Satori Botnet Has Sudden Awakening With Over 280,000 Active Bots

นักวิจัยด้านความปลอดภัยออกมาเตือนเกี่ยวกับ Botnet ตัวใหม่ที่ชื่อว่า Satori โดยพบพฤติกรรมที่เชื่อว่าเป็นของ Botnet ตัวนี้บน IP Address มากกว่า 280,000 IPs ในช่วงเวลาเพียง 12 ชั่วโมง และเชื่อว่าน่าจะเป็น Botnet ชนิดใหม่ของ Mirai

Li Fengpei นักวิจัยด้านความปลอดภัย จาก Qihoo 360 Netlab ให้ข้อมูลว่า Satori เริ่มจากการสแกนพอร์ต 37215 และ 52869 ความแตกต่างที่สำคัญระหว่าง Satori และ Mirai คือ Mirai จะอาศัย Telnet scanner เพื่อหาเครื่องที่จะกระจายตัวต่อไป แต่ Satori จะใช้วิธีการเจาะผ่าน zero-day บน Pot 37215 และ 52869 ทำให้มันสามารถแพร่กระจายได้ด้วยตัวมันเองโดยไม่ต้องอาศัยส่วนประกอบอื่นเพิ่มเติม ทั้งนี้ Dale Drew หัวหน้าทีมนโยบายความปลอดภัยจาก CenturyLink บริษัทผู้ให้บริการ Internet รายใหญ่ของโลก ได้ให้สัมภาษณ์ว่าเค้าเชื่อว่าช่องโหว่บน Port 37215 นั้น น่าจะเป็นช่องโหว่ใน router ของ Huawei Home Gateway ซึ่งเป็นช่องโหว่ RCE(CPAI-2017-1016) ที่ถูกพบโดย Check Point เมื่อประมาณปลายเดือนพฤศจิกายนที่ผ่านมา และช่องโหว่บน Port 52869 นั้น น่าจะเป็นช่องโหว่เก่าในอุปกรณ์ของ Realtek(CVE-2014-8361) ซึ่งถูก Patch ไปก่อนหน้านี้แล้วในอุปกรณ์บางตัว ทำให้เมื่อดูจากปริมาณการโจมตีที่สำเร็จบน Port 52869(19,403 IPs) น้อยกว่ามาก เมื่อเทียบกับ Port 37215(263,250 IPs) เมื่อทำการตรวจสอบกับ Shodan พบว่ามีอุปกรณ์มากกว่า 225,000 ตัวที่ยังคงออนไลน์อยู่

Li Fengpei ยังได้ชี้แจงถึงเรื่องความเชื่อมโยงของ Satori ตัวนี้กับ Mirai ที่พบเมื่อช่วงเดือนก่อน โดยยังไม่เป็นที่แน่ชัดว่าผู้ที่อยู่เบื้องหลัง Botnet สองตัวนี้คือคนๆเดียวกันหรือไม่ แต่ Botnet สองตัวนี้มีการใช้ชื่อไฟล์ และฟังก์ชันเฉพาะตัวบางอย่างเหมือนกันอยู่ รวมทั้งมีการใช้ C&C protocols บางตัวร่วมกันอยู่ ทำให้เชื่อว่า Botnet สองตัวนี้น่าจะมีความเกี่ยวข้องกันอยู่

ที่มา : bleepingcomputer