殭屍網路Satori又作亂，這次瞄準D-Link家用路由器

接連入侵各廠牌無線路由器的殭屍網路Satori本月又在作亂。安全廠商NetLab 360發現，這次受害者是D-Link及另一家中國業者產品。

Satori是Mirai的變種，由中國安全業者Qihoo NetLab 360研究中心首先在2017年11月發現並命名。同年12月Satori在短短2周之間感染10萬台IoT裝置，其中包括將近9萬台華為一款家用路由器。今年2月，Satori又挑上南韓Dasan Networks一款家用路由器，入侵漏洞控制4萬台裝置。隨後於5月間Dasan Networks又有GPON路由器兩項漏洞遭到包括Satori等5隻惡意程式感染，數量至少24萬台。

6月14日Qihoo又發現Satori殭屍網路開始掃瞄網路，企圖開採中國廠商雄邁產品XiongMai uc-httpd 1.0.0（CVE-2018-10088）緩衝溢位漏洞。其掃瞄活動也導致80、8000、8080 port的大量流量。隔天Satori又釋出了新變種，目標變成D-Link DSL-2750B的家用無線路由器，這次是一隻蠕蟲程式，這意謂著它會主動複製、感染其他裝置而不需使用者任何動作。

除了掃瞄連網裝置尋找指紋為uc-httpd 1.0.0的IP位址、回報攻擊來源，研究人員也觀察到Satori變種具備DDoS能力，至少在6月中發動過兩波DDoS攻擊

另一家安全廠商Radware也同時發現Satori肆虐，Satori 殭屍網路入侵D-Link路由器，在24小時內造成攻擊流量在全球快速上升，最高峰曾超過2500個攻擊來源。

針對D-Link DSL-2750B的Satori變種樣本分析顯示，Satori攻擊開採的是其RCE漏洞。它會發動wget指令，從185.62.190.191伺服器下載遠端腳本程式。而以國家來看，這波攻擊中受影響的D-Link DSL-2750B分佈比例以巴西、南韓及義大利最高。

安全廠商指出，這個RCE漏洞早在2016年即已被揭露，影響D-Link產品韌體1.01到1.03版，不過迄今沒有修補。Ars Technica建議最簡單的自我保護方法是換掉不安全的產品。