本篇文章为大家展示了GPON 漏洞中的Satori 僵尸网络是怎样的,内容简明扼要并且容易理解,绝对能使你眼前一亮,通过这篇文章的详细介绍希望你能有所收获。在本次GPON漏洞(CVE-2018-10561,CVE-2018-10562)公布以来,10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团,包括 mettle、muhstik、mirai、hajime、satori等等。其他的僵尸网络包括:Satori:satori是臭名昭著的mirai僵尸网络变种,该恶意代码团伙在2018-05-10 05:51:18 首次加入到抢夺 GPON 易感染设备的行列,并在短短时间内就挤掉了 muhstik,成为我们视野范围内感染频次最高的一员。另外,我们测试验证了Satori的投入模块,在某些版本的设备固件上是能成功执行的。这使得Satori显著区别于参与聚会的其他僵尸网络。Mettle:一个恶意代码团伙,基于在越南的IP地址 (C2 210.245.26.180:4441,scanner 118.70.80.143)和mettle开源控制模块Hajime:hajime的本次更新也包含了 GPON 本次的漏洞利用两个Mirai变种:至少两个恶意代码团伙正在积极利用该漏洞传播mirai变种。其中第二个,已经被称为omni。Omni:在 newskysecurity.com 首次公开批露后,我们确认其文档中称为 omni 的僵尸网络,就是我们之前提及的mirai变种之二。imgay:这看起来是一个正在开发中的僵尸网络,其功能尚不完善。本篇文章将主要介绍 Satori 僵尸网络的本轮更新。后续我们也许会发布系列文章的第三篇,对剩下的其他僵尸网络做一描述。第三篇预期会是系列文章的最后一篇,如果没有更多僵尸网络加入聚会的话。我们使用蜜罐来采集本次GPON相关漏洞的利用情况。下面列出了我们看到的攻击载荷活动频次Top10,完整的列表可以见文末IoC部分:从上面这里采集的数据来看,Satori(累积57.80%)和 muhstik(累积38.87%)是当前GPON漏洞利用的主力。Satori 在本轮更新中,使用了下面这组URL传播恶意代码:我们对其中的样本http://185.62.190.191/arm(md5hash:d546bc209d315ae81869315e8d536f36)做了分析。这个样本的代码,与原始版本的Satori已经有了比较大的变化,单纯从样本二进制方面,与原来的satori的关系已经不太大。但是考虑到其在关键字符串、域名 TXT 信息、邮件地址等多方面的联系,我们仍然把其归在Satori变种之下。该样本中有四个加密字符串,对应的解密结果分别如下:c.sunnyjuly.gqViam0610TCiLpBvezPFGL2aG{“id”:0,”jsonrpc”:”2.0″,”method”:”miner_reboot”}{“id”:0,”jsonrpc”:”2.0″,”method”:”miner_file”,”params”:[“reboot.bat”,”4574684463724d696e657236342e657865202d65706f6f6c206574682d7573322e6477617266706f6f6c2e636f6d3a38303038202d6577616c20307864303839376461393262643764373735346634656131386638313639646263303862656238646637202d6d6f64652031202d6d706f72742033333333202d6d707377206775764a746f43785539″]}第一个字符串为C2,第二个字符串会在控制台被输出。 第三、四个字符串在样本中仅被定义未被发现使用。值得一提的是这两个字符串和Satori.robber中用到的代码相近,这可以作为该样本与 Satori 同源的一个旁证。第四个字符串后面的Hex 部分如下,包含了一个矿池地址,和一个钱包地址:这个钱包地址的信息可查,如下。如果按照每24小时产生0.05 个 ETH 币,从5月10日到现在估计共挖取了 0.3 个 ETH 币。按照现行每个 ETH 代币价格 700 美金估算,Satori在目前6天的行动中共获取了大约 200 美元的收益。另外,c.sunnyjuly.gq 在DNS系统中一直没有提供IP地址解析,相反其提供了 TXT 解析,可以视为其作者对外界传达的信息。作者前后两次传递的信息如下:值得对比的是,在Satori.robber中,Satori 的作者通过二进制文件向外界传递了如下信息。两次出现的信息,书写手法类似,所留下的邮件地址也均为 riseup.net 提供的邮箱。当前版本的Satori还会扫描 3333 端口,并直接导致了我们在ScanMon上的一次较大波动。这次扫描的来源大约有17k个独立IP地址,主要源自 Uninet S.A. de C.V.,隶属 telmex.com,位于墨西哥。
【不支持外链图片,请上传图片或单独粘贴图片】
感兴趣的读者,可以在twitter或者在微信公众号360Netlab上联系我们。曾经在 muhstik 控制之下,但已经被安全社区清除的IP列表:近期我们观察到的利用 GPON 分发恶意软件的下载链接上述内容就是GPON 漏洞中的Satori 僵尸网络是怎样的,你们学到知识或技能了吗?如果还想学到免费云主机域名更多技能或者丰富自己的知识储备,欢迎关注云编程开发博客行业资讯频道。
相关推荐: CentOS6 网络管理之网卡配置及简单路由设置
CentOS6中关于网络配置的命令有很多,本文将介绍几个平时最长用的几个命令,以及网卡IP地址的配置和简单路由配置。1、经常使用的查看IP地址命令为 ifconfig,不跟参数的情况下默认查看所有已启用的网卡信息,如下图所示:如果想查看具体某块网卡信息,则可以…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。
微信扫一扫 
