1
本文作者: 又田 | 2018-01-18 18:19 |
還記得大明湖畔的Mirai嗎?就是造成美國(guó)東部大斷網(wǎng)的“初代”僵尸網(wǎng)絡(luò)。
這位明星級(jí)別的僵尸網(wǎng)絡(luò)當(dāng)時(shí)可是賺足了眼球,2016 年 10 月 21日,其對(duì)美國(guó)互聯(lián)網(wǎng)域名解析服務(wù)商 DYN 發(fā)起 DDoS 攻擊,而 DYN 服務(wù)器被攻擊導(dǎo)致 Twitter、亞馬遜、華爾街日?qǐng)?bào)等數(shù)百個(gè)重要網(wǎng)站無(wú)法訪(fǎng)問(wèn),美國(guó)主要公共服務(wù)、社交平臺(tái)、民眾網(wǎng)絡(luò)服務(wù)癱瘓。
而直到一年后,2017 年 12 月 13 日晚,在美國(guó)的阿拉斯加法庭上,這起引人注目的網(wǎng)絡(luò)安全事件終于塵埃落定,三個(gè)美國(guó)年輕人承認(rèn)造成“美國(guó)斷網(wǎng)事件”的 Mirai 僵尸網(wǎng)絡(luò)工具是他們開(kāi)發(fā)的。
事后 FBI 還特意發(fā)推特感謝了一票幫忙尋找犯罪者的安全公司。
但 Mirai 僵尸網(wǎng)絡(luò)開(kāi)了個(gè)壞頭,隨之而來(lái)其他針對(duì)物聯(lián)網(wǎng)設(shè)備的僵尸網(wǎng)絡(luò)所造成的影響也如同傾斜的多米諾骨牌,愈演愈烈。
這里就不得不提到另一位明星選手 Satori 僵尸網(wǎng)絡(luò)了。其一經(jīng)出現(xiàn)就在短短 12 小時(shí)內(nèi)感染了超過(guò) 28 萬(wàn)個(gè) IP 地址,利用最新發(fā)現(xiàn)的零日漏洞控制了數(shù)十萬(wàn)臺(tái)家庭路由器,速度比 Mirai 快了不止一點(diǎn)點(diǎn)。
這大炮級(jí)別的威力讓各路人馬吃了一雞,眾多 ISP 和網(wǎng)絡(luò)安全公司紛紛祭出“天馬流星拳”一錘錘向 Satori 僵尸網(wǎng)絡(luò)的 C&C服務(wù)器,滅了 50 多萬(wàn)臺(tái)僵尸網(wǎng)絡(luò)。逼得對(duì)方設(shè)法掃描端口,尋找肉雞。
就在安全公司松了一口氣時(shí)候,Satori 又出幺蛾子了。
有黑客將 Satori 的惡意軟件的代碼公布在 Pastebin 上,意味著想搞事情的黑客只要復(fù)制粘貼一下就可以讓惡意軟件運(yùn)行,進(jìn)一步擴(kuò)大感染和攻擊范圍。
而且在12月份,安全人員分析 Brickerbot 惡意軟件源代碼的片段時(shí),發(fā)現(xiàn)了和 Satori 代碼相同之處??梢宰C明 Satori 的代碼已經(jīng)開(kāi)始在黑客內(nèi)部流傳。
一周后,1 月 17 日下午 360 團(tuán)隊(duì)在 Twitter 的 blog 中更新了一篇文章,稱(chēng)他們發(fā)現(xiàn) Satori 變種正在通過(guò)替換錢(qián)包地址盜取 ETH 數(shù)字代幣。
據(jù)雷鋒網(wǎng)了解,博客中提到,從 2018年1月8日開(kāi)始,360 安全團(tuán)隊(duì)開(kāi)始檢測(cè)到 Satori 的后繼變種正在端口 37215 和 52869 上重新建立整個(gè)僵尸網(wǎng)絡(luò)。新變種開(kāi)始滲透互聯(lián)網(wǎng)上現(xiàn)存其他 Claymore Miner 挖礦設(shè)備,通過(guò)攻擊其 3333 管理端口,替換錢(qián)包地址,并最終攫取受害挖礦設(shè)備的算力和對(duì)應(yīng)的 ETH 代幣。于是他們將這個(gè)變種命名為 Satori.Coin.Robber。
黑別人機(jī)器用來(lái)挖礦的,常見(jiàn),黑挖礦設(shè)備進(jìn)去換個(gè)錢(qián)包地址的,不多見(jiàn)。
截止 2018-01-16 17:00 ,礦池的付費(fèi)記錄顯示:
Satori.Coin.Robber 當(dāng)前正在持續(xù)挖礦,最后一次更新大約在5分鐘之前;
Satori.Coin.Robber 過(guò)去2天內(nèi)平均算力大約是 1606 MH/s;賬戶(hù)在過(guò)去24小時(shí)累積收入 0.1733 個(gè)ETH代幣;
Satori.Coin.Robber 已經(jīng)在2017年1月11日14時(shí)拿到了礦池付出的第一個(gè) ETH 代幣,另有 0.76 個(gè)代幣在賬戶(hù)上;
值得一提的是,Satori.Coin.Robber 的作者通過(guò)下面這段話(huà)宣稱(chēng)自己當(dāng)前的代碼沒(méi)有惡意,并且留下了一個(gè)電子郵箱地址:
中文大意是“我是Satori的作者,現(xiàn)在這個(gè) bot 還沒(méi)有什么惡意的代碼,所以暫時(shí)放輕松。聯(lián)系我的話(huà),郵件寫(xiě)給curtain@riseup.net?!?/p>
蛤?Satori 作者竟然自曝了郵件地址?
有趣的是,在這篇博文發(fā)布后,推特上某疑似 Satori 作者的人發(fā)了一條推文艾特 360 團(tuán)隊(duì),大意是說(shuō),看看你們做的好事,暴露了我的 email 地址,現(xiàn)在老哥我被記者追著問(wèn)問(wèn)題。
并且還附上了一張圖片,上面顯示有三封郵件都來(lái)自媒體。其中一封郵件標(biāo)題十分直接:一個(gè)馬上要到截稿大限的記者想要問(wèn)點(diǎn)關(guān)于Satori的問(wèn)題。
360 團(tuán)隊(duì)也迅速給出了回應(yīng),表達(dá)大意是終于等到你,還好我沒(méi)放棄,這位作者還愿意share一些細(xì)節(jié)嗎?
不說(shuō)了,雷鋒網(wǎng)編輯也去發(fā)郵件了,至于這位小哥回不回那就是未知了。
雷鋒網(wǎng)相關(guān)文章:
巨大僵尸網(wǎng)絡(luò) Satori 沖著中國(guó)某品牌路由器而來(lái),作者身份被披露
“美國(guó)斷網(wǎng)”案件告破,F(xiàn)BI致謝中國(guó)安全企業(yè)
巨大僵尸網(wǎng)絡(luò) Satori 沖著中國(guó)某品牌路由器而來(lái),作者身份被披露
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。