新的Satori 僵尸网络变种奴役了数千台 Dasan WiFi 路由器
概述
2018年 2 月 8日,Radware的欺骗网络检测到 8080 端口上的恶意活动显着增加。进一步调查发现了Satori僵尸网络的新变种,能够主动扫描和利用CVE-2017-18046- Dasan未经身份验证的远程执行代码。被称为“Satori.Dasan”,以高成功率迅速扩张。此僵尸网络的 C2/Exploit 服务器是 185.62.188.88(AS49349 – BlazingFast LLC,乌克兰)
目前尚不清楚这个新僵尸网络的目的是什么,因为我们无法在二进制文件中找到特定的攻击媒介。
我们的分析表明,Satori正在寻求收购超过 40,000 台物联网设备,以加入其不断壮大的加密货币矿工大家庭,正如我们在这里和这里所看到的那样。这将使Satori.dasan恶意软件成为第一阶段感染,负责快速扫描互联网以寻找易受攻击的设备。
网络覆盖
在过去的两天里,Radware每天检测到超过 2000 个恶意唯一 IP,几乎是前几周的日平均值的 10 倍。
这些恶意机器人中有很大一部分也在端口8080上进行监听。
通过对大约1000个 IP 进行抽样并查询其服务器标头,Radware 发现 95% 的人认为自己在运行“Dasan 网络解决方案”。
这些恶意机器人中有很大一部分也在端口8080上进行监听。
通过对大约1000个 IP 进行抽样并查询其服务器标头,Radware 发现 95% 的人认为自己在运行“Dasan 网络解决方案”。
快速的Shodan搜索显示大约40,000台设备在监听 8080 端口,其中一半以上位于越南,毫不奇怪,有一个名为“Viettell Corporation”的 ISP。
