曾造成美國東部大斷網(wǎng)的 Mirai 僵尸網(wǎng)絡(luò)開了個壞頭，之后被安全研究員們監(jiān)測到的大型僵尸網(wǎng)絡(luò)都比 Mirai 的“僵尸軍隊”要大得多。

360 網(wǎng)絡(luò)安全研究院安全研究員李豐沛曾和團隊發(fā)布了關(guān)于 Mirai 的多項深度監(jiān)測報告，為后來  Mirai 背后元兇落網(wǎng)貢獻了一份力量，最近引起他們極大關(guān)注的是一個名叫“ Satori”的僵尸網(wǎng)絡(luò)。

Satori 已經(jīng)在短短 12小時內(nèi)感染了超過 28 萬個 IP 地址，利用最新發(fā)現(xiàn)的零日漏洞控制了數(shù)十萬臺家庭路由器，速度比 Mirai  快了不止一點點——如果把 Mirai  的威力比做一把槍，那么Satori 就是大炮。只是，這臺“大炮”目前像定時炸彈一樣，還沒有發(fā)威。

Satori 比“Mirai”更可怕

Satori 剛開始是以 Mirai Okiru 的名義被追蹤的，在 11 月 23 日左右現(xiàn)出蹤跡。多家安全公司稱，Satori 的絕大多數(shù)“肉雞”位于阿根廷。此后，該僵尸網(wǎng)絡(luò)朝埃及、土耳其、烏克蘭、委內(nèi)瑞拉和秘魯開始肆虐。

360網(wǎng)絡(luò)安全研究院、Fortinet 和 Check Point 分別在12月5日、12月12日和12月21日在各自的博客上發(fā)布了關(guān)于 Satori 的研究發(fā)現(xiàn)（注：360網(wǎng)絡(luò)安全研究院還在11月24日發(fā)布了一篇與此相關(guān)的安全預(yù)警《安全威脅早期預(yù)警：新的mirai僵尸網(wǎng)絡(luò)變種正在端口23和2323上積極傳播》，而 Check Point 的博文指出，他們在11 月23日發(fā)現(xiàn)了此事。）。

在12月5日這篇《安全威脅預(yù)警：Mirai 變種 Satori 正在端口 37215 和 52869 上類似蠕蟲式傳播》博文中，360網(wǎng)絡(luò)安全研究院稱：“在我們之前的 blog 中，我們提及有大約10萬個來自阿根廷的獨立掃描IP正在掃描端口 2323 和23，并且確定這是一個新的 Mirai變種。在過去的幾天中，掃描行為變得愈發(fā)嚴重，更多的國家出現(xiàn)在我們的ScanMon平臺上。仔細分析后我們看到了更多的部分，意識到之前2323/23端口上的掃描還只是巨大拼圖的一小部分?！?/strong>

可以這樣說，Satori 本質(zhì)與蠕蟲病毒相似，并且源代碼源于 Mirai，是 Mirai 的升級變種，但 Satori 比 Mirai 要“毒”多了。

1.Mirai 在感染物聯(lián)網(wǎng)設(shè)備后，會進一步試圖通過 telnet 掃描來找出易受攻擊的設(shè)備，并使用 Mirai 木馬程序進行感染，Satori不使用掃描器組件，而是利用兩個嵌入式漏洞，來感染連接到端口37215和52869上的遠程設(shè)備。這意味著，Satori 近似于物聯(lián)網(wǎng)蠕蟲，無需其他組件即可自行傳播。

2.Mirai 主要通過掃描 2323 和 23 端口來尋找易受攻擊的設(shè)備，Satori 是連接到 37215 和 52869 端口上且存在兩個已知漏洞中任意一個，但并未進行修復(fù)的設(shè)備。

很可怕的是，其中一個漏洞后來被認證為 0day（現(xiàn)已有修復(fù)建議）。

Satori 是沖著華為路由器來的

李豐沛告訴雷鋒網(wǎng)，此前大家關(guān)注點在攝像頭上，其實，現(xiàn)在路由器已經(jīng)超過了攝像頭，成為了“第一肉雞”。

Checkpoint 和 Fortinet 則直接點名，稱這次的 Satori 是奔著華為路由器來的。而且，上述那個0day 就存在于華為某款路由器上。

雷鋒網(wǎng)注意到，華為于11月30日發(fā)布了一則安全公告《關(guān)于HG532產(chǎn)品存在遠程代碼執(zhí)行安全漏洞的聲明》（12月22日進行了更新），承認了華為某款安全路由器漏洞的存在，并提出了修復(fù)建議。

2017年 11 月 27 日，華為接收到 Check Point 軟件技術(shù)研究部門的通知，華為 HG532 產(chǎn)品存在遠程代碼執(zhí)行的安全漏洞（CVE-2017-17215）。同時 Check Point 發(fā)布安全預(yù)警 CPAI-2017-1016，但預(yù)警中不包含漏洞細節(jié)。華為在第一時間啟動了分析調(diào)查。目前已經(jīng)確認該漏洞存在。認證后的攻擊者可以向設(shè)備37215端口發(fā)送惡意報文發(fā)起攻擊，成功利用漏洞可以遠程執(zhí)行任意代碼。

