

蛤？Satori 作者竟然自曝了郵件地址？

有趣的是，在這篇博文發(fā)布后，推特上某疑似 Satori 作者的人發(fā)了一條推文艾特 360 團(tuán)隊，大意是說，看看你們做的好事，暴露了我的 email 地址，現(xiàn)在老哥我被記者追著問問題。

并且還附上了一張圖片，上面顯示有三封郵件都來自媒體。其中一封郵件標(biāo)題十分直接：一個馬上要到截稿大限的記者想要問點關(guān)于Satori的問題。

360 團(tuán)隊也迅速給出了回應(yīng)，表達(dá)大意是終于等到你，還好我沒放棄，這位作者還愿意share一些細(xì)節(jié)嗎？

不說了，雷鋒網(wǎng)編輯也去發(fā)郵件了，至于這位小哥回不回那就是未知了。

雷鋒網(wǎng)相關(guān)文章：

巨大僵尸網(wǎng)絡(luò) Satori 沖著中國某品牌路由器而來，作者身份被披露

“美國斷網(wǎng)”案件告破，F(xiàn)BI致謝中國安全企業(yè)

巨大僵尸網(wǎng)絡(luò) Satori 沖著中國某品牌路由器而來，作者身份被披露

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。