Satori - 360 Netlab Blog - Network Security Research Lab at 360

Satori

A collection of 11 posts

Fbot，一个Satori相关的、基于区块链DNS的蠕虫

从2018-09-13 11:30 UTC开始，我们首次注意到一个新的蠕虫正在清理 com.ufo.miner。在完成了清理动作后，该蠕虫会等待来自C2（musl.lib，66.42.57.45:7000， Singapore/SG）的下一步指令。我们将该蠕虫命名为fbot，主要是因为该蠕虫的主要执行模块使用了这个名字。该C2域名的解析，需要通过EmerDNS，一个emercoin.com旗下的区块链DNS完成。 com.ufo.miner 与我们之前多次报告的 ADB.Miner 类似，利用adb安卓调试接口传播，并挖矿。ADB.Miner 是我们今年二月首次报告的，自那以后，类似的其他僵尸网络已经长期传播，感染了包括 Amazon FireTV 在内的多种设备。最后，新的蠕虫Fbot与臭名昭著的

Botnets never Die, Satori REFUSES to Fade Away

Two days ago, on 2018-06-14, we noticed that an updated Satori botnet began to perform network wide scan looking for uc-httpd 1.0.0 devices. Most likely for the vulnerability of XiongMai uc-httpd 1.0.0 (CVE-2018-10088). The scanning activities led to a surge in scanning traffic on ports 80

僵尸永远不死，Satori也拒绝凋零

两天前，2018-06-14，我们注意到 Satori 的作者开始扫描收集 uc-httpd 1.0.0 设备的IP地址列表。这或许是为了针对4月公开的脆弱性 XiongMai uc-httpd 1.0.0 (CVE-2018-10088) 在做准备。这些扫描活动导致了近期在 80 和 8000 端口上的扫描流量大涨。 3小时前，就在我们撰写本篇文章的同时，Satori 作者又发布了一个更新版本。这个更新是个蠕虫，针对 D-Link DSL-2750B 设备，对应的漏洞利用在5月25日刚刚公开。僵尸永远不死 Satori 是 Mirai 僵尸网络的一个变种，我们首次注意到该僵尸网络是 2017-11-22。一周之后，2017-12-05，Satori在12小时内感染了超过26万家用路由器设备，成为臭名昭著的僵尸网络。从那以后我们不再使用“一个mirai僵尸网络变种”称呼它，而是给予了它一个独立的名字 Satori。

GPON Exploit in the Wild (II) - Satori Botnet

This article was co-authored by Rootkiter, Yegenshen, and Hui Wang. In our previous article, we mentioned since this GPON Vulnerability (CVE-2018-10561, CVE-2018-10562 ) announced, there have been at least five botnets family mettle, muhstik, mirai, hajime, satori actively exploit the vulnerability to build their zombie army in just 10 days. We

GPON 漏洞的在野利用（二）——Satori 僵尸网络

本篇文章由 Rootkiter，yegenshen，Hui Wang 共同撰写。我们在之前的文章里提及，在本次GPON漏洞（CVE-2018-10561，CVE-2018-10562）公布以来，10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团，包括 mettle、muhstik、mirai、hajime、satori等等。在上一篇文章里，我们详细介绍了 muhstik 僵尸网络的情况。在那篇文章发布的前后，通过与安全社区共同的努力，我们累积关闭了muhstik僵尸网络在 OVH 上的12 个IP地址，以及在微软网络上的 1 个IP地址。详细的IP地址列表，见附件 IoC部分。【更新：值得一提的是，当前绝大部分这些僵尸网络的漏洞利用部分效果是有问题的。根据我们的估计，只有大约2%的特定版本GPON家用路由器受到这些僵尸网络的影响，绝大部分位于墨西哥。这时由于这些僵尸网络使用PoC的方式造成的。】其他的僵尸网络包括： * Satori：satori是臭名昭著的mirai僵尸网络变种，该恶意代码团伙在2018-05-10 05:51:

