物聯網殭屍網路Satori原始碼,被公開在Pastebin上


安全研究人員回報Satori物聯網(IoT ,Internet of Thing)殭屍網路的原始碼已經被放到Pastebin上。去年12月初,Satori在短短12個小時內就影響了28萬個IP地址,讓無數家用路由器成為其殭屍網路的一部分。

Satori(也被稱為Mirai Okiru,趨勢科技偵測為ELF_MIRAI.AUSR),意為日文的“啟蒙”或“覺醒”(“okiru”意為“升起”),被認為是惡名昭彰的Mirai殭屍網路繼承者,同樣地會將路由器殭屍化並攻擊知名網站使其離線。跟Satori一樣,原始的Mirai原始碼也被公開,並且發展出許多新版本。最近在哥倫比亞、厄瓜多、巴拿馬、埃及、突尼西亞和阿根廷都有出現使用Mirai的攻擊。

物聯網殭屍網路Satori原始碼,被公開在Pastebin上
去年12月初,Satori在短短12個小時內就影響了28萬個IP地址,讓無數家用路由器成為其殭屍網路的一部分

Satori攻擊了兩個漏洞:

  • CVE-2017-17215 – 華為家用路由器(Huawei HG532)的漏洞(在2017年11月修補)。對此漏洞的攻擊針對端口37215。
  • CVE-2014-8361 – Realtek SDK 的UPnP SOAP介面命令注入漏洞(在2015年5月修補)。對此漏洞的攻擊針對端口52869。

趨勢科技的初步觀察顯示,在2017年12月與Satori相關的偵測數量超過170,000筆。Satori相關攻擊出現在歐洲(義大利,法國),北非和中東(突尼西亞,埃及)和南美洲(哥倫比亞,厄瓜多)以及美國和日本。

 

[延伸閱讀:保護你的路由器對抗Mirai和其他家庭網路攻擊]

隨著物聯網設備在家庭和工作場合的日益普及,以及它們遭受攻擊後所可能帶來的不良影響,Satori已經成為了確切真實的威脅。分散式阻斷服務攻擊 (DDoS)攻擊、網域名稱系統(DNS)變更惡意軟體和數位貨幣挖礦惡意軟體只是使用者和企業所可能面臨的部分威脅。而且物聯網設備也可能發生顯著的效能下降。

以下是讓路由器和網路更能抵禦攻擊的六個最佳實作

  1. 更新和加強認證來阻止駭客劫持它們
  2. 保持路由器或物聯網設備的韌體和軟體更新,以防攻擊者攻擊安全漏洞
  3. 使用加密來阻止攻擊者竊聽它們的網路流量,尤其是當設備在工作場合使用時
  4. 啟用內建的防火牆
  5. 禁用可能被攻擊者利用的非必要或未更新元件,它們可能會被作為進入連結設備或系統的進入點
  6. 部署更多一層的安全防護,例如入侵偵測和防禦系統

 

趨勢科技解決方案

趨勢科技的Smart Home Network(SHN)提供了內嵌式網路安全解決方案,可以保護連上家庭網路的所有設備抵禦網路攻擊。利用趨勢科技豐富的威脅研究經驗和業界領先的深度封包檢測(DPI)技術,SHN提供智慧服務品質(iQoS)、家長控制、網路安全防護等功能。

趨勢科技的Deep Discovery透過特製引擎、客製化沙箱和跨越整個攻擊週期的無縫關聯技術來偵測、深入分析和主動回應利用漏洞或其他類似威脅的攻擊,從而甚至可以無須更新引擎和特徵碼就偵測這些類型的攻擊。這些解決方案的背後是XGen安全防護X,它提供了跨世代的混合威脅防禦技術,可以抵禦資料中心雲端環境網路端點所面臨的各種威脅。智慧化、最佳化和保持連線,XGen驅動著趨勢科技一系列的安全解決方案:Hybrid Cloud Security、User Protection和Network Dedesne。

 

趨勢科技Deep Discovery Inspector使用下列DDI規則保護客戶抵禦Satori相關威脅:

  • 3215: Command Injection via UPnP SOAP Interface – HTTP (Request)
  • 3772: GAFGYT – HTTP (Request)
  • 2261: GAFGYT – HTTP (Request)

 

趨勢科技Smart Home Network使用以下檢測規則保護客戶抵禦Satori相關威脅:

  • 1133480 EXPLOIT Remote Command Execution via Shell Script -2
  • 1133148 MALWARE Suspicious IoT Worm TELNET Activity -1
  • 1134286 WEB Realtek SDK Miniigd UPnP SOAP Command Execution (CVE-2014-8361)
  • 1134287 WEB Huawei Home Gateway SOAP Command Execution
  • 1133534 MALWARE Suspicious IoT Worm TELNET Activity -2

 

@原文出處:Source Code of IoT Botnet Satori Publicly Released on Pastebin