Что такое Satori botnet?
Название Satori происходит от японского слова «пробуждение», это вредоносное ПО не новое, но это вариант более небезызвестного вредоносного ПО Mirai IoT DDoS.
Ли Фэнпей, исследователь безопасности с Qihoo 360 Netlab, обнаружил данное в соответствии с другим ПО. Вариант Satori внезапно появился и начал поиск по портам (IP) 37215 и 52869.
Вариант Satori отличается от предыдущих версий Mirai
Согласно отчету Ли, вариант Mirai Satori отличается от всех предыдущих вариантов Mirai. Более ранние варианты Mirai повреждали устройства IoT, а затем загружали компонент сканера Telnet, который пытался найти других жертв и заразить их ботом Mirai.
Вариант Satori избегает сканера, но вместо этого использует два встроенных эксплойта, которые будут пытаться подключиться к удаленным устройствам на портах 37215 и 52869.
Этот новый метод делает Satori червем IoT, который распространяется сам по себе без помощи отдельных компонентов. Satori ведут себя как черви, где зараженные устройства заражают друг друга. Это очень важно для распространения ботнета - исследователи Qihoo наблюдали сканирование с 263 250 различных IP-адресов на портах 37215 и 19403 IP на порте 52869 в течение 12 часов.
Расширение, вызванное таинственным эксплойтом Huawei (уязвимость нулевого дня?)
Ли говорит, что телеметрия, собранная инфраструктурой Netlab, обнаружила 263 250 различных портов сканирования IP-адресов 37215 и 19403 IP-порт сканирования 52869 за последние 12 часов.
Победа Satori в значительной степени объясняется эксплойтами, которую он поставляет на порт 37215. Согласно описанию Ли это, похоже, уязвимость нулевого дня. Атаки на порт 37215 ранее были связаны с уязвимостью обхода пути в 2015 году на маршрутизаторах Huawei, поэтому это может быть либо новый эксплойт Huawei на том же порту, либо улучшенная версия атаки 2015 года.
Дейл Дрю, главный стратег по безопасности в интернет-провайдере CenturyLink, сказал ArsTechnica на этой неделе, что большинство устройств, зараженных новым ботнетом, соответствующих описанию Satori, являются одной из двух моделей Huawei: главный Home Gateway Huawei и EchoLife Home Gateway.
Дейл Дрю, главный стратег по безопасности в широкополосном интернет-провайдере CenturyLink, сказал ArsTechnica в интервью, опубликованном ранее сегодня, что он считает, что этот ботнет злоупотребляет уязвимостью нулевого дня в маршрутизаторах Huawei Home Gateway, ошибка удаленного кода, отмеченная Check Point в конце ноября, о которых очень мало деталей.
Что касается другого эксплойта, то на порту 52869 он относится к известной и старой уязвимости в устройствах Realtek (CVE-2014-8361), которая, скорее всего, была исправлена на некоторых устройствах, вот почему сканирование этого эксплойта менее успешно.
Satori имеет связь с предыдущим ботнетом Mirai
Ли также упомянул, что есть ссылки на связь с ботнетом, созданного с вариантом Mirai Satori, с другим ботнетом на базе Mirai Netlab, вышедшего в прошлом месяце и который достиг около 100 000 ботов, большинство из которых находятся в Аргентине.
Не подтверждено, один и тот же ли человек запускает обе бот-сети, но Ли говорит, что текущий вариант Mirai Satori и предыдущие варианты обменялись названиями файлов и статическими функциями, а также некоторыми из C2-протоколов.
Исследователь безопасности считает, что эти две бот-сети должны быть связаны, а Satori развивается из варианта Mirai в прошлого месяца.
В настоящее время исследователи безопасности по-прежнему собирают информацию об этой новой угрозе, но общедоступные соблазнительные данные подтверждают отчет Netlab.
Вот несколько ценных советов для интернет-пользователей:
Создайте надежный пароль. Убедитесь, что вы не используете пароли по умолчанию на любом из ваших устройств IoT. Вместо этого у вас есть надежный, уникальный пароль. Если вы думаете, что у вас возникнут проблемы с их запоминанием, используйте хороший менеджер паролей для надежного хранения всех ваших паролей. Если атака использует уязвимость, изменение пароля маршрутизатора не защитит вас, что приводит нас к следующему совету...
Обновите ваше устройство. Как только патчи безопасности станут доступны, обновите свои устройства IoT с их помощью.
Удалите ненужный маршрутизатор. Отключите Universal Plug and Play (UPnP) на маршрутизаторах, если это абсолютно необходимо.
Купите безопасный и надежный провайдер. Приобретайте устройства IoT у компаний с хорошей репутацией для обеспечения безопасности устройств.
Советы по предотвращению заражения вашей системы всеми вирусами и вредоносными программами:
- Включите блокировщик всплывающих окон: Всплывающие окна и реклама являются наиболее часто используемой тактикой киберпреступников и разработчиков с намерением распространить вредоносные программы. Поэтому избегайте сомнительных сайтов, программных обеспечений, всплывающих окон и т.д. Установите мощный блокировщик рекламы для Chrome, Mozilla, и Internet Explorer.
- Не забывайте обновлять ваш Windows: чтобы избегать таких заражений, мы рекомендуем обновлять систему через автоматическое обновление Windows. Так ваша система может избегать заражений вирусами. Согласно опросу, устаревшие/ старые версии операционной системы Windows легче подвержены заражениям вирусами.
- Сторонняя установка: старайтесь избегать сайтов для скачивания бесплатных программных обеспечений, так как они обычно в комплекте устанавливают программное обеспечение с другими установками и файлами заглушки.
- Регулярное резервное копирование: регулярное и периодическое резервное копирование помогает вам держать ваши данные в безопасности в случае заражения вирусом или любым другим заражением. Таким образом, регулярно сохраняйте важные файлы на облачном диске или внешнем жестком диске.
- Всегда пользуйтесь антивирусом: Меры предосторожности всегда лучше, чем лечение последствий. Рекомендуем установить антивирус ITL Total Security или Malware Removal Tool например Download Virus RemovalTool
