替换钱包地址：攫取挖矿机器算力新思路！

看新闻很累？看技术新闻更累？试试下载 InfoQ 手机客户端，每天上下班路上听新闻，有趣还有料！

1 月 22 日，360 召开了一个小型的媒体沟通会，会上 360 安全专家李丰沛针对 360 网络安全研究院近期发现的新型僵尸网络 Satori.Coin.Robber 进行介绍。

2017 年下半年，数字代币让投资者陷入痴狂，而背后产生数字代币的“挖矿机制”面临的安全问题也牵动着安全人员与矿主的心。挖矿是定义在区块链整个运作机制上的一个技术环节，它是通过一系列复杂的计算，产生代币进行交易的一种机制。作为一种互联网理论或者技术，对于黑客来说就是有机可乘的，此次 360 发现的 Satori.Coin.Robber 正是基于挖矿机制的入侵方式。

僵尸网络 Satori.Coin.Robber

Satori.Coin.Robber 通过利用开放了 3333 端口管理、但没有设置远程登录密码的 Claymore Miner 挖矿设备，进行远程登录，并将其电子钱包地址更改为入侵者设置的地址，这样挖出的 ETH 代币将自动被侵入者账户“收入囊中”。

李丰沛作了一个有趣的比喻：“好比原先是直接抢钱的，这回 Satori.Coin.Robber 把商户的收费二维码变成自己，回头别人付费的时候钱就直接流到自己的口袋了。”

虽然截至 360 于 2018 年 1 月 17 日发布报告《偷盗的艺术: Satori 变种正在通过替换钱包地址盗取 ETH 数字代币》，该僵尸网络病毒仅仅感染了4.79K 台挖矿设备（绝大部分发生在韩国），攻击者一共才拿到1 枚ETH 代币，危害并不是很严重，但是这次的发现有它值得关注的地方：这是一种入侵挖矿机制，攫取矿机算力的新思路——在这之前，360 还没发现僵尸网络病毒替换挖矿设备钱包地址的攻击方式。

而这也给安全人员留下了一道难题：即使安全社区后续接管了 Satori.Coin.Robber 的上游控制服务器，那些已经被篡改了钱包地址的挖矿设备，也会继续为错误的钱包地址提供算力。李丰沛表示，想要将被篡改的地址调整回来是一件麻烦的事情，一方面该地址只有设备主自己知道，并且调整地址这个操作也只有他本人可以进行，所以当下能够给出的解决方案思路是矿主自行查验设备状态。

Mirai >>> Satori >>> Satori.Coin.Robber

李丰沛介绍，Satori.Coin.Robber 原型最早应该追溯到 2016 年搞得人心惶惶的 Mirai 僵尸网络。Mirai 通过感染存在漏洞的 IoT 设备，并下载 Telnet 扫描其它潜在 Mirai 僵尸宿主机，将其感染，连结成网，在需要时对目标系统发起攻击。在 8 月份被发现之后，Mirai 在接下来几个月内，先后进行 DDoS 导致了 10 月份美国的大断网、11 月份德国断网，还对利比亚、英国等地区进行大规模攻击。

同时 Mirai 作者将其源码公布，这使得更多人可以更加方便地对该病毒进行变种创作，而 Satori 便是其中的“佼佼者”。它与 Mirai 及之前的所有 Mirai 变种都不相同，它不再完全依赖以往的 loader/scanner 机制进行恶意代码的远程植入，而是自身拥有了扫描能力，同时利用 IoT 设备分别工作在 37215 与 52869 端口的两个新漏洞，尝试与主机进行连接，这也就是为什么 Satori 被称为物联网蠕虫。它的威力巨大，“从观测到的数据看，它在 12 个小时内感染了超过 26 万台设备，这已经足以发起上 T 甚至更高数量级的 DDoS 攻击”，李丰沛解释到。

而此次 360 报告的 Satori.Coin.Robber 则更进一步，它是基于 Satori 的变种。Satori.Coin.Robber 保留了 Satori 的功能，并且增加了上文介绍的修改 ETH 币挖矿设备钱包地址的能力。

疑似与作者 Twitter 上进行互动

首先，通过分析，360 网络安全研究院认为此次发现的Satori.Coin.Robber 与原始的 Satori 是同一作者所为。“它们有一些共同特征，其中有一个对二进制的 UPX 加壳，使用了一个随机数作为加壳的钥匙”，李丰沛解释，“这两个版本的病毒，它们的随机数竟然是一模一样的。一般这个证据就已经很铁了，再加上其它辅助的周边证据，所以我们认为它们应该是同一个人或者同一伙人做的。”

“在跟进 Satori.Coin.Robber 的时候，发生了一件有意思的事情”，李丰沛介绍，他们在发布的报告中，附上了一段 Satori.Coin.Robber 作者写在控制服务器端的信息，原文如下：

Satori dev here, dont be alarmed about this bot it does not currently have any malicious packeting purposes move along. I can be contacted at curtain@riseup.net

该信息让看到的人不要害怕，表示该 Satori 变种没有恶意打包、发包功能，也就是说不会发生 DDoS，然后留下一个邮箱 curtain@riseup.net，说有问题可以联系他。

