新闻快讯
< >

Satori(觉醒)新僵尸网络来袭,过去12小时已经激活超过28万个不同的IP

Satori(觉醒)新僵尸网络来袭,过去12小时已经激活超过28万个不同的IP -E安全

在本月5日,奇虎360网络安全研究院(Netlab)发出警报,一个名为Satori的新型僵尸网络正在迅速组建,在不到12个小时里已经在超过28万个唯一IP上被激活。

研究人员怀疑,Satori是Mirai的一个新变种。因为,Satori与之前的Mirai共享文件名和静态特征以及一些C2协议。不过,Satori也与之前的Mirai之间存在两个显著的区别:

  • 传播方式不同-之前的Mirai在感染物联网设备后,会下载一个Telnet扫描器组件,试图通过扫描来找出易受攻击的设备,并使用Mirai 木马程序进行感染;Satori则并不使用扫描器组件,而是利用两个嵌入式漏洞,企图感染连接到端口37215和52869上的远程设备。这使得Satori成为物联网蠕虫,无需其他组件即可自行传播。

  • 目标设备不同-之前的Mirai主要通过扫描2323和23端口来寻找易受攻击的设备;Satori的目标是连接到37215和52869端口上且存在两个已知漏洞中任意一个,但并未进行修复的设备。

根据Netlab监测到的数据,在12个小时里,有263250个唯一IP扫描了37215端口、19403个唯一IP扫描了52869端口。从数据可以看出,连接到37215端口的设备成为了主要攻击目标。

Satori(觉醒)新僵尸网络来袭,过去12小时已经激活超过28万个不同的IP -E安全

Netlab的研究人员认为连接到37215端口的设备可能存在一个尚未完全披露的零日漏洞。美国电信运营商CenturyLink的首席安全策略师Dale Drew在接受美国知名科技博客媒体ArsTechnica的采访时对Netlab研究人员的观点表示赞同,并表示,这个漏洞来自华为HG532路由器,一个远程代码执行漏洞。它由网络安全公司Check Point在11月27日发现,但并没有太多细节被透露。

另一位安全研究人员使用Shodan对可能存在此漏洞的设备进行了搜索,搜索结果显示,在整个互联网中,此类易受攻击的设备有超过22.5台。

Satori(觉醒)新僵尸网络来袭,过去12小时已经激活超过28万个不同的IP -E安全

至于另一个漏洞,在52869端口上,这是针对Realtek设备的一个已知漏洞(CVE-2014-8361)。因为,这个漏洞在很早之前就已经被披露,所以,很多设备都已经进行过修补。这也就是为什么针对此端口的扫描数量会明显少于37215端口。