安全威胁预警：Mirai变种Satori正在端口 37215 和 52879 上类似蠕虫式传播

[更新记录]

- 文中提到的C2地址 95.211.123.69:7654 ，实际是 95.211.123.69:7645 的笔误。

在360网络安全研究院之前的blog中，我们提及有大约10万个来自阿根廷的独立扫描IP正在扫描端口2323和23，并且确定这是一个新的mirai变种。在过去的几天中，扫描行为变得愈发严重，更多的国家出现在我们的ScanMon平台上。仔细分析后研究人员看到了更多的部分，意识到之前2323/23端口上的扫描还只是巨大拼图的一小部分。就在我们继续深入分析的时候，研究人员注意到一个新的情况出现，值得引起安全社区立即注意。下面是对这个情况非常简短和粗略的说明。

大约从中午(2017-12-05 11:57 AM)开始，360网络安全研究院注意到Satori（一个mirai变种）的新版本正在端口37215和52869上非常快速的传播。这个新变种有两个地方与以往mirai有显著不同：

bot 不再完全依赖以往的 loader/scanner 机制进行恶意代码的远程植入，而是自身有了扫描能力。这是一个类似蠕虫的传播行为，值得引起注意；

bot 中增加了两个新的漏洞利用，分别工作在端口 37215 和52869 上。考虑到bot类似蠕虫的行为，我们建议安全工作者关注端口 37215 和 52869 上的扫描行为。（可以参考我们的ScanMon系统，或者 ISC 的端口页面）。

当前活跃的是Satori僵尸网络的最新版本。我们已经跟踪Satori好几个月，有强有力的证据证明当前这次攻击与之前 2323/23 端口之间的扫描攻击流量是有关联的。

发起扫描的IP（也就是僵尸网络的bot，“肉鸡”）的数目在急剧增长，在过去的12个小时里，我们看到 263,250 个不同的IP在扫描端口 37215, 以及19,403 个IP在扫描端口 52869。

图1

恶意代码样本和 C2

Satori是一个mirai的变种，同样针对物联网设备，但是也变化了很多。

样本e1411cc1726afe6fb8d09099c5fb2fa6 中包含的C2 有三个：

· 95.211.123.69:7645

· network.bigbotpein.com:23

· control.almashosting.ru

值得注意的是，只有 95.211.123.69:7645 这个是真正起作用的C2，另外的两个 network.bigbotpein.com:23 和 control.almashosting.ru 在当前样本中并没有真正被使用，而是有可能用来迷惑严肃的安全分析人员。 再次值得注意的是，control.almashosting.ru 这个C2 在以往以及正在新收到的其他样本中也被真正使用过。

恶意样本的扫描活动

如下图所示，Satori 的bot 现在会随机的扫描端口 37215 和 52869，取决于一个随机数模三得到的余数是否为零。

漏洞利用

Satori当前会在扫描过程中使用两个漏洞利用(exploit)，一个在端口37215 上，另外一个在端口 52869 上。

· 37215 端口上的漏洞利用尚未见到完全公开的细节。我们团队在过去的几天里持续在跟踪这个漏洞利用，也有了较为深入的了解，但是在本blog中也不会详细描述细节；读者可以继续关注我们后续文章；

· 52869 端口上的漏洞利用，源自 CVE-2014-8361.

Satori在传播过程中，不仅会利用上述漏洞利用，而且会迫使受感染设备从原始下载URL处继续下载Satori自身的恶意代码。这样周而复始，使得恶意代码类似蠕虫式地传播。

与之前端口 23 和 2323 扫描流量攻击的关系

在我们 早先的blog中，我们提及阿根廷来源的扫描流量在23和2323端口上有暴涨。

事实上，在blog发布后的几天里，更多的国家比如埃及、突尼斯、哥伦比亚也发生了类似的攻击。更近一步的跟踪分析发现那次攻击中使用了若干样本和某个特定的漏洞利用。

那次攻击与本次Satori的攻击相比有若干共同点，包括样本的命名和静态特征，部分的C2协议，以及进化中的漏洞利用。因此，我们相信两次攻击是有关联的。

我们还怀疑本次攻击与2017年8月发生在中国的另一次IoT物联网相关的攻击有关系。也许后续我们会发布另外一篇blog详细阐述。

IoC本轮攻击的样本

更早期间的关联样本