搞事了：satori 变种开始盗币，e-亚博电竞网

还记得大明湖畔的mirai吗？就是造成美国东部大断网的“初代”僵尸网络。

这位明星级别的僵尸网络当时可是赚足了眼球，2016 年 10 月 21日，其对美国互联网域名解析服务商 dyn 发起 ddos 攻击，而 dyn 服务器被攻击导致 twitter、亚马逊、华尔街日报等数百个重要网站无法访问，美国主要公共服务、社交平台、民众网络服务瘫痪。

而直到一年后，2017 年 12 月 13 日晚，在美国的阿拉斯加法庭上，这起引人注目的网络安全事件终于尘埃落定，三个美国年轻人承认造成“美国断网事件”的 mirai 僵尸网络工具是他们开发的。

事后 fbi 还特意发推特感谢了一票帮忙寻找犯罪者的安全公司。

但 mirai 僵尸网络开了个坏头，随之而来其他针对物联网设备的僵尸网络所造成的影响也如同倾斜的多米诺骨牌，愈演愈烈。

这里就不得不提到另一位明星选手 satori 僵尸网络了。其一经出现就在短短 12 小时内感染了超过 28 万个 ip 地址，利用最新发现的零日漏洞控制了数十万台家庭路由器，速度比 mirai  快了不止一点点。

这大炮级别的威力让各路人马吃了一鸡，众多 isp 和网络安全公司纷纷祭出“天马流星拳”一锤锤向 satori 僵尸网络的 c＆c服务器，灭了 50 多万台僵尸网络。逼得对方设法扫描端口，寻找肉鸡。

就在安全公司松了一口气时候，satori 又出幺蛾子了。

有黑客将 satori 的恶意软件的代码公布在 pastebin 上，意味着想搞事情的黑客只要复制粘贴一下就可以让恶意软件运行，进一步扩大感染和攻击范围。

而且在12月份，安全人员分析 brickerbot 恶意软件源代码的片段时，发现了和 satori 代码相同之处。可以证明 satori 的代码已经开始在黑客内部流传。

一周后，1 月 17 日下午 360 团队在 twitter 的 blog 中更新了一篇文章，称他们发现 satori 变种正在通过替换钱包地址盗取 eth 数字代币。

据雷锋网了解，博客中提到，从 2018年1月8日开始，360 安全团队开始检测到 satori 的后继变种正在端口 37215 和 52869 上重新建立整个僵尸网络。新变种开始渗透互联网上现存其他 claymore miner 挖矿设备，通过攻击其 3333 管理端口，替换钱包地址，并最终攫取受害挖矿设备的算力和对应的 eth 代币。于是他们将这个变种命名为 satori.coin.robber。

黑别人机器用来挖矿的，常见，黑挖矿设备进去换个钱包地址的，不多见。

截止 2018-01-16 17:00 ，矿池的付费记录显示：

satori.coin.robber 当前正在持续挖矿，最后一次更新大约在5分钟之前；

satori.coin.robber 过去2天内平均算力大约是 1606 mh/s；账户在过去24小时累积收入 0.1733 个eth代币；

satori.coin.robber 已经在2017年1月11日14时拿到了矿池付出的第一个 eth 代币，另有 0.76 个代币在账户上；

值得一提的是，satori.coin.robber 的作者通过下面这段话宣称自己当前的代码没有恶意，并且留下了一个电子邮箱地址：

中文大意是“我是satori的作者，现在这个 bot 还没有什么恶意的代码，所以暂时放轻松。联系我的话，邮件写给curtain@riseup.net。”

蛤？satori 作者竟然自曝了邮件地址？

有趣的是，在这篇博文发布后，推特上某疑似 satori 作者的人发了一条推文艾特 360 团队，大意是说，看看你们做的好事，暴露了我的 email 地址，现在老哥我被记者追着问问题。

并且还附上了一张图片，上面显示有三封邮件都来自媒体。其中一封邮件标题十分直接：一个马上要到截稿大限的记者想要问点关于satori的问题。

360 团队也迅速给出了回应，表达大意是终于等到你，还好我没放弃，这位作者还愿意share一些细节吗？

不说了，雷锋网编辑也去发邮件了，至于这位小哥回不回那就是未知了。

雷锋网相关文章：