Satori僵尸网络与它的幕后黑手——所谓的“脚本小子”究竟是谁?
2021/4/19 11:00:17
本文主要是介绍Satori僵尸网络与它的幕后黑手——所谓的“脚本小子”究竟是谁?,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
Satori僵尸网络与它的幕后黑手——所谓的“脚本小子”究竟是谁?
小二郎 嘶吼专业版
提到“脚本小子”你会想到什么?想到那些以“***”自居并沾沾自喜的初学者?但是,本月初爆发的Satori僵尸网络背后的创建者——所谓的“脚本小子”却着实吓坏了安全研究人员,因为该僵尸网络迅速扩张的能力丝毫不亚于Mirai僵尸网络,短短12个小时内就成功激活了超过28万个不同的IP,影响了数十万台路由器设备。
研究人员表示,Satori僵尸网络的创建者是一位名为“Nexus Zeta”的***,该僵尸网络是2016年10月在线发布的Mirai物联网恶意软件的一个新变体。
Satori僵尸网络使用华为零日漏洞
据悉,Satori这个名字来源于日语“觉醒”,它是之前Mirai IoT僵尸网络的变种。Satori僵尸网络可以自行迅速传播,令其本质变成了物联网蠕虫病毒。与之前的Mirai版本不同,Satori不是使用扫描器来搜索易被***的路由器,而是使用两个端口37215和52869的漏洞,来发动***。
其中,52869端口存在一个影响Realtek、D-Link和其他设备的UPnP漏洞——CVE-2014-8361,而连接到37215端口的设备则存在一个(当时)尚未完全披露的零日漏洞。美国电信运营商CenturyLink的首席安全策略师Dale Drew表示,这个零日漏洞是来自华为HG532路由器,一个远程代码执行漏洞(CVE-2017-17215)。它由网络安全公司Check Point在11月27日率先发现的,但并没有太多细节被透露。
12月6日,嘶吼平台已经对Satori僵尸网络的具体情况进行了详细报道,当时,该僵尸网络已经成功感染了28万“肉鸡”,绝大多数位于阿根廷。之后,该僵尸网络又开始对位于埃及、土耳其、乌克兰、委内瑞拉以及秘鲁的互联网服务提供商展开了更为激烈的感染活动。
Satori僵尸网络C&C服务器已被撤下
据业内相关人士透露,在过去几天里,来自众多ISP和网络安全公司的代表开始对该僵尸网络的活动进行了干预,并顺利撤下了该僵尸网络主要的C&C服务器。据粗略估计,当时被撤下的僵尸网络数量大约在50万-70万之间。
根据奇虎360网络安全研究院(Netlab)研究人员提供的数据显示,Satori僵尸网络C&C服务器被撤下后,针对52869和37215端口的扫描活动随即出现了巨大的峰值,最有可能的解释是,该僵尸网络的创建者Nexus Zeta希望为另一个Satori实例扫描和发掘更多的“肉鸡”(也就是僵尸网络的bot)。
Satori僵尸网络背后的“脚本小子”
在近日发布的报告中,Check Point的研究人员透露了Satori僵尸网络创建者的身份——也就是上述的Nexus Zeta。
Check Point研究人员表示,他们已经追踪到了Nexus Zeta,因为他所注册的“用于Satori基础架构的”域名所使用的电子邮箱地址也被用于注册了HackForums(世界上最流行的***论坛之一)帐号。
Check Point在其报告中指出,
“虽然他在这样的***论坛上并不活跃,但是从其发布的几个帖子可以看出,他是一个不那么专业的威胁行为者。”
根据其11月22日(Satori活动被检测到之前的某一天)发布的一个帖子显示,Nexus Zeta正在寻求帮助建立Mirai僵尸网络(Satori是Mirai的变种)。
该帖子写道,
“你好,我正在寻找合作伙伴帮我一起编译mirai僵尸网络,你要做的就是编译它,让它能够达到每秒1太比特(Terabit,即1012bit),如果你可以请帮助我一起构建一个mirai tel-net僵尸网络。”
不过目前仍有两个问题没有得到答案,一个是“Satori僵尸网络还会卷土重来吗?”;第二个是“Nexus Beta是自己挖掘出了复杂的华为零日漏洞,还是从别处购买的?”。
不同于11月份发现的另一个Mirai僵尸网络
好消息是,在过去几个星期里,Satori没有被认定为任何主要DDoS***活动的来源。此外,安全专家还表示,我们不应该把Satori(Mirai Okiru)僵尸网络与另一个Mirai僵尸网络(上月发布的,基于Mirai Akuma的变体)混淆起来。
上个月,安全专家发现约10万IP在不到三天时间疯狂扫描存在漏洞的ZyXEL(合勤) PK5001Z路由器,断定新型Mirai变种正在快速传播。
据悉,该Mirai僵尸网络是借助了发布在公共漏洞数据库中的PoC漏洞利用代码(该PoC代码发布时间为10月31日),并触发了ZyXEL PK5001Z路由器中的漏洞——CVE-2016-10401(2016年1月被公开)。ZyXEL PK5001Z路由器使用的硬编超级用户密码(zyad5001)能用来提权至Root权限。
这篇关于Satori僵尸网络与它的幕后黑手——所谓的“脚本小子”究竟是谁?的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-11-23Springboot应用的多环境打包入门
- 2024-11-23Springboot应用的生产发布入门教程
- 2024-11-23Python编程入门指南
- 2024-11-23Java创业入门:从零开始的编程之旅
- 2024-11-23Java创业入门:新手必读的Java编程与创业指南
- 2024-11-23Java对接阿里云智能语音服务入门详解
- 2024-11-23Java对接阿里云智能语音服务入门教程
- 2024-11-23JAVA对接阿里云智能语音服务入门教程
- 2024-11-23Java副业入门:初学者的简单教程
- 2024-11-23JAVA副业入门:初学者的实战指南