近日，在 360 召开的小型媒体沟通会上，360 安全专家李丰沛介绍了 360 网络安全研究院近期发现的新型僵尸网络 Satori.Coin.Robber。
2017 年下半年，数字代币让投资者陷入痴狂，而背后产生数字代币的“挖矿机制”面临的安全问题也牵动着安全人员与矿主的心。作为一种互联网理论或者技术，对于黑客来说就是有机可乘的，此次 360 发现的 Satori.Coin.Robber 正是基于挖矿机制的入侵方式。
该病毒通过利用开放了 3333 端口管理、但没有设置远程登录密码的 Claymore Miner 挖矿设备，进行远程登录，并将其电子钱包地址更改为入侵者设置的地址，这样挖出的 ETH 代币将自动被侵入者账户“收入囊中”。
李丰沛作了一个有趣的比喻：“好比原先是直接抢钱的，这回是把商户的收费二维码变成自己，这样别人付费的时候钱就直接流到自己的口袋了。”
虽然截至 2018 年 1 月 17 日，该僵尸网络病毒仅仅感染了 4790 台挖矿设备（绝大部分发生在韩国），攻击者一共才拿到 1 枚 ETH 代币，危害并不是很严重。但是这次的发现有它值得关注的地方，它提供了一种入侵挖矿机制、攫取矿机算力的新思路，也就是替换挖矿设备的钱包地址。
而这也给安全人员留下了一道难题：即使安全社区后续接管了 Satori.Coin.Robber 的上游控制服务器，那些已经被篡改了钱包地址的挖矿设备，也会继续为错误的钱包地址提供算力。李丰沛表示，想要将被篡改的地址调整回来是一件麻烦的事情，一方面该地址只有设备主自己知道，并且调整地址这个操作也只有他本人可以进行，所以当下能够给出的解决方案思路是矿主自行查验设备状态。
李丰沛还介绍道，Satori.Coin.Robber 原型最早可以追溯到 2016 年搞得人心惶惶的 Mirai 僵尸网络。在 Mirai 作者将其源码公布后，很多人对该病毒进行了变种创作，Satori 就是其中的“佼佼者”，它的威力巨大，被称为物联网蠕虫。而此次发现的 Satori.Coin.Robber 则是基于 Satori 的变种，保留了 Satori 的功能，并且增加了修改 ETH 币挖矿设备钱包地址的能力。
针对这一病毒，李丰沛也介绍了相应的防御措施：
把矿机升级到最新版本，同时该设密码的地方记得设置密码。
360 发布的相关文档中罗列出了一些受到影响的设备型号，可以参考进行维护。
点此查看完整报告。

公开

同步至部落

取消

完成

0/2000

荧光笔

直线

曲线

笔记

复制

AI

深入了解
翻译
英语
中文简体
中文繁体
法语
德语
日语
韩语
俄语
西班牙语
阿拉伯语
解释
总结

该免费文章来自《极客视点》，如需阅读全部文章，
请先领取课程

免费领取

登录后留言

精选留言

由作者筛选后的优质留言将会公开显示，欢迎踊跃留言。

收起评论



显示
设置



留言





沉浸
阅读





手机端



快捷键



回顶部