斯諾登開發了一款安卓 APP：可隔絕間諜行為

美國國防部前僱員愛德華·斯諾登（ Edward Snowden ）因為披露美英的監視專案（ “ 稜鏡門 ” ）而名聲大噪，在網際網路上，一些人將其視為 “ 安全鬥士 ” 。斯諾登的最近一項動態和智慧手機有關，他和團隊（新聞基金會、守衛者專案）參與了一款安卓 APP 的開發，並已經上架 Play 商店，名為 Haven（避難所）。

Haven 目前的功能設計為呼叫攝像頭、麥克風等一切手機感測器，對機主所處的環境進行識別感應。官方稱，你可以將 Haven 安裝在備用機上，然後當你離開家或者酒店的時候，這臺備機就會通過光感、聲音感應的等方式監測是否有人偷偷來過。這些視訊、照片等 “ 證據 ” 還可以設定實時傳送到主力機上，幾乎就相當於一隻 “ 看門狗 ”。當然，Haven 也可以裝在主力機上，它內建加密資訊應用 Signal，並且可以配合 Orbot 的暗網伺服器使用，確保所有的資料往來都經過了本地加密。

Haven 剛上架 Play 商店 3 天，目前評分 4.5 分。

此前，斯諾登也曾就手機/筆記本安全分享自己的看法，比如建議只用耳機接電話、堵住筆記本的前置攝像頭等。

來源：cnbeta、快科技

---

巨大殭屍網路 Satori 衝著中國某品牌路由器而來，作者身份被披露

曾造成美國東部大斷網的 Mirai 殭屍網路開了個壞頭，之後被安全研究員們監測到的大型殭屍網路都比 Mirai 的“殭屍軍隊”要大得多。

360 網路安全研究院安全研究員李豐沛曾和團隊釋出了關於 Mirai 的多項深度監測報告，為後來 Mirai 背後元凶落網貢獻了一份力量，最近引起他們極大關注的是一個名叫“Satori”的殭屍網路。

Satori 已經在短短 12小時內感染了超過 28 萬個 IP 地址，利用最新發現的零日漏洞控制了數十萬臺家庭路由器，速度比 Mirai 快了不止一點點——如果把 Mirai 的威力比做一把槍，那麼Satori 就是大炮。只是，這臺“大炮”目前像定時炸彈一樣，還沒有發威。

Satori 比“Mirai”更可怕

Satori 剛開始是以 Mirai Okiru 的名義被追蹤的，在 11 月 23 日左右現出蹤跡。多家安全公司稱，Satori 的絕大多數“肉雞”位於阿根廷。此後，該殭屍網路朝埃及、土耳其、烏克蘭、委內瑞拉和祕魯開始肆虐。

360網路安全研究院、Fortinet 和 Check Point 分別在12月5日、12月12日和12月21日在各自的部落格上釋出了關於 Satori 的研究發現（注：360網路安全研究院還在11月24日釋出了一篇與此相關的安全預警《安全威脅早期預警：新的mirai殭屍網路變種正在埠23和2323上積極傳播》）。

在12月5日這篇《安全威脅預警：Mirai 變種 Satori 正在埠 37215 和 52869 上類似蠕蟲式傳播》博文中，360網路安全研究院稱：“在我們之前的 blog 中，我們提及有大約10萬個來自阿根廷的獨立掃描IP正在掃描埠 2323 和23，並且確定這是一個新的 Mirai變種。在過去的幾天中，掃描行為變得愈發嚴重，更多的國家出現在我們的ScanMon平臺上。仔細分析後我們看到了更多的部分，意識到之前2323/23埠上的掃描還只是巨大拼圖的一小部分。”

可以這樣說，Satori 本質與蠕蟲病毒相似，並且原始碼源於 Mirai，是 Mirai 的升級變種，但 Satori 比 Mirai 要“毒”多了。

1.Mirai 在感染物聯網裝置後，會進一步試圖通過 telnet 掃描來找出易受攻擊的裝置，並使用 Mirai 木馬程式進行感染，Satori不使用掃描器元件，而是利用兩個嵌入式漏洞，來感染連線到埠37215和52869上的遠端裝置。這意味著，Satori 近似於物聯網蠕蟲，無需其他元件即可自行傳播。

2.Mirai 主要通過掃描 2323 和 23 埠來尋找易受攻擊的裝置，Satori 是連線到 37215 和 52869 埠上且存在兩個已知漏洞中任意一個，但並未進行修復的裝置。

