GPON 漏洞中的Satori 僵尸網絡是怎樣的

本篇文章為大家展示了GPON 漏洞中的Satori 僵尸網絡是怎樣的，內容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

GPON 漏洞——Satori 僵尸網絡

在本次GPON漏洞（CVE-2018-10561，CVE-2018-10562）公布以來，10天內已經有至少5個僵尸網絡家族在積極利用該漏洞構建其僵尸軍團，包括 mettle、muhstik、mirai、hajime、satori等等。

其他的僵尸網絡包括：

• Satori：satori是臭名昭著的mirai僵尸網絡變種，該惡意代碼團伙在2018-05-10 05:51:18 首次加入到搶奪 GPON 易感染設備的行列，并在短短時間內就擠掉了 muhstik，成為我們視野范圍內感染頻次最高的一員。另外，我們測試驗證了Satori的投入模塊，在某些版本的設備固件上是能成功執行的。這使得Satori顯著區別于參與聚會的其他僵尸網絡。

• Mettle：一個惡意代碼團伙，基于在越南的IP地址 （C2 210.245.26.180:4441，scanner 118.70.80.143）和mettle開源控制模塊

• Hajime：hajime的本次更新也包含了 GPON 本次的漏洞利用

• 兩個Mirai變種：至少兩個惡意代碼團伙正在積極利用該漏洞傳播mirai變種。其中第二個，已經被稱為 omni。

• Omni：在 newskysecurity.com 首次公開批露后，我們確認其文檔中稱為 omni 的僵尸網絡，就是我們之前提及的mirai變種之二。

• imgay：這看起來是一個正在開發中的僵尸網絡，其功能尚不完善。

本篇文章將主要介紹 Satori 僵尸網絡的本輪更新。后續我們也許會發布系列文章的第三篇，對剩下的其他僵尸網絡做一描述。第三篇預期會是系列文章的最后一篇，如果沒有更多僵尸網絡加入聚會的話。

不同僵尸網絡的投遞力度對比

我們使用蜜罐來采集本次GPON相關漏洞的利用情況。下面列出了我們看到的攻擊載荷活動頻次Top10，完整的列表可以見文末IoC部分：

%    botnet_name url
57.77%    satori  hxxp://185.62.190.191/r  
32.66%    muhstik hxxp://51.254.219.134/gpon.php  
2.20%    muhstik hxxp://162.243.211.204/gpon  
1.99%    muhstik hxxp://165.227.78.159/gponb6abe42c3a9aa04216077697eb1bcd44.php  
0.96%    muhstik hxxp://128.199.251.119/gpon.php  
0.64%    imgay   hxxp://149.28.96.126/forky  
0.60%    imgay   hxxp://149.28.96.126/80  
0.57%    imgay   hxxp://149.28.96.126/  
0.57%    imgay   hxxp://149.28.96.126/81  
0.53%    muhstik hxxp://165.227.78.159/gpon.php

從上面這里采集的數據來看，Satori（累積57.80%）和 muhstik（累積38.87%）是當前GPON漏洞利用的主力。

Satori 本輪更新涉及的惡意代碼下載鏈接

Satori 在本輪更新中，使用了下面這組URL傳播惡意代碼：

hxxp://185.62.190.191/arm  
hxxp://185.62.190.191/arm7  
hxxp://185.62.190.191/m68k  
hxxp://185.62.190.191/mips  
hxxp://185.62.190.191/mipsel  
hxxp://185.62.190.191/r  
hxxp://185.62.190.191/sparc

Satori 本輪更新涉及的惡意代碼樣本分析

我們對其中的樣本 http://185.62.190.191/arm（md5hash:d546bc209d315ae81869315e8d536f36)做了分析。

這個樣本的代碼，與原始版本的Satori已經有了比較大的變化，單純從樣本二進制方面，與原來的satori的關系已經不太大。但是考慮到其在關鍵字符串、域名 TXT 信息、郵件地址等多方面的聯系，我們仍然把其歸在Satori變種之下。

