Satori变种正在通过替换钱包地址盗取ETH数字代币
字数 2475 2025-08-18 11:37:02

Satori.Coin.Robber 僵尸网络变种技术分析报告

一、概述

Satori.Coin.Robber是Satori僵尸网络的新变种,首次被发现于2018年1月8日。该变种在原有Satori功能基础上新增了针对Claymore Miner挖矿设备的攻击能力,通过替换钱包地址盗取ETH数字代币。

二、技术特征

1. 传播机制

  • 扫描端口

    • 37215端口:利用CVE-2017-17215漏洞(华为设备漏洞)
    • 52869端口:利用CVE-2014-8361漏洞(Realtek SDK漏洞)
    • 3333端口:新增端口,针对Claymore Miner远程管理接口

  • 扫描技术改进

    • 采用异步网络连接(NIO)方式提高扫描效率
    • 扫描载荷分为三个阶段:
      1. miner_getstat1 - 获取设备状态
      2. miner_file - 更新reboot.bat文件(替换矿池和钱包地址)
      3. miner_reboot - 重启设备使更改生效

2. 攻击目标

专门针对Claymore Miner挖矿软件,利用其远程管理接口的安全问题:

  • 早期版本默认开放3333端口且无认证
  • 8.1版本后默认使用-3333端口(只读模式)
  • 存在CVE-2017-16929漏洞(远程文件读写)

3. 钱包替换机制

攻击成功后会将以下信息写入目标设备的reboot.bat文件:

  • 矿池地址:eth-us2.dwarfpool.com:8008
  • 钱包地址:0xB15A5332eB7cD2DD7a4Ec7f96749E769A371572d

三、C2通信协议

  • C2服务器:54.171.131.39(位于爱尔兰都柏林)
  • 基于DNS修改的通信协议
请求域名 服务器响应内容
w.sunnyjuly.gq 返回钱包地址0xB15A5332eB7cD2DD7a4Ec7f96749E769A371572d
p.sunnyjuly.gq 返回矿池地址eth-us2.dwarfpool.com:8008
s.sunnyjuly.gq 返回声明信息:"Satori dev here, dont be alarmed..."
f.sunnyjuly.gq 返回IP地址213.74.54.240(研究人员fuzzing发现)

四、与原始Satori的异同

相同点:

  1. 代码结构:

    • 使用UPX加壳
    • 相同的幻数0x4A444E53
    • 脱壳后代码结构高度相似

  2. 配置信息:

    • 相同加密方式
    • 相同配置字符串(如/bin/busybox SATORIbigbotPein等)

  3. 扫描载荷:

    • 对37215和52869端口的扫描载荷相同

不同点:

  1. 新增功能:

    • 增加3333端口扫描
    • 新增Claymore Miner攻击能力

  2. 技术改进:

    • 使用NIO提高扫描效率
    • 新增C2通信协议

五、感染趋势分析

根据ScanMon数据:

  • 初始出现时间:2018年1月8日
  • 高峰时间:2018年1月8日-1月8日
  • 主要扫描源:AS4766 Korea Telecom
  • 独立扫描源IP约4,900个

与原始Satori相比感染速度显著降低(原始版本12小时感染26万设备)

六、防御建议

  1. Claymore Miner用户

    • 升级到最新版本
    • 设置强密码保护远程管理接口
    • 关闭不必要的远程管理功能

  2. 网络设备管理员

    • 封堵37215、52869和3333端口的入站连接
    • 检查设备是否存在相关漏洞

  3. 安全监测

    • 监控异常DNS查询(特别是sunnyjuly.gq相关域名)
    • 监测异常矿池连接(eth-us2.dwarfpool.com:8008)

七、技术影响评估

  • 创新性:首次观察到僵尸网络替换其他挖矿设备钱包地址的行为
  • 持久性:即使控制服务器被接管,已感染的挖矿设备仍会持续为攻击者贡献算力
  • 收益情况(截至2018年1月16日):
    • 平均算力:1606 MH/s
    • 24小时收入:0.1733 ETH
    • 总收益:0.76 ETH(首次支付于1月11日)

八、样本信息

  • 样本哈希:737af63598ea5f13e74fd2769e0e0405(Satori.Coin.Robber)
  • 对比样本:5915e165b2fdf1e4666a567b8a2d358b(2017年10月版本)

九、作者声明

攻击者通过C2协议发布声明:
"Satori dev here, dont be alarmed about this bot it does not currently have any malicious packeting purposes move along. I can be contacted at curtain@riseup.net."

