殭屍永遠不死，Satori也拒絕凋零

兩天前，2018-06-14，我們注意到 Satori 的作者開始掃描收集 uc-httpd 1.0.0 設備的IP地址列表。這或許是為了針對4月公開的脆弱性 XiongMai uc-httpd 1.0.0 (CVE-2018-10088) 在做準備。這些掃描活動導致了近期在 80 和 8000 埠上的掃描流量大漲。

3小時前，就在我們撰寫本篇文章的同時，Satori 作者又發布了一個更新版本。這個更新是個蠕蟲，針對 D-Link DSL-2750B 設備，對應的漏洞利用在5月25日剛剛公開 。

殭屍永遠不死

Satori 是 Mirai 殭屍網路的一個變種，我們首次注意到該殭屍網路是 2017-11-22。一周之後，2017-12-05，Satori在12小時內感染了超過26萬家用路由器設備，成為臭名昭著的殭屍網路。從那以後我們不再使用「一個mirai殭屍網路變種」稱呼它，而是給予了它一個獨立的名字 Satori。以上這些記錄在我們的報告和報告中。

在那之後，安全社區採取了聯合行動。多家運營商在 Satori 的重點攻擊埠 37215 上採取了對抗措施。從事後看，這些措施有效抑制了 Satori 的擴張速度。但僅僅安全社區的這些披露和聯合行動似乎並不能阻止 Satori 作者的更新。

2018-01-08，我們檢測到 Satori 的後繼變種Satori.Coin.Robber 嘗試在埠37215和52869上重新建立整個殭屍網路。值得注意的是，新變種開始滲透互聯網上現存Claymore Miner挖礦設備，通過攻擊其3333 管理埠，替換錢包地址，並最終攫取受害挖礦設備的算力和對應的 ETH 代幣。這是我們第一次見到殭屍網路替換其他挖礦設備的錢包。我們在另一份報告中批露了 Satori 的這些活動。

2018-05-10，GPON 漏洞（CVE-2018-10561，CVE-2018-10562）公布以後不到 10 天，Satori 也加入搶奪 GPON 易感設備的行列。並且Satori在短短時間內就擠掉了其它競爭對手，成為 「GPON殭屍Party」 中投放能力最強的一個。這已經是我們關於Satori 的第四份 報告 。

現在這篇是我們關於Satori 的第五份報告。殭屍永遠不死，而且它們拒絕凋零。Satori的作者選擇留在了場上。

Satori 過去幾天里的活動更新

Satori 近期活動的核心樣本如下：

該樣本是由其它感染設備投入的，利用的漏洞是 GPON（ CVE-2018-10561），投入時的攻擊Payload 是：

在該樣本中：

信息收集和上報：掃描互聯網，尋找擁有 「uc-httpd 1.0.0」 設備指紋的IP地址，並將收集到的IP地址彙報至 r[.]rippr.cc:48101；

控制主機：95.215.62.169:5600 是其上聯主機。C2通信協議也與之前版本不同，但本文不做展開；

DDoS攻擊能力：集成四種 DDoS 攻擊向量 udp_flood，syn_flood，tcp_ack_flood，gre_flood；

在我們觀察的過程中，該分支已經至少發起過兩次DDoS攻擊，攻擊細節如下：

2018-06-13 21:09:00 前後：TCP_ACK_FLOOD->(144.217.47.56:25565)

2018-06-14 23:00:00 前後：UDP_FLOOD -> (185.71.67.43:53)

這兩次攻擊分別與我們DDoSMon 上的 觀察1 和 觀察2 一致。

該樣本導致了近期 80和8000 埠上的掃描流量

我們近期在ScanMon上分別觀察到 80 和 8000 埠上的掃描流量增長。兩次流量增長的開始時間分別是 2018-06-09 和 2018-06-14。

這兩個埠上的流量增長，均是 Satori 樣本 arm.bot.le 及其更新版本導致的：

埠80：掃描流量中的首包為 GET / HTTP/1.0，這與我們在 arm.bot.le 樣本中觀察到的 payload 一致；

埠8000：掃描流量中的首包為 HEAD / HTTP/1.0，這與我們在 arm.bot.le 的更新版本中觀察到的payload一致。

同源性分析

我們判定當前這些惡意樣本與之前的 Satori 是同源的：

地址同源：樣本下載URL （hxxp://185.62.190.191/arm.bot.le）中的IP地址 185.62.190.191 ，是新樣本的Downloader，這個IP地址也是 Satori 在之前 GPON 漏洞Party 中使用的Downloader 地址。

代碼同源：一段借鑒於 MIRAI 的解密代碼在之前 Satori 的 okiru 系列樣本中使用過。這段代碼在新樣本也在延續使用。

上面兩圖展示的加密代碼片段分別來自：

本輪的Satori樣本：F8D1D92E9B74445F2A0D7F1FEB78D639

之前的Satori Okiru分支 : 0D39BF8EE7AC89DEC5DD8E541A828E15

Satori 在採集 uc-httpd 1.0.0 設備指紋的 IP 地址

Satori 正在通過掃描 80/8000 埠的方式採集擁有「uc-httpd 1.0.0」設備指紋的 IP 地址，相關偽代碼見後。

一旦發現匹配的目標，便會將其 IP 彙報至 180.101.204.161:48101。值得說明的是上述地址是動態配置在 r.rippr.cc 域名的 DNS TXT 記錄中的。通過這種方式作者可以在伺服器端隨意修改 C2 的IP地址，避免了樣本硬編碼。

Satori 當前的更新

3小時前，2018-06-15 07:00:00，就在編輯們緊張撰寫本文的同時，Satori 又做了更新。值得警惕的是，這個更新是個蠕蟲：

針對漏洞：D-Link DSL-2750B 的命令執行漏洞

漏洞利用：在5月25日剛剛 公開

掃描埠：80 和 8080

蠕蟲式傳播：該漏洞利用同時出現在攻擊投入的Payload中，以及投入成功後得到的樣本中。如此，樣本能夠傳播自身，形成蠕蟲式傳播

C2：95.215.62[.]169:5600。該IP地址動態配置在 i.rippr.cc 域名的 DNS TXT 中。

樣本來自：

樣本的投入 Payload ：

該攻擊 Payload 同時出現在樣本中：

IoC

Satori Malware Sample md5

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！