該樣本中有四個加密字符串，對應的解密結果分別如下：

1. c.sunnyjuly.gq

2. Viam0610TCiLpBvezPFGL2aG

3. {"id":0,"jsonrpc":"2.0","method":"miner_reboot"}

4. {"id":0,"jsonrpc":"2.0","method":"miner_file","params":["reboot.bat","4574684463724d696e657236342e657865202d65706f6f6c206574682d7573322e6477617266706f6f6c2e636f6d3a38303038202d6577616c20307864303839376461393262643764373735346634656131386638313639646263303862656238646637202d6d6f64652031202d6d706f72742033333333202d6d707377206775764a746f43785539"]}

第一個字符串為C2，第二個字符串會在控制臺被輸出。 第三、四個字符串在樣本中僅被定義未被發現使用。值得一提的是這兩個字符串和 Satori.robber 中用到的代碼相近，這可以作為該樣本與 Satori 同源的一個旁證。

第四個字符串后面的Hex 部分如下，包含了一個礦池地址，和一個錢包地址：

EthDcrMiner64.exe -epool eth-us2.dwarfpool.com:8008 -ewal 0xd0897da92bd7d7754f4ea18f8169dbc08beb8df7 -mode 1 -mport 3333 -mpsw guvJtoCxU9

Satori 本輪更新中涉及到的錢包地址

這個錢包地址的信息可查，如下。如果按照每24小時產生0.05 個 ETH 幣，從5月10日到現在估計共挖取了 0.3 個 ETH 幣。按照現行每個 ETH 代幣價格 700 美金估算，Satori在目前6天的行動中共獲取了大約 200 美元的收益。

$ curl "http://dwarfpool.com/eth/api?wallet=0xd0897da92bd7d7754f4ea18f8169dbc08beb8df7"
{
  "autopayout_from": "0.050",
  "earning_24_hours": "0.04629051",
  "error": false,
  "immature_earning": 0.0037158866909999997,
  "last_payment_amount": "0.05286277",                        #上一次發薪數額
  "last_payment_date": "Tue, 15 May 2018 17:26:04 GMT",       #上一次發薪時間
  "last_share_date": "Wed, 16 May 2018 09:46:47 GMT",
  "payout_daily": false,
  "payout_request": false,
  "total_hashrate": 137.57,
  "total_hashrate_calculated": 781.0,
  "transferring_to_balance": 0,
  "wallet": "0xd0897da92bd7d7754f4ea18f8169dbc08beb8df7",     #錢包地址
  "wallet_balance": "0.02818296",                             #帳戶余額，待發
  "workers": {
    "": {
      "alive": true,
      "hashrate": 137.57,
      "hashrate_below_threshold": false,
      "hashrate_calculated": 781.0,
      "last_submit": "Wed, 16 May 2018 09:46:47 GMT",
      "second_since_submit": 335,
      "worker": ""
    }
  }
}

Satori 本輪更新涉及域名解析，以及其對外界傳遞的信息

另外，c.sunnyjuly.gq 在DNS系統中一直沒有提供IP地址解析，相反其提供了 TXT 解析，可以視為其作者對外界傳達的信息。作者前后兩次傳遞的信息如下：

2018-05-14 04:22:43    c.sunnyjuly.gq  DNS_TXT Irdev here, i can be reached at village@riseup.net, goodbye  
2018-05-10 00:55:06    c.sunnyjuly.gq  DNS_TXT It is always the simple that produces the marvelous

值得對比的是，在 Satori.robber 中，Satori 的作者通過二進制文件向外界傳遞了如下信息。兩次出現的信息，書寫手法類似，所留下的郵件地址也均為 riseup.net 提供的郵箱。

Satori dev here, dont be alarmed about this bot it does not currently have any malicious packeting purposes move along. I can be contacted at curtain@riseup.net

Satori 本輪更新導致了近期 端口3333 上的掃描

當前版本的Satori還會掃描 3333 端口，并直接導致了我們在 ScanMon 上的一次較大波動。這次掃描的來源大約有17k個獨立IP地址，主要源自 Uninet S.A. de C.V.，隸屬 telmex.com，位于墨西哥。