很可怕的是，其中一個漏洞後來被認證為 0day（現已有修復建議）。

Satori 是衝著華為路由器來的

李豐沛告訴宅客頻道，此前大家關注點在攝像頭上，其實，現在路由器已經超過了攝像頭，成為了“第一肉雞”。

Checkpoint 和 Fortinet 則直接點名，稱這次的 Satori 是奔著華為路由器來的。而且，上述那個0day 就存在於華為某款路由器上。

宅客頻道注意到，華為於11月30日釋出了一則安全公告《關於HG532產品存在遠端程式碼執行安全漏洞的宣告》（12月22日進行了更新），承認了華為某款安全路由器漏洞的存在，並提出了修復建議。

2017年 11 月 27 日，華為接收到 Check Point 軟體技術研究部門的通知，華為 HG532 產品存在遠端程式碼執行的安全漏洞（CVE-2017-17215）。同時 Check Point 釋出安全預警 CPAI-2017-1016，但預警中不包含漏洞細節。華為在第一時間啟動了分析調查。目前已經確認該漏洞存在。認證後的攻擊者可以向裝置37215埠傳送惡意報文發起攻擊，成功利用漏洞可以遠端執行任意程式碼。

客戶可以通過如下措施規避或預防該漏洞的攻擊，詳情請向當地服務提供商或華為TAC諮詢：

（1） 配置裝置內建防火牆功能

（2） 修改預設口令

（3） 運營商端部署防火牆

客戶可以部署華為NGFW(下一代防火牆)或者資料中心防火牆產品，並升級 IPS 特徵庫至 2017 年 12 月 1 日釋出的最新版本(IPS_H20011000_2017120100)以檢測和防護來自於網路層面的該漏洞攻擊。

華為一直按照行業慣例進行著生命週期管理，並已經建立了生命週期管理體系，明確了產品生命週期策略及產品終止策略。對於非全面停止服務產品華為已經與客戶進行溝通，並根據客戶意見提供解決版本；對於全面停止服務產品華為建議使用者採用規避措施來規避或預防該問題，或者使用較新型號的產品進行替換。

相關的調查工作正在持續進行，華為 PSIRT 會隨時更新安全通告，請持續關注針對此漏洞的安全公告。
“中關村線上”的一篇報導則稱，這些被 Satori 控制的路由器由兩個最大的運營商為客戶提供，通過運營商可以快速定位並修復裝置的漏洞。

作者露出馬腳

Satori 是有過抵抗的。

據 Bleeping Computer 報導，過去一週內，眾多 ISP 和網路安全公司對該殭屍網路進行了干預，並拿下了 Satori 殭屍網路所需的 C＆C伺服器。這些伺服器被拿下後，殭屍網路數量瞬間消失了50 萬到 70 萬臺。

但對方沒有放棄反抗。在上述伺服器被拿下後，52869 和 37215 埠的掃描活動出現了巨大的峰值。最有可能的情況是，Satori 的作者正在想法設法掃描埠，尋找肉雞。

▲圖片來源：Bleepingcomputer，資料來源：360 網路安全研究院
在11月21日 Check Point 的博文中，Check Point 的研究人員透露了 Satori 殭屍網路作者的身份 ——Nexus Zeta。

研究人員表示，他們已經追蹤到他，因為該作者註冊 Satori 基礎架構中使用的域名有一個電子郵件地址，這個郵件地址與最流行的黑客論壇之一 HackForums 的一個帳號高度關聯。

Check Point說：“雖然他在這樣的論壇上不太活躍，但他露出了馬腳。”

在 Satori 活動被發現的前一天，也就是 11 月 22 日，一個論壇帖子顯示，Nexus Zeta 在尋求幫助，想建立一個 Mirai 殭屍網路（編者敲黑板：Satori 是 Mirai 的變種）。

但是，據 Bleeping Computer 稱，在過去幾個星期裡，Satori 沒有被認定與任何主要的 DDoS 攻擊的來源相關。

李豐沛認為，Bleeping Computer 的觀點限定在“最近 + 主要攻擊”，這與他們監測到的情況是一致的。但是，如果再向前溯源，情況可能就不一樣了。

360 網路安全研究院的上述博文曾指出：“我們還懷疑本次攻擊與 2017 年 8 月發生在中國的另一次 IoT 物聯網相關的攻擊有關係，也許後續我們會發布另外一篇 blog 詳細闡述。”

更可怕的是，Satori 的故事還遠未結束，我們還得憂心其他的殭屍網路與攻擊。

李豐沛對雷鋒網說，由於Mirai 的原始碼已經在網上公開，改造 Mirai ，以其變種身份形式出現，構造巨大的殭屍網路早已不是難事。而且，攻擊者完全可以一被發現一個域名就更換新的，身份十分隱祕。

“美國東部大斷網”式的噩夢複製並不遙遠。

參考來源：黑客視界、中關村線上、BleepingComputer等。

本文轉載自雷鋒網