Satori僵尸网络与它的幕后黑手——所谓的“脚本小子”究竟是谁?

Satori僵尸网络与它的幕后黑手——所谓的“脚本小子”究竟是谁?

小二郎 嘶吼专业版
Satori僵尸网络与它的幕后黑手——所谓的“脚本小子”究竟是谁?

提到“脚本小子”你会想到什么?想到那些以“***”自居并沾沾自喜的初学者?但是,本月初爆发的Satori僵尸网络背后的创建者——所谓的“脚本小子”却着实吓坏了安全研究人员,因为该僵尸网络迅速扩张的能力丝毫不亚于Mirai僵尸网络,短短12个小时内就成功激活了超过28万个不同的IP,影响了数十万台路由器设备。

研究人员表示,Satori僵尸网络的创建者是一位名为“Nexus Zeta”的***,该僵尸网络是2016年10月在线发布的Mirai物联网恶意软件的一个新变体。

Satori僵尸网络与它的幕后黑手——所谓的“脚本小子”究竟是谁?

Satori僵尸网络使用华为零日漏洞

据悉,Satori这个名字来源于日语“觉醒”,它是之前Mirai IoT僵尸网络的变种。Satori僵尸网络可以自行迅速传播,令其本质变成了物联网蠕虫病毒。与之前的Mirai版本不同,Satori不是使用扫描器来搜索易被***的路由器,而是使用两个端口37215和52869的漏洞,来发动***。

其中,52869端口存在一个影响Realtek、D-Link和其他设备的UPnP漏洞——CVE-2014-8361,而连接到37215端口的设备则存在一个(当时)尚未完全披露的零日漏洞。美国电信运营商CenturyLink的首席安全策略师Dale Drew表示,这个零日漏洞是来自华为HG532路由器,一个远程代码执行漏洞(CVE-2017-17215)。它由网络安全公司Check Point在11月27日率先发现的,但并没有太多细节被透露。

12月6日,嘶吼平台已经对Satori僵尸网络的具体情况进行了详细报道,当时,该僵尸网络已经成功感染了28万“肉鸡”,绝大多数位于阿根廷。之后,该僵尸网络又开始对位于埃及、土耳其、乌克兰、委内瑞拉以及秘鲁的互联网服务提供商展开了更为激烈的感染活动。

Satori僵尸网络与它的幕后黑手——所谓的“脚本小子”究竟是谁?

Satori僵尸网络C&C服务器已被撤下

据业内相关人士透露,在过去几天里,来自众多ISP和网络安全公司的代表开始对该僵尸网络的活动进行了干预,并顺利撤下了该僵尸网络主要的C&C服务器。据粗略估计,当时被撤下的僵尸网络数量大约在50万-70万之间。

根据奇虎360网络安全研究院(Netlab)研究人员提供的数据显示,Satori僵尸网络C&C服务器被撤下后,针对52869和37215端口的扫描活动随即出现了巨大的峰值,最有可能的解释是,该僵尸网络的创建者Nexus Zeta希望为另一个Satori实例扫描和发掘更多的“肉鸡”(也就是僵尸网络的bot)。

Satori僵尸网络与它的幕后黑手——所谓的“脚本小子”究竟是谁?

Satori僵尸网络与它的幕后黑手——所谓的“脚本小子”究竟是谁?

Satori僵尸网络背后的“脚本小子”

在近日发布的报告中,Check Point的研究人员透露了Satori僵尸网络创建者的身份——也就是上述的Nexus Zeta。

Check Point研究人员表示,他们已经追踪到了Nexus Zeta,因为他所注册的“用于Satori基础架构的”域名所使用的电子邮箱地址也被用于注册了HackForums(世界上最流行的***论坛之一)帐号。

Check Point在其报告中指出,

“虽然他在这样的***论坛上并不活跃,但是从其发布的几个帖子可以看出,他是一个不那么专业的威胁行为者。”

根据其11月22日(Satori活动被检测到之前的某一天)发布的一个帖子显示,Nexus Zeta正在寻求帮助建立Mirai僵尸网络(Satori是Mirai的变种)。

Satori僵尸网络与它的幕后黑手——所谓的“脚本小子”究竟是谁?

该帖子写道,

“你好,我正在寻找合作伙伴帮我一起编译mirai僵尸网络,你要做的就是编译它,让它能够达到每秒1太比特(Terabit,即1012bit),如果你可以请帮助我一起构建一个mirai tel-net僵尸网络。”

不过目前仍有两个问题没有得到答案,一个是“Satori僵尸网络还会卷土重来吗?”;第二个是“Nexus Beta是自己挖掘出了复杂的华为零日漏洞,还是从别处购买的?”。

Satori僵尸网络与它的幕后黑手——所谓的“脚本小子”究竟是谁?

不同于11月份发现的另一个Mirai僵尸网络

好消息是,在过去几个星期里,Satori没有被认定为任何主要DDoS***活动的来源。此外,安全专家还表示,我们不应该把Satori(Mirai Okiru)僵尸网络与另一个Mirai僵尸网络(上月发布的,基于Mirai Akuma的变体)混淆起来。

上个月,安全专家发现约10万IP在不到三天时间疯狂扫描存在漏洞的ZyXEL(合勤) PK5001Z路由器,断定新型Mirai变种正在快速传播。

据悉,该Mirai僵尸网络是借助了发布在公共漏洞数据库中的PoC漏洞利用代码(该PoC代码发布时间为10月31日),并触发了ZyXEL PK5001Z路由器中的漏洞——CVE-2016-10401(2016年1月被公开)。ZyXEL PK5001Z路由器使用的硬编超级用户密码(zyad5001)能用来提权至Root权限。

Satori僵尸网络与它的幕后黑手——所谓的“脚本小子”究竟是谁?

上一篇:Maven - 配置分发"远程"Maven仓库


下一篇:2.Nexus更新索引