伸向ARC的Satori

　　Satori是恶名远扬的物联网恶意软件Mirai的继承变种，被研究人员在2017年12月发现。“Satori”这个词在日语里是“开悟”或者“领悟”的意思，但Satori恶意软件带来的却是一片混乱。它的每一个新版本都把目标平台、传播方法和攻击类型进行了重新组合。与传统恶意软件逐渐增强的功能相比，Satori似乎既有进步又有倒退。深入挖掘其历史将有助于我们洞悉这一不断演变的威胁软件。

物联网恶意软件的由来

　　2016年末，上了头条新闻的大规模DDoS攻击第一次引起了人们对物联网安全的关注。恶意软件Mirai并没有像大多数威胁软件那样针对Windows系统，它的目标是物联网设备和其他嵌入式系统的漏洞。这些设备是DDoS僵尸网络的极佳选择，因为它们通常运行精简版的Linux，直接连接到互联网，而且安全功能非常有限。

　　Mirai及其很多模仿者的运行原理都是类似的：

　　· 传播——受感染的设备会随机的去感染其他设备。Mirai开始时便利用了过时的Telnet协议，使用了常见的用户名/密码对。后来的版本则利用具体平台的漏洞来进行传播，例如，家庭路由器Web接口中的命令注入漏洞。

　　· 指挥和控制——一旦被感染，僵尸程序除了传播之外，还会定期访问指挥和控制网站，以获取更新和攻击命令。

　　· 攻击——一旦接到指挥和控制网站的指令，僵尸主机会协同向受害者发起洪水式的攻击。这包括具有特殊标志的TCP数据包、UDP数据包、HTTP请求，或者其他更复杂的洪水式的攻击。

　　Mirai的作者最终公开了该恶意软件的源代码。有了它，任何知道怎样使用编译器的人都能够建立自己的指挥和控制网站，快速构建自己的Mirai僵尸网络。而那些技高一筹的人还可以添加新的传播方法、指挥和控制协议，以及新攻击类型等特性。

Satori

　　研究人员第一次发现Satori是在2017年12月，后来又陆续出现了其他版本。最初发现的Satori与Mirai的不同之处在于其传播方法针对的是物联网设备中的两个漏洞——华为家庭网关的“零日”，以及Realtek的UPnP SOAP接口中已知的命令执行漏洞。这两种漏洞显然都是针对两类非常具体的设备，这与和设备无关的Mirai不同，Mirai所感染的设备一般使用了默认的或者很容易被猜到的Telnet用户名和密码。尽管有证据表明Satori至少重新使用了Mirai部分公开的代码，其非常有针对性的攻击才是引起研究人员注意的原因所在。

　　也许是为了进一步把水搅浑，其他版本的Satori确实使用Telnet来传播，但是有更复杂的用户名和密码列表。

　　包括Satori在内的所有物联网恶意软件都是以编译后的、随时可以运行的格式发送给受害者的。这意味着专门针对受害者的架构编译了Linux可执行文件。例如，ARM设备不能运行为x86处理器编译的可执行文件。在发送其有效载荷之前，Mirai和Satori会试探受害者，确定要下载并执行Mirai经过预编译的哪一个二进制版本。而Satori魔高一丈，引入了新的架构——SuperH和ARC。还不清楚Satori背后的犯罪分子为什么这样做，是因为他们知道有易感染的主机，还是碰运气而已。

　　下面的图表基于ASERT的分析，介绍了Satori三种最新变种的相似性和差异性。参考文献[1]-[5]提供了包括其他IoC在内的补充信息。由于变种1缺少参考文献[1]所描述的功能，因此表中不包括它。

　　我们要特别指出的是Satori的第4个变种，因为它看起来是第一个已知的ARC恶意软件。它能够在ARC芯片上运行，这将捕获更多的僵尸网络主机。据参考文献[6]，一篇写于2014年的文章，“ARC处理器IP内核已经获得了190多家公司的许可，每年应用于超过15亿的产品中。”然而，这个新领域现在已被打破，这为其他恶意软件作者攻击该架构铺平了道路。

