快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

“古惑仔”械斗演出:看Satori僵尸收集怎么样争取百万路由器江湖

潮热夏夜,朦胧灯光下的小路口,砍刀、水管、酒瓶按捺不住地摩挲作响。这是黑帮片子中,古惑仔陌头械斗的经典场景。所谓手持利器,杀心自起,无论是争取尖沙咀老大,照样铜锣湾扛把子,利益一直是令人头破血流的最终目的。

收集江湖也云云,前不久,可影响百万GPON家用光纤路由器的漏洞(CVE-2018-10561,CVE-2018-10562)暴光。漏洞大杀器出现后,360收集安全研究院监测到,10天内已经有最少5个僵尸收集家族在踊跃行使该漏洞构建其僵尸军团,包括mettle、muhstik、mirai、hajime、satori等等。(详情参见:http://www.freebuf.com/articles/network/171491.html)

对百万路由器的控制,如同一块硕大的肥肉,而控制权的排他性,WEB黑客,决定了想吃上这块肥肉,僵尸收集这群“古惑仔”间,必然有一场血雨腥风的决斗。想想洪兴十二堂,堂口兴衰来去,传奇不断。当下,僵尸收集的这场上位奋斗中,一个入会较晚的小辈抢上了龙头,它是怎么样在这场械斗中杀出重围,违后又有什么隐秘武器?360收集安全研究院对此进行了阐发。

Satori僵尸收集主角登场

在上一篇文章里,360具体先容了muhstik 僵尸收集的情形。在那篇文章发布的先后,通过与安全社区共同的起劲,累积关闭了muhstik僵尸收集在 OVH 上的12 个IP地址,和在微软收集上的 1 个IP地址。具体的IP地址列表,见附件 IoC部分。

其他的僵尸收集包括:

Satori:satori是臭名昭著的mirai僵尸收集变种,该恶意代码团伙在2018-05-1005:51:18 首次加入到劫掠 GPON 易感染设备的行列,并在短短时间内就挤掉了muhstik,成为我们视野范围内感染频次最高的一员。另外,我们测试验证了Satori的投入模块,在某些版本的设备固件上是能成功执行的。这使得Satori明明区分于参与聚会的其他僵尸收集;

Mettle:一个恶意代码团伙,基于在越南的IP地址 (C2210.245.26.180:4441,scanner 118.70.80.143)以及mettle开源控制模块;

Hajime:hajime的本次更新也包含了 GPON 本次的漏洞行使;

两个Mirai变种:最少两个恶意代码团伙正在踊跃行使该漏洞传播mirai变种。其中第二个,已经被称为 omni;

Omni:在 newskysecurity.com 首次地下批露后,我们确认其文档中称为 omni 的僵尸收集,就是我们之条件及的mirai变种之二;

imgay:这看起来是一个正在开发中的僵尸收集,其功能尚不完美。

本篇文章将首要先容 Satori 僵尸收集的本轮更新。后续我们也许会发布系列文章的第三篇,对剩下的其他僵尸收集做一描摹。第三篇预期会是系列文章的最后一篇,要是没有更多僵尸收集加入聚会的话。

不同僵尸收集的投递力度对比

我们使用蜜罐来采集本次GPON相干漏洞的行使情形。下面列出了我们看到的攻击载荷活动频次Top10,完备的列表可以见文末IoC部分:

看Satori僵尸收集怎么样争取百万路由器江湖

图1

从上面这里采集的数据来看,Satori(累积57.80%)以及muhstik(累积38.87%)是当前GPON漏洞行使的主力。

Satori 本轮更新触及的恶意代码下载链接

Satori 在本轮更新中,使用了下面这组URL传播恶意代码:

看Satori僵尸收集怎么样争取百万路由器江湖

图2

Satori 本轮更新触及的恶意代码样本阐发

我们对其中的样本 http://185.62.190.191/arm(md5hash:d546bc209d315ae81869315e8d536f36)做了阐发。

这个样本的代码,与原始版本的Satori已经有了比较大的变迁,单纯从样本二进制方面,与原来的satori的关系已经不太大。然则考虑到其在症结字符串、域名 TXT 信息、邮件地址等多方面的联系,我们仍旧把其回在Satori变种之下。

该样本中有四个加密字符串,对应的解密效果分别以下:

看Satori僵尸收集怎么样争取百万路由器江湖

图3

第一个字符串为C2,第二个字符串会在控制台被输出。 第3、四个字符串在样本中仅被定义未被发现使用。值得一提的是这两个字符串以及 Satori.robber 中用到的代码相近,这可以作为该样本与Satori 同源的一个干证。

第四个字符串后面的Hex 部分以下,包含了一个矿池地址,以及一个钱包地址:

看Satori僵尸收集怎么样争取百万路由器江湖

图4

Satori 本轮更新中触及到的钱包地址

这个钱包地址的信息可查,以下。要是按照每一24小时产生0.05 个 ETH 币,从5月10日到现在估计共挖取了 0.3 个 ETH 币。按照现行每一个 ETH 代币价格 700 美金估算,Satori在目前6天的步履中共获取了大约 200 美元的收益。

看Satori僵尸收集怎么样争取百万路由器江湖

图5

看Satori僵尸收集怎么样争取百万路由器江湖

Satori 本轮更新触及域名解析,和其对外界传递的信息

另外,c.sunnyjuly.gq 在DNS体系中始终没有提供IP地址解析,相反其提供了 TXT 解析,可以视为其作者对外界传达的信息。作者先后两次传递的信息以下:

Clipboard Image.png看Satori僵尸收集怎么样争取百万路由器江湖

图7

值得对比的是,在 Satori.robber 中,Satori的作者通过二进制文件向外界传递了以下信息。两次出现的信息,誊写伎俩类似,所留下的邮件地址也均为 riseup.net 提供的邮箱。

看Satori僵尸收集怎么样争取百万路由器江湖

图8

Satori 本轮更新导致了近期端口 3333 上的扫描

当前版本的Satori还会扫描 3333 端口,并直接导致了我们在 ScanMon 上的一次较大波动。这次扫描的来源大约有17k个自力IP地址,首要源自Uninet S.A. de C.V.,隶属 telmex.com,位于墨西哥。

看Satori僵尸收集怎么样争取百万路由器江湖

图9

Ioc

曾经在 muhstik 控制之下,但已经被安全社区清除的IP列表:

 看Satori僵尸收集怎么样争取百万路由器江湖

看Satori僵尸收集怎么样争取百万路由器江湖

看Satori僵尸收集怎么样争取百万路由器江湖

看Satori僵尸收集怎么样争取百万路由器江湖

图12

*

您可能还会对下面的文章感兴趣: