Satori僵尸网络已经突然来袭,拥有超过280,000台活跃的bot

  • Satori僵尸网络已经突然来袭,拥有超过280,000台活跃的bot已关闭评论
  • 274 views
  • A+
所属分类:安全资讯

Satori僵尸网络已经突然来袭,拥有超过280,000台活跃的bot

安全研究人员正在对一个名叫Satori的新僵尸网络发出预警,这个僵尸网络在过去的12个小时内已经在超过28万个不同的IP上被感染。

“Satori” - 日语中的“觉醒” - 其实并不是什么新病毒,而是臭名昭着的Mirai IoT DDoS恶意软件的变种。

奇虎360 Netlab的安全研究员李凤培表示,今天的Satori变种已经突飞猛进,并开始扫描37215和52869的端口。

Satori变种与以前的Mirai版本不同

根据Li今天与Bleeping Computer分享的报告,Mirai Satori变种与以前所有的纯Mirai变体完全不同。

之前的Mirai版本感染了IoT设备,然后下载了一个Telnet扫描器组件,试图找到其他受害者并使用Mirai bot进行感染。

Satori变种不使用扫描仪,还会用两个嵌入式漏洞,将尝试连接到端口37215和52869上的远程控制设备。

实际上,这使得Satori成为物联网蠕虫,无需单独的组件即可自行传播。

神秘的华为漏洞(0Day?

Li说,Netlab基础设施收集的遥测数据显示,在过去的12个小时内,有263,250个不同的IP扫描端口37215 有19,403个IP扫描端口52869。在过去的半天里, 超过28万Bot。

Satori僵尸网络已经突然来袭,拥有超过280,000台活跃的bot

达到这个庞大规模的僵尸网络是值得注意的。Satori的成功在很大程度上是由于它在37215端口上的利用。根据李的描述,这似乎是一个零日。

“37215号港口尚未完全披露,我们的团队在最近几天一直在跟踪这个问题,并有相当的见解,但我们不会讨论这个问题。

宽带互联网服务提供商CenturyLink的首席安全策略师Dale Drew 今天早些时候在接受ArsTechnica采访时表示,他认为这个僵尸网络在华为家庭网关路由器中滥用了零日时间,这是Check Point在11月底发现的一个远程代码执行漏洞,关于哪些细节是可用的。

安全研究人员与Bleeping Computer分享了关于可能的利用的细节,Shodan搜索受影响的设备可获得超过225,000个在线的设备。

Satori僵尸网络已经突然来袭,拥有超过280,000台活跃的bot

至于另一个漏洞,在端口52869上,这是针对Realtek设备(CVE-2014-8361)中的一个已知和旧的漏洞,一个最有可能在某些设备上进行修补的漏洞,因此扫描此漏洞的原因不太成功。

Satori与之前的Mirai僵尸网络有联系

李还指出,有线索将僵尸网络与Mirai Satori变种与Netlab上个月发现的另一个基于Mirai的僵尸网络联系在一起,其中大多数位于阿根廷的僵尸网络达到了10万个。

目前还不清楚同一个人是否同时运行这两个僵尸网络,但是Li说目前的Mirai Satori变种和以前基于Mirai的变种共享文件名和静态特征以及一些C2协议。

一名安全研究人员今天告诉Bleeping Computer,他们也相信两个僵尸网络是相关的,Satori从上个月的Mirai变种发展而来。

现在,安全研究人员仍在收集有关这一新的威胁信息,但公开的蜜罐的数据证实Netlab的报告[ 1234 ]。

本文翻译自bleepingcomputer ,转载请注明来自404安全