360網絡安全研究院2017年12月5日發布關于Satori的?文章，提到Satori僵尸網絡正在以前所未有的速度快速傳播。自從文章發布以后，安全社區、ISP、供應鏈廠商共同協作，Satori 的控制端服務器被 sinkhole、ISP和供應鏈廠商采取了行動，Satori的蔓延趨勢得到了暫時遏制，但是Satori的威脅依然存在。

從 2018-01-0810:42:06 GMT+8 開始，我們檢測到Satori 的后繼變種正在端口37215和52869上重新建立整個僵尸網絡。值得注意的是，新變種開始滲透互聯網上現存其他Claymore Miner挖礦設備，通過攻擊其3333 管理端口，替換錢包地址，并最終攫取受害挖礦設備的算力和對應的 ETH 代幣。360網絡安全研究院將這個變種命名為 Satori.Coin.Robber。

這是第一次有僵尸網絡替換其他挖礦設備的錢包。這給對抗惡意代碼帶來了一個新問題：即使安全社區后續接管了 Satori.Coin.Robber 的上聯控制服務器，那些已經被篡改了錢包地址的挖礦設備，仍將持續為其貢獻算力和 ETH 代幣。

到 2018-01-1617:00 GMT+8 為止， 礦池的?付費記錄?顯示：

Satori.Coin.Robber當前正在持續挖礦，最后一次更新大約在5分鐘之前；

Satori.Coin.Robber過去2天內平均算力大約是1606 MH/s；賬戶在過去24小時累積收入 0.1733 個ETH代幣；

Satori.Coin.Robber已經在2017年1月11日14時拿到了礦池付出的第一個ETH 代幣，另有 0.76 個代幣在賬戶上

另外值得一提的是，Satori.Coin.Robber的作者通過下面這段話宣稱自己當前的代碼沒有惡意，并且留下了一個電子郵箱地址：

圖1

Claymore Miner遠程管理接口上的系列安全問題

Claymore Miner 是一個流行的的多種代幣的挖礦程序，互聯網上現存了較多設備正在基于Claymore Miner挖礦。Claymore Miner 提供了遠程監控和管理的接口。

按照其?文檔?的描述，其 Windows版本通過 Remote management 子目錄下的EthMan.exe 文件，在3333端口上，提供了遠程監控和管理的特性。其早期版本允許遠程讀取挖礦進程的運行狀態，同時也允許執行重啟、上傳文件等控制行為。

在缺省情況下就可以獲得部分控制權，這顯然是個脆弱性問題。作為應對，8.1 版本以后，Claymore Miner 缺省使用 -3333 （而不是 3333 ）端口作為啟動參數，這意味著遠程管理端口是只讀的，不再能夠執行控制命令。

但是這并不代表這一系列的遠程管理接口問題就到此結束了。2017年11月，CVE-2017-16929?被披露，允許遠程讀寫任意文件。對應的?利用代碼?也已經批露。

360網絡安全研究院這次觀察到的漏洞利用代碼跟上面列出的均有所不同。這次攻擊主要是針對開放了3333端口管理、同時又沒有設置遠程登錄密碼的 Claymore Miner挖礦設備。為防止潛在的濫用，360網絡安全研究院不會在文章中公布詳細細節。

Satori.Coin.Robber?變種正在利用上述脆弱性問題攫取?ETH?代幣算力

在 2018-01-08至2018-01-12期間，360網絡安全研究院觀察到了以下樣本：

?

圖2

這組樣本是Satori的后續變種，這個變種不僅會掃描早先的 37215 和 52869 端口，還會掃描 3333 端口，三個端口上的掃描載荷分別是：

端口 37215 : 已有，針對漏洞 CVE-2017-17215，華為公司最近發布了相關的聲明，并在持續更新；

端口 52869 : 已有，針對漏洞 CVE-2014-8361，這是一個針對 Realtek SDK 的漏洞，網上自2015年就公開了漏洞利用代碼

端口 3333 ：新增，針對上述 Eth 挖礦進程遠程管理接口的攻擊。

圖3

上圖是端口 3333 的掃描載荷。這個掃描中，Satori.Coin.Robber 會順序發出三個包，分別是：

第一個包：miner_getstat1，獲取狀態；

第二個包：miner_file，更新reboot.bat文件，替換其中的礦池和錢包地址；

第三個包：miner_reboot，重啟生效。

在這個上述 reboot_bat的文件更新過程中：

礦池地址替換為：eth-us2.dwarfpool.com:8008

錢包地址替換為：0xB15A5332eB7cD2DD7a4Ec7f96749E769A371572d

通過這種方式，Satori.Coin.Robber將其他設備上 ETH 挖礦進程的算力攫取為己用。

Satori.Coin.Robber?與之前版本的異同

對比兩個版本的 Satori.Coin.Robber，尋找其中的異同：

737af63598ea5f13e74fd2769e0e0405Satori.Coin.Robber

5915e165b2fdf1e4666a567b8a2d358bsatori.x86_64，2017年10月版本，VT報告地址

相同點：

代碼：均使用了UPX加殼，并且使用了相同的幻數 0x4A444E53，脫殼后大量代碼結構類似。

配置信息：配置信息均加密，加密方式相同，且大量配置字符串是一致的。例如 /bin/busybox SATORI，bigbotPein，81c4603681c46036，j57*&jE，等等；

