万万没想到：Satori 僵尸网络出自脚本小子之手

最近出现的 Satori 僵尸网络让安全研究员们深感不安，因为它的规模快速增长为数十万台被攻陷设备。谁成想，Satori 僵尸网络竟然出自一个脚本小子之手。研究人员表示，一个名叫 Nexus Zeta 的黑客创造出 Satori。后者是出现在2016年10月的 Mirai 物联网僵尸网络的变体。

Satori 僵尸网络利用0day 漏洞

Satori 也被称为 “Mirai Okiru”，出现在11月23日左右，当时它开始在互联网传播。Satori 病毒性极强，从一出现就感染了很多台设备。跟此前的 Mirai 变体不同，它并不是依赖于基于 Telent 的暴力攻击，而是使用利用代码。更确切地说，它扫描端口52869并使用 CVE-2014-8361 （影响 Realtek、D-Link等设备的 UPnP 利用代码），而且它扫描端口37215和当时未知的一个利用代码。

随后发现 Satori 利用的实际上是一个影响HG532路由器的0day 漏洞 (CVE-2017-17215)。收到 Check Point 公司研究人员的通知后，其公司在攻击开始发生一周后发布了更新以及安全警告。

12月5日，Satori 开始在多个研究员和网络安全公司的蜜罐中出现。当时，Satori 共有超过18万个僵尸，其中多数位于阿根廷。随后，Satori 开始感染位于埃及、土耳其、乌克兰、委内瑞拉和秘鲁的互联网服务提供商的设备。

Satori 僵尸网络的 C&C 服务器被拿下

上周末，来自多家互联网服务提供商和网络安全公司的代表联合拿下了 Satori 僵尸网络的主 C&C 服务器。当时，它由50万至70万个僵尸组成。Satori 被拿下后，针对端口52869和37215的扫描活动骤升。当时发生的最可能的场景是，Nexus Zeta 在为另外一个 Satori 实例扫描并寻找僵尸。

罪魁祸首竟然是一个脚本小子

Check Point 公司在昨天发布的报告中公布了 Satori 僵尸网络作者的真实身份：即之前提到的 Nexus Zeta。由于 Nexus Zeta 通过注册一个 HackForums（一个臭名昭著的准黑客们举行会议的地方）账户的邮件地址注册了Satori 基础设施中使用的域名。研究人员表示，虽然他很少活跃在此类论坛中，但他发布的帖子表明他并不是专业黑客。

从Nexus Zeta在11月22日（即Satori活动被检测到的前一天）发布的一篇帖子中可看出，他正在求助如何设置一个Mirai僵尸网络（Satori是Mirai的一个变体）。目前还有两个问题尚不明朗。第一个是，Satori还会卷土重来吗？第二个是，Nexus Zeta是自己发现了复杂的0day漏洞还是他从别的地方购买的？

从目前可获知的信息来看，Satori 并未被认为是过去几周来任何大规模 DDoS 攻击的来源。需要注意的是，Satori (Mirai Okiru) 僵尸网络并不是上个月出现的基于 Mirai Akuma变体之上的僵尸网络。