【不支持外鏈圖片，請上傳圖片或單獨粘貼圖片】

聯系我們

感興趣的讀者，可以在 twitter 或者在微信公眾號 360Netlab 上聯系我們。

Ioc

曾經在 muhstik 控制之下，但已經被安全社區清除的IP列表：

139.99.101.96:9090    AS16276 OVH SAS  
142.44.163.168:9090    AS16276 OVH SAS  
142.44.240.14:9090    AS16276 OVH SAS  
144.217.84.99:9090    AS16276 OVH SAS  
145.239.84.0:9090    AS16276 OVH SAS  
145.239.93.125:9090    AS16276 OVH SAS  
147.135.210.184:9090    AS16276 OVH SAS  
192.99.71.250:9090    AS16276 OVH SAS  
51.254.221.129    "AS16276 OVH SAS"  
66.70.190.236:9090    AS16276 OVH SAS #當前未生效  
51.254.219.137    "AS16276 OVH SAS"  
51.254.219.134    "AS16276 OVH SAS"  
191.238.234.227    "AS8075 Microsoft Corporation"

近期我們觀察到的利用 GPON 分發惡意軟件的下載鏈接

%    botnet_name url Country & Region    ASN
57.77%    satori  hxxp://185.62.190.191/r Netherlands/NL  AS49349 Dotsi, Unipessoal Lda.  
32.66%    muhstik hxxp://51.254.219.134/gpon.php  France/FR   AS16276 OVH SAS  
2.20%    muhstik hxxp://162.243.211.204/gpon United States/US New York   AS62567 DigitalOcean, LLC  
1.99%    muhstik hxxp://165.227.78.159/gponb6abe42c3a9aa04216077697eb1bcd44.php  United States/US Clifton    AS14061 DigitalOcean, LLC  
0.96%    muhstik hxxp://128.199.251.119/gpon.php Singapore/SG Singapore  AS14061 DigitalOcean, LLC  
0.64%    imgay   hxxp://149.28.96.126/forky  United States/US College Park   None  
0.60%    imgay   hxxp://149.28.96.126/80 United States/US College Park   None  
0.57%    imgay   hxxp://149.28.96.126/   United States/US College Park   None  
0.57%    imgay   hxxp://149.28.96.126/81 United States/US College Park   None  
0.53%    muhstik hxxp://165.227.78.159/gpon.php  United States/US Clifton    AS14061 DigitalOcean, LLC  
0.32%    muhstik hxxp://162.243.211.204/gponexec United States/US New York   AS62567 DigitalOcean, LLC  
0.28%    imgay   hxxp://149.28.96.126/8080   United States/US College Park   None  
0.25%    untitled-1  hxxp://186.219.47.178:8080  Brazil/BR   AS262589 INTERNEXA Brasil Operadora de Telecomunica??es S.A  
0.11%    imgay   hxxp://149.28.96.126/imgay  United States/US College Park   None  
0.11%    muhstik hxxp://162.243.211.204/aio  United States/US New York   AS62567 DigitalOcean, LLC  
0.11%    muhstik hxxp://46.243.189.102/  Netherlands/NL  AS205406 Hostio Solutions B.V.  
0.07%    untitled-2  hxxp://114.67.227.83/busybox    China/CN Beijing    AS4808 China Unicom Beijing Province Network  
0.07%    omni    hxxp://185.246.152.173/omni Netherlands/NL  AS56630 Melbikomas UAB  
0.07%    untitled-2  nc://114.67.227.83:7856 China/CN Beijing    AS4808 China Unicom Beijing Province Network  
0.04%    satori  hxxp://185.62.190.191/s Netherlands/NL  AS49349 Dotsi, Unipessoal Lda.  
0.04%    untitled-2  hxxp://114.67.227.83    China/CN Beijing    AS4808 China Unicom Beijing Province Network  
0.04%    untitled-3  hxxp://209.141.42.3/gponx   United States/US Las Vegas  AS53667 FranTech Solutions  
0.04%    untitled-2  hxxp://114.67.227.83/   China/CN Beijing    AS4808 China Unicom Beijing Province Network

上述內容就是GPON 漏洞中的Satori 僵尸網絡是怎樣的，你們學到知識或技能了嗎？如果還想學到更多技能或者豐富自己的知識儲備，歡迎關注億速云行業資訊頻道。