掃描載荷：兩者均掃描 37215和 52869 端口，并且使用了相同的掃描載荷

360網絡安全研究院認為這些證據夠強，足以將這次的新變種與之前的 Satori 聯系起來。

不同點：

掃描載荷：Satori.Coin.Robber新增了 3333 端口上針對 Claymore Miner的攻擊

掃描過程：Satori.Coin.Robber使用了異步網絡連接(NIO)方式發起連接，這種方式會提高掃描效率

C2 協議：Satori.Coin.Robber 啟用了一組新的C2 通信協議，會基于DNS協議與54.171.131.39通信。后面會有專門的一節來描述。

下面是一些詳細的截圖證據展示：

圖4

圖5

Satori.Coin.Robber?的新的C2?通信協議

Satori.Coin.Robber的 C2 ：

硬編碼的IP地址，54.171.131.39，位于愛爾蘭都柏林。

通信協議是基于DNS修改的，可以使用 dig @54.171.131.39 $DNS-QNAME any +short 的方式做一個簡單測試，每個$DNS-QNAME對應不同的功能。

圖6

協議釋義如下：

客戶端請求w.sunnyjuly.gq，服務器返回0xB15A5332eB7cD2DD7a4Ec7f96749E769A371572d

客戶端請求 p.sunnyjuly.gq，服務器返回 eth-us2.dwarfpool.com:8008

客戶端請求s.sunnyjuly.gq，服務器返回一段字符串 “Satori dev here, dontbe alarmed about this bot it does not currently have any malicious packetingpurposes move along. I can be contacted at curtain@riseup.net.”

客戶端請求 f.sunnyjuly.gq，服務器返回 213.74.54.240。這個請求并不是樣本中出現的，是360網絡安全研究院的研究人員嘗試 fuzzing 后得到的。

最前面兩個請求的回應，恰好是bot 篡改別的挖礦設備后使用的礦池和錢包地址。但是目前階段，樣本中的掃描載荷仍然是硬編碼的，并沒有使用這里的服務器返回值； 服務器返回的那段英文，翻譯成中文的大意是“我是Satori的作者，現在這個bot還沒有什么惡意的代碼，所以暫時放輕松。聯系我的話，郵件寫給curtain@riseup.net”

Satori.Coin.Robber?的感染趨勢

360網絡安全研究院大體上可以使用三個掃描端口在 ScanMon 上的掃描趨勢來度量 Satori.Coin.Robber 的感染范圍和趨勢。

37215、52869?和?3333?端口上過去30 天的掃描趨勢依次如下：

圖7

圖8

圖9

總體來看，三個端口上均有掃描暴漲，與本次樣本表現能夠對應：

初始出現時間都在 2018年1月8日附近；

高峰時間都在都在 2018年1月8日～2018年1月8日附近；

最近幾天掃描量逐漸下降；

主要掃描來源在 AS4766Korea Telecom ；

獨立掃描源IP地址，約為 4.9k

噪音方面，37215與52869 端口上，依據1月8日以前的表現，可能有部分掃描來源不屬于Satori.Coin.Robber；但是 3333 端口比較干凈，依據1月8日以前的表現來看，噪音較小。考慮到三個端口上的掃描表現趨于一致，360網絡安全研究院認為上述數據可以表現當前 Satori.Coin.Robber 的感染趨勢。

結語

Satori 的最初版本雖然已經被安全社區抑制，但是新的繼任者已經出現。

新的Satori.Coin.Robber，會掃描別的設備上的挖礦程序，并將錢包地址替換成自己的。這是360網絡安全研究院在botnet領域第一次看到這種行為模式。

盡管作者宣稱自己當前沒有惡意，但是傳播惡意代碼、未經授權修改他人計算機上的信息、攫取他人計算機算力為自己挖取數字代幣，這些行為都是惡意行為。

考慮到12月5日附近Satori在12小時內感染了超過26萬IoT設備，當前Satori.Coin.Robber的感染速度已經遠遠變低，暫時不用恐慌。

上述感染速度的降低，不應該歸因為攻擊者刻意降低了掃描的速度，特別是考慮到攻擊者啟用了NIO技術來加速掃描階段的效率；而應該歸因為安全公司、ISP、供應鏈設備廠商共同的協作和努力。

*本文作者：360 安全衛士，轉載請注明來自 FreeBuf.COM

總結

以上是生活随笔為你收集整理的Satori变种正在通过替换钱包地址盗取ETH数字代币的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。