搞事了：Satori 變種開始盜幣，E-mail被記者盯上，作者怒了

還記得大明湖畔的Mirai嗎？就是造成美國東部大斷網的「初代」殭屍網路。

這位明星級別的殭屍網路當時可是賺足了眼球，2016 年 10 月 21日，其對美國互聯網域名解析服務商 DYN 發起 DDoS 攻擊，而 DYN 伺服器被攻擊導致 Twitter、亞馬遜、華爾街日報等數百個重要網站無法訪問，美國主要公共服務、社交平台、民眾網路服務癱瘓。

而直到一年後，2017 年 12 月 13 日晚，在美國的阿拉斯加法庭上，這起引人注目的網路安全事件終於塵埃落定，三個美國年輕人承認造成「美國斷網事件」的 Mirai 殭屍網路工具是他們開發的。

事後 FBI 還特意發推特感謝了一票幫忙尋找犯罪者的安全公司。

但 Mirai 殭屍網路開了個壞頭，隨之而來其他針對物聯網設備的殭屍網路所造成的影響也如同傾斜的多米諾骨牌，愈演愈烈。

這裡就不得不提到另一位明星選手 Satori 殭屍網路了。其一經出現就在短短 12 小時內感染了超過 28 萬個 IP 地址，利用最新發現的零日漏洞控制了數十萬台家庭路由器，速度比 Mirai 快了不止一點點。

這大炮級別的威力讓各路人馬吃了一雞，眾多 ISP 和網路安全公司紛紛祭出「天馬流星拳」一錘錘向 Satori 殭屍網路的 C＆C伺服器，滅了 50 多萬台殭屍網路。逼得對方設法掃描埠，尋找肉雞。

就在安全公司鬆了一口氣時候，Satori 又出幺蛾子了。

有黑客將 Satori 的惡意軟體的代碼公布在 Pastebin 上，意味著想搞事情的黑客只要複製粘貼一下就可以讓惡意軟體運行，進一步擴大感染和攻擊範圍。

而且在12月份，安全人員分析 Brickerbot 惡意軟體源代碼的片段時，發現了和 Satori 代碼相同之處。可以證明 Satori 的代碼已經開始在黑客內部流傳。

一周後，1 月 17 日下午 360 團隊在 Twitter 的 blog 中更新了一篇文章，稱他們發現 Satori 變種正在通過替換錢包地址盜取 ETH 數字代幣。

據雷鋒網了解，博客中提到，從 2018年1月8日開始，360 安全團隊開始檢測到 Satori 的後繼變種正在埠 37215 和 52869 上重新建立整個殭屍網路。新變種開始滲透互聯網上現存其他 Claymore Miner 挖礦設備，通過攻擊其 3333 管理埠，替換錢包地址，並最終攫取受害挖礦設備的算力和對應的 ETH 代幣。於是他們將這個變種命名為 Satori.Coin.Robber。

黑別人機器用來挖礦的，常見，黑挖礦設備進去換個錢包地址的，不多見。

截止 2018-01-16 17:00 ，礦池的付費記錄顯示：

Satori.Coin.Robber 當前正在持續挖礦，最後一次更新大約在5分鐘之前；

Satori.Coin.Robber 過去2天內平均算力大約是 1606 MH/s；賬戶在過去24小時累積收入 0.1733 個ETH代幣；

Satori.Coin.Robber 已經在2017年1月11日14時拿到了礦池付出的第一個 ETH 代幣，另有 0.76 個代幣在賬戶上；

值得一提的是，Satori.Coin.Robber 的作者通過下面這段話宣稱自己當前的代碼沒有惡意，並且留下了一個電子郵箱地址：

中文大意是「我是Satori的作者，現在這個 bot 還沒有什麼惡意的代碼，所以暫時放輕鬆。聯繫我的話，郵件寫給curtain@riseup.net。」

蛤？Satori 作者竟然自曝了郵件地址？

有趣的是，在這篇博文發布後，推特上某疑似 Satori 作者的人發了一條推文艾特 360 團隊，大意是說，看看你們做的好事，暴露了我的 email 地址，現在老哥我被記者追著問問題。

並且還附上了一張圖片，上面顯示有三封郵件都來自媒體。其中一封郵件標題十分直接：一個馬上要到截稿大限的記者想要問點關於Satori的問題。

360 團隊也迅速給出了回應，表達大意是終於等到你，還好我沒放棄，這位作者還願意share一些細節嗎？

不說了，雷鋒網編輯也去發郵件了，至於這位小哥回不回那就是未知了。

雷鋒網相關文章：

巨大殭屍網路 Satori 沖著中國某品牌路由器而來，作者身份被披露

「美國斷網」案件告破，FBI致謝中國安全企業

巨大殭屍網路 Satori 沖著中國某品牌路由器而來，作者身份被披露

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！