中文大意:"我是Satori的作者,现在这个bot还没有什么恶意的代码,所以暂时放轻松。联系我的话,邮件写给curtain@riseup.net"

十、结论

Satori.Coin.Robber代表了僵尸网络技术的新发展方向,将传统IoT设备感染与加密货币挖矿相结合,并通过替换钱包地址实现持久性收益。虽然当前感染速度较慢,但其技术模式可能被其他恶意软件效仿,需要持续关注。

Satori.Coin.Robber 僵尸网络变种技术分析报告 一、概述 Satori.Coin.Robber是Satori僵尸网络的新变种,首次被发现于2018年1月8日。该变种在原有Satori功能基础上新增了针对Claymore Miner挖矿设备的攻击能力,通过替换钱包地址盗取ETH数字代币。 二、技术特征 1. 传播机制 扫描端口 : 37215端口:利用CVE-2017-17215漏洞(华为设备漏洞) 52869端口:利用CVE-2014-8361漏洞(Realtek SDK漏洞) 3333端口:新增端口,针对Claymore Miner远程管理接口 扫描技术改进 : 采用异步网络连接(NIO)方式提高扫描效率 扫描载荷分为三个阶段: miner_getstat1 - 获取设备状态 miner_file - 更新reboot.bat文件(替换矿池和钱包地址) miner_reboot - 重启设备使更改生效 2. 攻击目标 专门针对Claymore Miner挖矿软件,利用其远程管理接口的安全问题: 早期版本默认开放3333端口且无认证 8.1版本后默认使用-3333端口(只读模式) 存在CVE-2017-16929漏洞(远程文件读写) 3. 钱包替换机制 攻击成功后会将以下信息写入目标设备的reboot.bat文件: 矿池地址 :eth-us2.dwarfpool.com:8008 钱包地址 :0xB15A5332eB7cD2DD7a4Ec7f96749E769A371572d 三、C2通信协议 C2服务器 :54.171.131.39(位于爱尔兰都柏林) 基于DNS修改的通信协议 : | 请求域名 | 服务器响应内容 | |---------------------|------------------------------------------------------------------------------| | w.sunnyjuly.gq | 返回钱包地址0xB15A5332eB7cD2DD7a4Ec7f96749E769A371572d | | p.sunnyjuly.gq | 返回矿池地址eth-us2.dwarfpool.com:8008 | | s.sunnyjuly.gq | 返回声明信息:"Satori dev here, dont be alarmed..." | | f.sunnyjuly.gq | 返回IP地址213.74.54.240(研究人员fuzzing发现) | 四、与原始Satori的异同 相同点: 代码结构: 使用UPX加壳 相同的幻数0x4A444E53 脱壳后代码结构高度相似 配置信息: 相同加密方式 相同配置字符串(如 /bin/busybox SATORI 、 bigbotPein 等) 扫描载荷: 对37215和52869端口的扫描载荷相同 不同点: 新增功能: 增加3333端口扫描 新增Claymore Miner攻击能力 技术改进: 使用NIO提高扫描效率 新增C2通信协议 五、感染趋势分析 根据ScanMon数据: 初始出现时间:2018年1月8日 高峰时间:2018年1月8日-1月8日 主要扫描源:AS4766 Korea Telecom 独立扫描源IP约4,900个 与原始Satori相比感染速度显著降低(原始版本12小时感染26万设备) 六、防御建议 Claymore Miner用户 : 升级到最新版本 设置强密码保护远程管理接口 关闭不必要的远程管理功能 网络设备管理员 : 封堵37215、52869和3333端口的入站连接 检查设备是否存在相关漏洞 安全监测 : 监控异常DNS查询(特别是sunnyjuly.gq相关域名) 监测异常矿池连接(eth-us2.dwarfpool.com:8008) 七、技术影响评估 创新性 :首次观察到僵尸网络替换其他挖矿设备钱包地址的行为 持久性 :即使控制服务器被接管,已感染的挖矿设备仍会持续为攻击者贡献算力 收益情况 (截至2018年1月16日): 平均算力:1606 MH/s 24小时收入:0.1733 ETH 总收益:0.76 ETH(首次支付于1月11日) 八、样本信息 样本哈希:737af63598ea5f13e74fd2769e0e0405(Satori.Coin.Robber) 对比样本:5915e165b2fdf1e4666a567b8a2d358b(2017年10月版本) 九、作者声明 攻击者通过C2协议发布声明: "Satori dev here, dont be alarmed about this bot it does not currently have any malicious packeting purposes move along. I can be contacted at curtain@riseup.net." 中文大意:"我是Satori的作者,现在这个bot还没有什么恶意的代码,所以暂时放轻松。联系我的话,邮件写给curtain@riseup.net" 十、结论 Satori.Coin.Robber代表了僵尸网络技术的新发展方向,将传统IoT设备感染与加密货币挖矿相结合,并通过替换钱包地址实现持久性收益。虽然当前感染速度较慢,但其技术模式可能被其他恶意软件效仿,需要持续关注。