巨大僵尸网络Satori冲着中国某品牌路由器而来，作者身份被披露

Satori 已经在短短 12小时内感染了超过 28 万个 IP 地址，利用最新发现的零日漏洞控制了数十万台家庭路由器，速度比 Mirai  快了不止一点点——如果把 Mirai  的威力比做一把枪，那么Satori 就是大炮。只是，这台“大炮”目前像定时炸弹一样，还没有发威。

Satori 比“Mirai”更可怕

Satori 刚开始是以 Mirai Okiru 的名义被追踪的，在 11 月 23 日左右现出踪迹。多家安全公司称，Satori 的绝大多数“肉鸡”位于阿根廷。此后，该僵尸网络朝埃及、土耳其、乌克兰、委内瑞拉和秘鲁开始肆虐。

360网络安全研究院、Fortinet 和 Check Point 分别在12月5日、12月12日和12月21日在各自的博客上发布了关于 Satori 的研究发现（注：360网络安全研究院还在11月24日发布了一篇与此相关的安全预警《安全威胁早期预警：新的mirai僵尸网络变种正在端口23和2323上积极传播》）。

在12月5日这篇《安全威胁预警：Mirai 变种 Satori 正在端口 37215 和 52869 上类似蠕虫式传播》博文中，360网络安全研究院称：“在我们之前的 blog 中，我们提及有大约10万个来自阿根廷的独立扫描IP正在扫描端口 2323 和23，并且确定这是一个新的 Mirai变种。在过去的几天中，扫描行为变得愈发严重，更多的国家出现在我们的ScanMon平台上。仔细分析后我们看到了更多的部分，意识到之前2323/23端口上的扫描还只是巨大拼图的一小部分。”

可以这样说，Satori 本质与蠕虫病毒相似，并且源代码源于 Mirai，是 Mirai 的升级变种，但 Satori 比 Mirai 要“毒”多了。

1.Mirai 在感染物联网设备后，会进一步试图通过 telnet 扫描来找出易受攻击的设备，并使用 Mirai 木马程序进行感染，Satori不使用扫描器组件，而是利用两个嵌入式漏洞，来感染连接到端口37215和52869上的远程设备。这意味着，Satori 近似于物联网蠕虫，无需其他组件即可自行传播。

2.Mirai 主要通过扫描 2323 和 23 端口来寻找易受攻击的设备，Satori 是连接到 37215 和 52869 端口上且存在两个已知漏洞中任意一个，但并未进行修复的设备。

很可怕的是，其中一个漏洞后来被认证为 0day（现已有修复建议）。

Satori 是冲着华为路由器来的

李丰沛告诉雷锋网，此前大家关注点在摄像头上，其实，现在路由器已经超过了摄像头，成为了“第一肉鸡”。

Checkpoint 和 Fortinet 则直接点名，称这次的 Satori 是奔着华为路由器来的。而且，上述那个0day 就存在于华为某款路由器上。

雷锋网注意到，华为于11月30日发布了一则安全公告《关于HG532产品存在远程代码执行安全漏洞的声明》（12月22日进行了更新），承认了华为某款安全路由器漏洞的存在，并提出了修复建议。

2017年 11 月 27 日，华为接收到 Check Point 软件技术研究部门的通知，华为 HG532 产品存在远程代码执行的安全漏洞（CVE-2017-17215）。同时 Check Point 发布安全预警 CPAI-2017-1016，但预警中不包含漏洞细节。华为在第一时间启动了分析调查。目前已经确认该漏洞存在。认证后的攻击者可以向设备37215端口发送恶意报文发起攻击，成功利用漏洞可以远程执行任意代码。

客户可以通过如下措施规避或预防该漏洞的攻击，详情请向当地服务提供商或华为TAC咨询：

（1） 配置设备内置防火墙功能

（2） 修改默认口令

（3） 运营商端部署防火墙

客户可以部署华为NGFW(下一代防火墙)或者数据中心防火墙产品，并升级  IPS  特征库至 2017 年 12 月 1 日发布的最新版本(IPS_H20011000_2017120100)以检测和防护来自于网络层面的该漏洞攻击。

华为一直按照行业惯例进行着生命周期管理，并已经建立了生命周期管理体系，明确了产品生命周期策略及产品终止策略。对于非全面停止服务产品华为已经与客户进行沟通，并根据客户意见提供解决版本；对于全面停止服务产品华为建议用户采用规避措施来规避或预防该问题，或者使用较新型号的产品进行替换。

相关的调查工作正在持续进行，华为 PSIRT 会随时更新安全通告，请持续关注针对此漏洞的安全公告。

“中关村在线”的一篇报道则称，这些被 Satori 控制的路由器由两个最大的运营商为客户提供，通过运营商可以快速定位并修复设备的漏洞。

作者露出马脚

Satori 是有过抵抗的。

据 Bleeping Computer 报道，过去一周内，众多 ISP 和网络安全公司对该僵尸网络进行了干预，并拿下了 Satori 僵尸网络所需的 C＆C服务器。这些服务器被拿下后，僵尸网络数量瞬间消失了50 万到 70 万台。

但对方没有放弃反抗。在上述服务器被拿下后，52869 和 37215 端口的扫描活动出现了巨大的峰值。最有可能的情况是，Satori 的作者正在想法设法扫描端口，寻找肉鸡。

图片来源：Bleepingcomputer，数据来源：360 网络安全研究院

在11月21日 Check Point 的博文中，Check Point 的研究人员透露了 Satori 僵尸网络作者的身份 ——Nexus Zeta。

研究人员表示，他们已经追踪到他，因为该作者注册 Satori 基础架构中使用的域名有一个电子邮件地址，这个邮件地址与最流行的黑客论坛之一 HackForums 的一个帐号高度关联。

Check Point说：“虽然他在这样的论坛上不太活跃，但他露出了马脚。”

在 Satori 活动被发现的前一天，也就是 11 月 22 日，一个论坛帖子显示，Nexus Zeta 在寻求帮助，想建立一个 Mirai 僵尸网络（编者敲黑板：Satori 是 Mirai 的变种）。

但是，据 Bleeping Computer  称，在过去几个星期里，Satori 没有被认定与任何主要的 DDoS 攻击的来源相关。

李丰沛认为，Bleeping Computer  的观点限定在“最近 + 主要攻击”，这与他们监测到的情况是一致的。但是，如果再向前溯源，情况可能就不一样了。

360 网络安全研究院的上述博文曾指出：“我们还怀疑本次攻击与 2017 年 8 月发生在中国的另一次 IoT 物联网相关的攻击有关系，也许后续我们会发布另外一篇 blog 详细阐述。”

更可怕的是，Satori  的故事还远未结束，我们还得忧心其他的僵尸网络与攻击。

李丰沛对雷锋网说，由于Mirai 的源码已经在网上公开，改造 Mirai ，以其变种身份形式出现，构造巨大的僵尸网络早已不是难事。而且，攻击者完全可以一被发现一个域名就更换新的，身份十分隐秘。

“美国东部大断网”式的噩梦复制并不遥远。