客戶可以通過如下措施規(guī)避或預(yù)防該漏洞的攻擊，詳情請向當?shù)胤?wù)提供商或華為TAC咨詢：

 （1） 配置設(shè)備內(nèi)置防火墻功能

 （2） 修改默認口令

 （3） 運營商端部署防火墻

客戶可以部署華為NGFW(下一代防火墻)或者數(shù)據(jù)中心防火墻產(chǎn)品，并升級  IPS  特征庫至 2017 年 12 月 1 日發(fā)布的最新版本(IPS_H20011000_2017120100)以檢測和防護來自于網(wǎng)絡(luò)層面的該漏洞攻擊。

華為一直按照行業(yè)慣例進行著生命周期管理，并已經(jīng)建立了生命周期管理體系，明確了產(chǎn)品生命周期策略及產(chǎn)品終止策略。對于非全面停止服務(wù)產(chǎn)品華為已經(jīng)與客戶進行溝通，并根據(jù)客戶意見提供解決版本；對于全面停止服務(wù)產(chǎn)品華為建議用戶采用規(guī)避措施來規(guī)避或預(yù)防該問題，或者使用較新型號的產(chǎn)品進行替換。

相關(guān)的調(diào)查工作正在持續(xù)進行，華為 PSIRT 會隨時更新安全通告，請持續(xù)關(guān)注針對此漏洞的安全公告。

“中關(guān)村在線”的一篇報道則稱，這些被 Satori 控制的路由器由兩個最大的運營商為客戶提供，通過運營商可以快速定位并修復(fù)設(shè)備的漏洞。

作者露出馬腳

Satori 是有過抵抗的。

據(jù) Bleeping Computer 報道，過去一周內(nèi)，眾多 ISP 和網(wǎng)絡(luò)安全公司對該僵尸網(wǎng)絡(luò)進行了干預(yù)，并拿下了 Satori 僵尸網(wǎng)絡(luò)所需的 C＆C服務(wù)器。這些服務(wù)器被拿下后，僵尸網(wǎng)絡(luò)數(shù)量瞬間消失了50 萬到 70 萬臺。

但對方?jīng)]有放棄反抗。在上述服務(wù)器被拿下后，52869 和 37215 端口的掃描活動出現(xiàn)了巨大的峰值。最有可能的情況是，Satori 的作者正在想法設(shè)法掃描端口，尋找肉雞。

圖片來源：Bleepingcomputer，數(shù)據(jù)來源：360 網(wǎng)絡(luò)安全研究院

在11月21日 Check Point 的博文中，Check Point 的研究人員透露了 Satori 僵尸網(wǎng)絡(luò)作者的身份 ——Nexus Zeta。

研究人員表示，他們已經(jīng)追蹤到他，因為該作者注冊 Satori 基礎(chǔ)架構(gòu)中使用的域名有一個電子郵件地址，這個郵件地址與最流行的黑客論壇之一 HackForums 的一個帳號高度關(guān)聯(lián)。

Check Point說：“雖然他在這樣的論壇上不太活躍，但他露出了馬腳。”

在 Satori 活動被發(fā)現(xiàn)的前一天，也就是 11 月 22 日，一個論壇帖子顯示，Nexus Zeta 在尋求幫助，想建立一個 Mirai 僵尸網(wǎng)絡(luò)（編者敲黑板：Satori 是 Mirai 的變種）。

但是，據(jù) Bleeping Computer  稱，在過去幾個星期里，Satori 沒有被認定與任何主要的 DDoS 攻擊的來源相關(guān)。

李豐沛認為，Bleeping Computer  的觀點限定在“最近 + 主要攻擊”，這與他們監(jiān)測到的情況是一致的。但是，如果再向前溯源，情況可能就不一樣了。

360 網(wǎng)絡(luò)安全研究院的上述博文曾指出：“我們還懷疑本次攻擊與 2017 年 8 月發(fā)生在中國的另一次 IoT 物聯(lián)網(wǎng)相關(guān)的攻擊有關(guān)系，也許后續(xù)我們會發(fā)布另外一篇 blog 詳細闡述?！?/span>

更可怕的是，Satori  的故事還遠未結(jié)束，我們還得憂心其他的僵尸網(wǎng)絡(luò)與攻擊。

李豐沛對雷鋒網(wǎng)說，由于Mirai 的源碼已經(jīng)在網(wǎng)上公開，改造 Mirai ，以其變種身份形式出現(xiàn)，構(gòu)造巨大的僵尸網(wǎng)絡(luò)早已不是難事。而且，攻擊者完全可以一被發(fā)現(xiàn)一個域名就更換新的，身份十分隱秘。

“美國東部大斷網(wǎng)”式的噩夢復(fù)制并不遙遠。

參考來源：黑客視界、中關(guān)村在線、BleepingComputer等。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。