嘶货

潮热夏夜，昏黄灯光下的巷子口，砍刀、水管、酒瓶按捺不住地摩挲作响。这是黑帮电影中，古惑仔街头械斗的经典场景。所谓手持利器，杀心自起，无论是争夺尖沙咀老大，还是铜锣湾扛把子，利益始终是使人头破血流的终极目的。

网络江湖也如此，前不久，可影响百万GPON家用光纤路由器的漏洞（CVE-2018-10561，CVE-2018-10562）曝光。漏洞大杀器出现后，360网络安全研究院监测到，10天内已经有至少5个僵尸网络家族在积极利用该漏洞构建其僵尸军团，包括 mettle、muhstik、mirai、hajime、satori等等。

对百万路由器的控制，犹如一块硕大的肥肉，而控制权的排他性，决定了想吃上这块肥肉，僵尸网络这群“古惑仔”间，必然有一场血雨腥风的决斗。想想洪兴十二堂，堂口兴衰往复，传奇不断。当下，僵尸网络的这场上位斗争中，一个入会较晚的小辈抢上了龙头，它是如何在这场械斗中杀出重围，背后又有什么秘密武器？360网络安全研究院对此进行了分析。

Satori僵尸网络主角登场

在上一篇文章里，360详细介绍了 muhstik 僵尸网络的情况。在那篇文章发布的前后，通过与安全社区共同的努力，累积关闭了muhstik僵尸网络在OVH上的12个IP地址，以及在微软网络上的1 个IP地址。详细的IP地址列表，见附件IoC部分。

其他的僵尸网络包括：

· Satori：satori是臭名昭著的mirai僵尸网络变种，该恶意代码团伙在2018-05-10 05:51:18 首次加入到抢夺 GPON 易感染设备的行列，并在短短时间内就挤掉了 muhstik，成为我们视野范围内感染频次最高的一员。另外，我们测试验证了Satori的投入模块，在某些版本的设备固件上是能成功执行的。这使得Satori显著区别于参与聚会的其他僵尸网络。

· Mettle：一个恶意代码团伙，基于在越南的IP地址（C2 210.245.26.180:4441，scanner 118.70.80.143）和mettle开源控制模块

· Hajime：hajime的本次更新也包含了 GPON 本次的漏洞利用

· 两个Mirai变种：至少两个恶意代码团伙正在积极利用该漏洞传播mirai变种。其中第二个，已经被称为omni。

· Omni：在 newskysecurity.com 首次公开批露后，我们确认其文档中称为 omni 的僵尸网络，就是我们之前提及的mirai变种之二。

· imgay：这看起来是一个正在开发中的僵尸网络，其功能尚不完善。

本篇文章将主要介绍 Satori 僵尸网络的本轮更新。后续我们也许会发布系列文章的第三篇，对剩下的其他僵尸网络做一描述。第三篇预期会是系列文章的最后一篇，如果没有更多僵尸网络加入聚会的话。

不同僵尸网络的投递力度对比

我们使用蜜罐来采集本次GPON相关漏洞的利用情况。下面列出了我们看到的攻击载荷活动频次Top10，完整的列表可以见文末IoC部分：