“我们发布报告之后，在 Twitter 上转发了相关内容，之后 Twitter 上有一个人发了一个他与PC Magazine 记者邮件通信的截图，并且@了我们，说‘你看吧，都是因为你们，现在搞得媒体开始发邮件问我这到底是怎么回事了’。同时也有号称是PC Magazine 的媒体记者发邮件给我，询问相关信息。”

一方面，病毒作者留下的curtain@riseup.net 这个邮箱地址是内嵌在控制服务器与客户端之间的网络协议上的，当客户端访问服务器的IP 地址时，DNS 会进行反馈，返回作者留下的那段信息，而邮箱地址就在这段信息中。所以它不是显式的，不是轻易可以获得的；另一方面，看到curtain@riseup.net 与报告里面提到的邮件地址一致，并且看到PC Magazine 记者发的邮件格式、内容、风格与发到360 的是一样的。基于这几点，李丰沛认为这张Twitter 的图片不是伪造的，于是暂时认定 Twitter 上这个 user_73613 便是 Satori 与 Satori.Coin.Robber 的作者。

我们离下一次互联网大瘫痪，只差一个 0day 的距离

前边说到 Satori 针对 IoT 设备的两个漏洞进行利用，其实具体是指国内某厂商的某款路由器的漏洞。Satori 的感染速度为什么会那么快?360 网络安全研究院认为这主要是因为当时这款路由器的铺货量非常大，并且又是很多年前的版本，很多用户没有升级到最新版本，所以导致了 Satori 的肆虐。

说到利用路由器漏洞进行攻击，李丰沛联想起 BrickerBot 病毒。BrickerBot 暴力破解物联网设备的用户名与密码，进而获得控制权限，它并不是把物联网上的设备变成“僵尸机”，进而去执行某些操作，而是直接让它们失去功能，变成“砖”。

“安全社区里关于这个东西的讨论有很多，一个重要的讨论点是作者到底为什么要做这个事情。有人说其实他是一个白帽子，希望通过让用户的设备变砖这种极端的手段，让用户意识到设备有问题，最终把设备打上补丁”，李丰沛介绍，“在疑似 BrickerBot 作者发布的文章中，作者说自己的初衷是好的，希望能通过自己的行动，使得供应链、消费者和整个监管机构都能够重视 IoT 的安全问题。”

这位疑似 BrickerBot 作者还解释称 2017 年 1 月份，轰动一时的华盛顿特区部分摄像头变砖这件事是他干的； 8 月份，他在分析 CVE-2017-7921 漏洞时，发现海康威视有一个 0day，花了 3 周时间攻陷了大约 100 万台摄像头；还称 IoTReaper 感染的主机有一、两百万台是完全不值一提的。种种攻击，如果稍不留意，都将给整个互联网带来足够致命的危害。

“他有一个比较重要的观点：我们离下一次互联网大瘫痪只差 1 个或者 2 个 0day 漏洞”，李丰沛说，“所以他声称自己所做的一切都是在为了使整个安全产业链关注网络安全。”上一次的互联网大灾难是指 2016 年 10 月 21 日美国大规模断网，超半数人无法上网。

而 Satori 事件，尽管只是利用了一个 0day 漏洞，就造成了那么严重的影响，疑似 BrickerBot 作者的这个人说这再次印证了他的担忧：我们离互联网的下一次大面积故障也就是 1 个或者 2 个 0day 的距离了。

那怎么办？合作！

在信息安全领域，没有哪家公司敢宣称他们完全掌握了从物理到通信到网络，从 PC 到移动到 IoT，从二进制到网络等环节的全命脉。只有合作，才有可能让整个世界在高度不确定的网络环境下正常运作。

李丰沛认为让各厂商进行合作其实是挺不容易的。一方面是意识层面上，可能在整个安全链上，前端受到的攻击已经很严重了，势态很危急，但是有时候后端是感知不到这个压力的，具体到一些提供服务的公司，他们根本没有安全意识，这个问题当下还是十分普遍的。

另一方面是利益层面，不同厂商有自己的利益所在，那么在做交流的时候，由于并不是基于共同利益，或者说共同利益极少，那么技术上并不会毫无保留地去分享，传递的信息就会有偏差。举个简单的例子，如果路由器的漏洞已经被利用得很严重了，但是专业安全公司在分析得出相关报告之后并不知会该路由器厂商，那么安全问题只会越来越严重。

“但是大家还是需要合作，并且不断去完善合作机制。”

李丰沛介绍，在发现 Satori 之后，他们首先做的事情就是把相关的信息通报给存在问题的路由器的生产商，并且在报告中也没有具体指明该厂商。

他还介绍：“Satori 的感染速度非常之快，而 Satori.Coin.Robber 却显得很慢，它们感染速度差距非常大。并且，如果你现在去网上扫描 37215 或者 52869 端口的话，已经得不到太多有效的反馈信息了。这意味着什么呢？这说明也许还会有设备没有打上补丁，存在这个漏洞，但是在网络层面，很多 ISP 一起合作，封掉了有问题的端口，使得 Satori.Coin.Robber 主要只能在 3333 这个端口上发作。这就是合作。”

用户防御措施

针对此次发现的 Satori.Coin.Robber，李丰沛也介绍了相应的防御措施：

• 把矿机升级到最新版本，同时该设密码的地方记得设置密码。

• 在 360 发布的相关文档中有具体罗列出一些受到影响的设备型号，可以参考进行维护。

关于 Satori.Coin.Robber 的具体信息可以查看 360 网络安全研究院的报告。