僵尸网络Mirai最新变种Satori : 利用0day“绑架”华为家用路由器HG532

原标题：僵尸网络Mirai最新变种Satori : 利用0day“绑架”华为家用路由器HG532

时隔多日，2016 年 10 月开始活跃的 Mirai 僵尸网络创始人即便已经锒铛入狱，最近可能又将占据头条。之前在12月初 FreeBuf 就已经在关注其最新的变种Satori（觉醒）的“凌空出世”——Satori（觉醒）新僵尸网络出现，在过去的12个小时内已经激活超过28万个不同的IP，而这两天对该事件的后续报道也正在进行。

Check Point 安全研究人员在过去半个月内仔细观察了这次僵尸网络的感染过程，也观察到一些有趣的活动。这次的 Satori（觉醒），感染IoT的速度非常快，在极短的时间内就达到了数以万计的感染数量。研究人员认为名为 “Nexus Zeta” 的黑客创造了这次的 Mirai 变种 Satori 。

Satori 僵尸网络利用了华为家用路由器的 0day 漏洞

大约在11月23日，Satori 引起人们的注意，开始被追踪时候，的名字是但和 Mirai 不同的是，它不依赖 Telent 暴力攻击，而是使用 EXP 对漏洞进行利用。更确切地说，它主要扫描了 52869 端口使用 CVE-2014-8361（影响Realtek，D-Link和其他设备的UPnP攻击）以及37215端口的未知漏洞进行攻击。

现在研究人员才逐渐发现这个当时“未知”漏洞实际上是一个影响华为路由器的 0day 漏洞

在 12 月 5 日的时候，位于埃及，土耳其，乌克兰，委内瑞拉和秘鲁的互联网服务提供商的设备中。

Satori 僵尸网络 C&C服务器已被取缔

在过去的几个周末里，通过各家 ISP 以及网络安全公司的协力合作，Satori 僵尸网络的C&C 服务器已经得到取消。简单估算来看，已经被取消的僵尸网络数量达到 50 万到 70 万左右。

但就在 C&C 服务器被下架的片刻之后，Satori 僵尸网络针对两个端口的扫描行动却突然达到峰值！按照外媒获取的信息来看，这个现象出现的原因很可能是 Satori 作者

隐藏在 Satori 背后的“脚本小子”？

尽管他在这样的论坛上并不活跃，但从他的发言来看可能并非专业黑客。——

他发布的一则帖子上可以看到，他正在论坛上寻求如何搭建 Mirai 僵尸网络的相关帮助。

大家好，我正在寻找能帮助我编译mirai 僵尸网络的人，我听说你们有每秒访问 1T 的权限，是否可以帮我呢？

那么问题就来了，作者 目前我们还不得而知。

参考来源

http://www.securityweek.com/mirai-variant-satori-targets-huawei-routers

https://thehackernews.com/2017/12/satori-mirai-iot-botnet.html?m=1

http://securityaffairs.co/wordpress/67040/malware/satori-botnet-mirai-variant.html

*本文作者Elaine，转载请注明FreeBuf.COM