DDoS缓解

　　Satori的所有变种都利用了Mirai DDoS攻击代码库的不同子集，因此，长期以来基于Mirai的DDoS缓解措施仍然适用。例如，可以参考ASERT博客中名为“Mirai物联网僵尸网络介绍”，以及“DDoS攻击缓解”文章中的实例[7]。Arbor客户还可以向其账户管理部门或者Arbor ATAC申请最新的ASERT Mirai威胁咨询，获得详细的Arbor具体产品缓解建议。

　　此外，DDoS恶意软件持续的向不同处理器架构扩展，进一步说明了网络运营商应采用网络当前最佳实践(BCP)。虽然Mirai常常把采用了弱密码的IPTV摄像机和DVR作为攻击目标，但威胁犯罪分子总是想从还未被攻破的设备那里有所斩获。随着恶意软件作者把魔爪伸向ARC和其他嵌入式处理器，DDoS恶意软件会去破坏多种连接了互联网的设备，例如，手机、游戏机等。网络运营商必须重新思考他们的防御策略，保护内部设备不被攻破，包括那些以无线方式联网的设备。如果没有主动实施网络架构和运营BCP，那么由于扫描和对外DDoS攻击所带来的附带损害后果就会非常严重。参考文献[8]和[9]提供了BCP相关参考。

总结

　　物联网恶意软件的影响不言而喻，而且威胁形势还在不断演变。弱得不能再弱的是采用默认用户名和密码，这已经被滥用了，攻击者转向会更有收获的攻击——利用设备本身的漏洞。这在Mirai于2016年带给世界的预兆中已经有所反映——物联网设备是不安全的，会被滥用。我们认为物联网恶意软件的三个基本原理还是那样——传播、指挥和控制，以及攻击，但随着时间的推移将变得更加复杂，不断演进。

参考文献

　　[1] https://researchcenter.paloaltonetworks.com/2018/01/unit42-iot-malware-evolves-harvest-bots-exploiting-zero-day-home-router-vulnerability/

　　[2] https://research.checkpoint.com/good-zero-day-skiddie/

　　[3] http://blog.netlab.360.com/warning-satori-a-new-mirai-variant-is-spreading-in-worm-style-on-port-37215-and-52869-en/

　　[4] http://blog.netlab.360.com/early-warning-a-new-mirai-variant-is-spreading-quickly-on-port-23-and-2323-en/

　　[5] https://www.reddit.com/r/LinuxMalware/comments/7p00i3/quick_notes_for_okiru_satori_variant_of_mirai/

　　[6] http://www.techdesignforums.com/practice/technique/power-performance-processor-ip/

　　[7] https://www.arbornetworks.com/blog/asert/mirai-iot-botnet-description-ddos-attack-mitigation/

　　[8] https://app.box.com/s/osk4po8ietn1zrjjmn8b

　　[9] https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html

关于作者

　　徐开勇(George Tsui)

　　Arbor Networks 中国和香港地区总经理

　　徐开勇(George Tsui)先生现任Arbor Networks 中国和香港地区总经理。他的主要职责包括在该地区管理和开发渠道销售网络，以及面向服务提供商和企业级市场制定销售策略和市场开发计划。加入Arbor Networks之前，他曾任英国电信公司区域总监，管理大中华区的销售渠道业务和运营，全面负责企业损益、卓越运营以及客户满意度。加入英国电信公司之前，他曾在香港电讯和Infonet香港公司担任不同的高级职务。

　　徐开勇先生在全球电信/ ICT行业拥有超过24年的丰富经验，其关注领域及专长包括渠道合作伙伴/联盟开发、销售和商业管理。

　　徐开勇先生在香港办公，他拥有英国诺丁汉大学(University of Nottingham)电气与电子工程学士学位。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。