僵尸网络Mirai最新变种Satori : 利用0day“绑架”华为家用路由器HG532

时隔多日，2016 年 10 月开始活跃的 Mirai 僵尸网络创始人即便已经锒铛入狱，最近可能又将占据头条。之前在12月初 FreeBuf 就已经在关注其最新的变种Satori（觉醒）的“凌空出世”——Satori（觉醒）新僵尸网络出现，在过去的12个小时内已经激活超过28万个不同的IP，而这两天对该事件的后续报道也正在进行。

Check Point 安全研究人员在过去半个月内仔细观察了这次僵尸网络的感染过程，也观察到一些有趣的活动。这次的 Satori（觉醒），感染IoT的速度非常快，在极短的时间内就达到了数以万计的感染数量。研究人员认为名为 “Nexus Zeta” 的黑客创造了这次的 Mirai 变种 Satori 。

Satori 僵尸网络利用了华为家用路由器的 0day 漏洞

大约在11月23日，Satori 引起人们的注意，开始被追踪时候，它的名字是Mirai Okiru。但和 Mirai 不同的是，它不依赖 Telent 暴力攻击，而是使用 EXP 对漏洞进行利用。更确切地说，它主要扫描了 52869 端口使用 CVE-2014-8361（影响Realtek，D-Link和其他设备的UPnP攻击）以及37215端口的未知漏洞进行攻击。

现在研究人员才逐渐发现这个当时“未知”漏洞实际上是一个影响华为路由器的 0day 漏洞CVE-2017-17215。在接到通报的一周之后，华为才发布更新以及公告来提醒用户这个漏洞的威胁。

在 12 月 5 日的时候，它迅速激活了 28 万个不同的IP，显示了它的威力。僵尸网络主要出现在阿根廷地区。而在此后的一段时间内，僵尸网络开始大量感染位于埃及，土耳其，乌克兰，委内瑞拉和秘鲁的互联网服务提供商的设备中。

Satori 僵尸网络 C&C服务器已被取缔

在过去的几个周末里，通过各家 ISP 以及网络安全公司的协力合作，Satori 僵尸网络的C&C 服务器已经得到取消。简单估算来看，已经被取消的僵尸网络数量达到 50 万到 70 万左右。

但就在 C&C 服务器被下架的片刻之后，Satori 僵尸网络针对两个端口的扫描行动却突然达到峰值！按照外媒获取的信息来看，这个现象出现的原因很可能是 Satori 作者 Nexus Zeta 开始扫描并寻找全新的 Satori 实例点。

隐藏在 Satori 背后的“脚本小子”？

12月22日，Check Point的研究人员公开了Satori 僵尸网络作者的身份——一名为 Nexus Zeta 的黑客。

研究人员表示，他们已经追踪到了他的踪迹——通过他注册的 Satori 域名发现了他使用的电子邮件地址。而这个电子邮件地址也用在了 HackForums 论坛上，这是一个臭名昭著的的黑客会议场所。

尽管他在这样的论坛上并不活跃，但从他的发言来看可能并非专业黑客。——Check Point 研究员表示

11月22日，Satori爆发的前一天，从他发布的一则帖子上可以看到，他正在论坛上寻求如何搭建 Mirai 僵尸网络的相关帮助。

大家好，我正在寻找能帮助我编译mirai 僵尸网络的人，我听说你们有每秒访问 1T 的权限，是否可以帮我呢？

那么问题就来了，作者 Nexus Beta 是否是自己发现了华为的 0day 漏洞？下一阶段的 Satori 还会卷土重来吗？目前我们还不得而知。

参考来源

http://www.securityweek.com/mirai-variant-satori-targets-huawei-routers

https://thehackernews.com/2017/12/satori-mirai-iot-botnet.html?m=1

http://securityaffairs.co/wordpress/67040/malware/satori-botnet-mirai-variant.html

*本文作者Elaine，转载请注明FreeBuf.COM