Satori僵尸网络与它的幕后黑手——所谓的“脚本小子”究竟是谁？

提到“脚本小子”你会想到什么？想到那些以“黑客”自居并沾沾自喜的初学者？但是，本月初爆发的Satori僵尸网络背后的创建者——所谓的“脚本小子”却着实吓坏了安全研究人员，因为该僵尸网络迅速扩张的能力丝毫不亚于Mirai僵尸网络，短短12个小时内就成功激活了超过28万个不同的IP，影响了数十万台路由器设备。

研究人员表示，Satori僵尸网络的创建者是一位名为“Nexus Zeta”的黑客，该僵尸网络是2016年10月在线发布的Mirai物联网恶意软件的一个新变体。

Satori僵尸网络使用华为零日漏洞

据悉，Satori这个名字来源于日语“觉醒”，它是之前Mirai IoT僵尸网络的变种。Satori僵尸网络可以自行迅速传播，令其本质变成了物联网蠕虫病毒。与之前的Mirai版本不同，Satori不是使用扫描器来搜索易被攻击的路由器，而是使用两个端口37215和52869的漏洞，来发动攻击。

其中，52869端口存在一个影响Realtek、D-Link和其他设备的UPnP漏洞——CVE-2014-8361，而连接到37215端口的设备则存在一个（当时）尚未完全披露的零日漏洞。美国电信运营商CenturyLink的首席安全策略师Dale Drew表示，这个零日漏洞是来自华为HG532路由器，一个远程代码执行漏洞（CVE-2017-17215）。它由网络安全公司Check Point在11月27日率先发现的，但并没有太多细节被透露。

12月6日，嘶吼平台已经对Satori僵尸网络的具体情况进行了详细报道，当时，该僵尸网络已经成功感染了28万“肉鸡”，绝大多数位于阿根廷。之后，该僵尸网络又开始对位于埃及、土耳其、乌克兰、委内瑞拉以及秘鲁的互联网服务提供商展开了更为激烈的感染活动。

Satori僵尸网络C＆C服务器已被撤下

据业内相关人士透露，在过去几天里，来自众多ISP和网络安全公司的代表开始对该僵尸网络的活动进行了干预，并顺利撤下了该僵尸网络主要的C&C服务器。据粗略估计，当时被撤下的僵尸网络数量大约在50万-70万之间。

根据奇虎360网络安全研究院（Netlab）研究人员提供的数据显示，Satori僵尸网络C＆C服务器被撤下后，针对52869和37215端口的扫描活动随即出现了巨大的峰值，最有可能的解释是，该僵尸网络的创建者Nexus Zeta希望为另一个Satori实例扫描和发掘更多的“肉鸡”（也就是僵尸网络的bot）。

Satori僵尸网络背后的“脚本小子”

在近日发布的报告中，Check Point的研究人员透露了Satori僵尸网络创建者的身份——也就是上述的Nexus Zeta。

Check Point研究人员表示，他们已经追踪到了Nexus Zeta，因为他所注册的“用于Satori基础架构的”域名所使用的电子邮箱地址也被用于注册了HackForums（世界上最流行的黑客论坛之一）帐号。

Check Point在其报告中指出，

“虽然他在这样的黑客论坛上并不活跃，但是从其发布的几个帖子可以看出，他是一个不那么专业的威胁行为者。”

根据其11月22日（Satori活动被检测到之前的某一天）发布的一个帖子显示，Nexus Zeta正在寻求帮助建立Mirai僵尸网络（Satori是Mirai的变种）。

该帖子写道，

“你好，我正在寻找合作伙伴帮我一起编译mirai僵尸网络，你要做的就是编译它，让它能够达到每秒1太比特（Terabit，即1012bit），如果你可以请帮助我一起构建一个mirai tel-net僵尸网络。”

不过目前仍有两个问题没有得到答案，一个是“Satori僵尸网络还会卷土重来吗？”；第二个是“Nexus Beta是自己挖掘出了复杂的华为零日漏洞，还是从别处购买的？”。

不同于11月份发现的另一个Mirai僵尸网络

好消息是，在过去几个星期里，Satori没有被认定为任何主要DDoS攻击活动的来源。此外，安全专家还表示，我们不应该把Satori（Mirai Okiru）僵尸网络与另一个Mirai僵尸网络（上月发布的，基于Mirai Akuma的变体）混淆起来。

上个月，安全专家发现约10万IP在不到三天时间疯狂扫描存在漏洞的ZyXEL（合勤） PK5001Z路由器，断定新型Mirai变种正在快速传播。

据悉，该Mirai僵尸网络是借助了发布在公共漏洞数据库中的PoC漏洞利用代码（该PoC代码发布时间为10月31日），并触发了ZyXEL PK5001Z路由器中的漏洞——CVE-2016-10401（2016年1月被公开）。ZyXEL PK5001Z路由器使用的硬编超级用户密码（zyad5001）能用来提权至Root权限。