偷盗的艺术: Satori 变种正在通过替换钱包地址盗取 ETH 数字代币

在我们2017年12月5日发布的关于Satori的文章中，我们提到Satori僵尸网络正在以前所未有的速度快速传播。自从我们的文章发布以后，安全社区、ISP、供应链厂商共同协作，Satori 的控制端服务器被 sinkhole、ISP和供应链厂商采取了行动，Satori的蔓延趋势得到了暂时遏制，但是Satori的威胁依然存在。从 2018-01-08 10:42:06 GMT+8 开始，我们检测到 Satori 的后继变种正在端口37215和52869上重新建立整个僵尸网络。值得注意的是，新变种开始渗透互联网上现存其他Claymore Miner挖矿设备，通过攻击其3333 管理端口，替换钱包地址，并最终攫取受害挖矿设备的算力和对应的 ETH 代币。我们将这个变种命名为 Satori.Coin.Robber。这是我们第一次见到僵尸网络替换其他挖矿设备的钱包。这给对抗恶意代码带来了一个新问题：即使安全社区后续接管了 Satori.Coin.Robber 的上联控制服务器，那些已经被篡改了钱包地址的挖矿设备，仍将持续为其贡献算力和 ETH 代币。到

Art of Steal: Satori Variant is Robbing ETH BitCoin by Replacing Wallet Address

The security community was moving very fast to take actions and sinkhole the Satori botnet C2 after our December 5 blog. The spread of this new botnet has been temporarily halted, but the threat still remains. Starting from 2018-01-08 10:42:06 GMT+8, we noticed that one Satori’s

安全威胁预警：Mirai变种Satori正在端口 37215 和 52869 上类似蠕虫式传播

作者：360网络安全研究院 [更新记录] - 2017-12-05 18:56:40 UTC，在我们的博客发出2个小时后，我们观察到C2服务器开始向bot发送停止扫描的指令，与此同时我们看到大网上这两个端口的流量开始下降。 - 文中提到的C2地址 95.211.123.69:7654 ，实际是 95.211.123.69:7645 的笔误。在我们之前的blog中，我们提及有大约10万个来自阿根廷的独立扫描IP正在扫描端口2323和23，并且确定这是一个新的mirai变种。在过去的几天中，扫描行为变得愈发严重，更多的国家出现在我们的ScanMon平台上。仔细分析后我们看到了更多的部分，意识到之前2323/23端口上的扫描还只是巨大拼图的一小部分。就在我们继续深入分析的时候，我们的注意到一个新的情况出现，值得引起安全社区立即注意。下面是对这个情况非常简短和粗糙的说明。大约从今天中午 (2017-12-05 11:57 AM)开始，我们注意到Satori（一个mirai变种）的新版本正在端口37215和52869上非常快速的传播。这个新变种有两个地方与以往mirai有显

Warning: Satori, a Mirai Branch Is Spreading in Worm Style on Port 37215 and 52869

Author: 360 netlab [Update History] - At 2017-12-05 18:56:40 UTC, 2 hours after our blog goes live, we observed the C2 sending kill scan command to the bots, and that explains why the scan activities on the two ports started to drop on a global scale. - The

安全威胁早期预警：新的mirai僵尸网络变种正在端口23和2323上积极传播

【2017-11-28 更新】 * 原文中提到的两个C2均已被安全社区sinkhole。 * 原文中的 admin/CentryL1nk 是 admin/CenturyL1nk 的笔误。大约60个小时以前，从2017-11-22 11:00开始，360网络安全研究院注意到在端口2323和23上的扫描流量有一个暴涨现象。其中主要扫描者，大约10万个扫描IP地址位于阿根廷，同时360网络安全研究院也注意到大约有5千个IP地址来自国内。分析以后，目前比较确定这是一个新的mirai变种。根因分析在我们蜜罐中，最近有两个新的用户名密码被频繁使用到，分别是 admin/CentryL1nk 和 admin/QwestM0dem 。值得一提，admin/CentryL1nk 这对用户名密码是针对ZyXEL PK5001Z 调制解调器的，在一份上月底的利用中被批露。上述两个用户名密码对，被滥用的初始时间在2017-11-22 11:00附近，在2017-11-23 日间达到顶峰。这个时间曲线与我们在Scanmon上观察到2323/23端口的扫描曲线比较一致。另外

Early Warning: A New Mirai Variant is Spreading Quickly on Port 23 and 2323

[Updates on 2017-11-28] * Both C2s have been sink-holed now by security community. * admin/CentryL1nk is a typo for admin/CenturyL1nk. About 60 hours ago, since 2017-11-22 11:00, we noticed big upticks on port 2323 and 23 scan traffic, with almost 100k unique scanner IP came from Argentina. After investigation,