僵尸网络Mirai最新变种Satori : 利用0day“绑架”华为家用路由器HG532-华盟网

僵尸网络Mirai最新变种Satori : 利用0day“绑架”华为家用路由器HG532

华盟学院山东省第二期线下学习计划

时隔多日,2016 年 10 月开始活跃的 Mirai 僵尸网络创始人即便已经锒铛入狱,最近可能又将占据头条。之前在12月初 FreeBuf 就已经在关注其最新的变种Satori(觉醒)的“凌空出世”——Satori(觉醒)新僵尸网络出现,在过去的12个小时内已经激活超过28万个不同的IP,而这两天对该事件的后续报道也正在进行。

Check Point 安全研究人员在过去半个月内仔细观察了这次僵尸网络的感染过程,也观察到一些有趣的活动。这次的 Satori(觉醒),感染IoT的速度非常快,在极短的时间内就达到了数以万计的感染数量。研究人员认为名为 “Nexus Zeta” 的黑客创造了这次的 Mirai 变种 Satori 。

屏幕快照 2017-12-25 上午11.00.21.png

Satori 僵尸网络利用了华为家用路由器的 0day 漏洞

大约在11月23日,Satori 引起人们的注意,开始被追踪时候,它的名字是Mirai Okiru。但和 Mirai 不同的是,它不依赖 Telent 暴力攻击,而是使用 EXP 对漏洞进行利用。更确切地说,它主要扫描了 52869 端口使用 CVE-2014-8361(影响Realtek,D-Link和其他设备的UPnP攻击)以及37215端口的未知漏洞进行攻击。

现在研究人员才逐渐发现这个当时“未知”漏洞实际上是一个影响华为路由器的 0day 漏洞CVE-2017-17215。在接到通报的一周之后,华为才发布更新以及公告来提醒用户这个漏洞的威胁。

在 12 月 5 日的时候,它迅速激活了 28 万个不同的IP,显示了它的威力。僵尸网络主要出现在阿根廷地区。而在此后的一段时间内,僵尸网络开始大量感染位于埃及,土耳其,乌克兰,委内瑞拉和秘鲁的互联网服务提供商的设备中。

屏幕快照 2017-12-25 上午11.51.32.png

Satori 僵尸网络 C&C服务器已被取缔

在过去的几个周末里,通过各家 ISP 以及网络安全公司的协力合作,Satori 僵尸网络的C&C 服务器已经得到取消。简单估算来看,已经被取消的僵尸网络数量达到 50 万到 70 万左右。

但就在 C&C 服务器被下架的片刻之后,Satori 僵尸网络针对两个端口的扫描行动却突然达到峰值!按照外媒获取的信息来看,这个现象出现的原因很可能是 Satori 作者 Nexus Zeta 开始扫描并寻找全新的 Satori 实例点。

Satori-port-scans.png

隐藏在 Satori 背后的“脚本小子”?

12月22日,Check Point的研究人员公开了Satori 僵尸网络作者的身份——一名为 Nexus Zeta 的黑客。

研究人员表示,他们已经追踪到了他的踪迹——通过他注册的 Satori 域名发现了他使用的电子邮件地址。而这个电子邮件地址也用在了 HackForums 论坛上,这是一个臭名昭著的的黑客会议场所。

尽管他在这样的论坛上并不活跃,但从他的发言来看可能并非专业黑客。——Check Point 研究员表示

11月22日,Satori爆发的前一天,从他发布的一则帖子上可以看到,他正在论坛上寻求如何搭建 Mirai 僵尸网络的相关帮助。

Satori-forum-post.png

大家好,我正在寻找能帮助我编译mirai 僵尸网络的人,我听说你们有每秒访问 1T 的权限,是否可以帮我呢?

那么问题就来了,作者 Nexus Beta 是否是自己发现了华为的 0day 漏洞?下一阶段的 Satori 还会卷土重来吗?目前我们还不得而知。


参考来源

http://www.securityweek.com/mirai-variant-satori-targets-huawei-routers

https://thehackernews.com/2017/12/satori-mirai-iot-botnet.html?m=1

http://securityaffairs.co/wordpress/67040/malware/satori-botnet-mirai-variant.html

www.idc126.com

*本文作者Elaine,转载请注明FreeBuf.COM

本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论