新的僵尸物聯網攻擊流量之王:Mozi
根據IBM本周的報道,近來崛起的僵尸網絡Mozi推動了物聯網(IoT)僵尸網絡活動的顯著增長。
IBM的研究人員指出,Mozi的代碼與Mirai及其變體重疊,并重用Gafgyt代碼,在過去的一年里迅速“登上王座”,在2019年10月至2020年6月期間觀察到的物聯網網絡攻擊流量中占90%(下圖),不過Mozi并沒有試圖將競爭對手從被侵入的系統中刪除。
IoT物聯網攻擊的急劇增加的主要原因是全球IoT設備數量增加,從而擴大了攻擊面。IBM指出,目前全球約有310億臺IoT設備,每秒鐘部署大約127臺設備。
IBM認為Mozi的成功基于命令注入(CMDi)攻擊的使用,利用了物聯網設備的配置錯誤。
幾乎所有觀察到的針對IoT設備的攻擊都使用CMDi進行初始訪問。Mozi利用CMDi,使用“wget”shell命令,然后篡改權限,以方便攻擊者與目標系統進行交互。
在易受攻擊的設備上,下載了名為“mozi.a”的文件,然后在MIPS體系結構上執行。攻擊目標是運行縮減指令集計算機(RISC)體系結構的機器–MIPS是RISC指令集體系結構–并且可以為對手提供修改固件以安裝其他惡意軟件的能力。
Mozi的傳播利用了許多設備的漏洞,包括:
- CVE-2017-17215(華為 HG532)
- CVE-2018-10561/CVE-2018-10562(GPON 路由器)
- CVE-2014-8361(Realtek SDK)
- CVE-2018-10562(GPON路由器)
- CVE-2014-8361(Realtek SDK)
- CVE-20 2008-4873 (Sepal SPBOARD)
- CVE-2016-6277(Netgear R7000/R6400)
- CVE-2015-2051(D-Link 設備)
- Eir D1000無線路由器命令注入
- Netgear setup. cgi未身份驗證RCE
- MVPower DVR命令執行
- D-Link UPnP SOAP命令執行
- 影響多個CCTV-DVR供應商的RCE
Mozi僵尸網絡是基于分布式草率哈希表(DSHT)協議的點對點(P2P)僵尸網絡,它可以通過IoT設備漏洞和弱telnet密碼進行傳播。研究人員指出,Mozi主要利用位于中國的基礎設施(84%),能夠使用硬編碼列表暴力破解telnet賬戶憑據。
Mozi使用ECDSA384(橢圓曲線數字簽名算法 384)來檢查其完整性,并包含一組硬編碼DHT公共節點,可用于加入P2P網絡。
僵尸網絡可用于啟動分布式拒絕服務(DDoS)攻擊(HTTP、TCP、UDP),可以啟動命令執行攻擊,可以提取和執行其他有效負載,還可以收集bot信息。
“隨著較新的僵尸網絡(如Mozi)的加速運營和整體IoT物聯網攻擊活動激增,使用物聯網設備的企業需要意識到不斷變化的威脅。命令注入仍然是攻擊者的首選主要感染媒介,更改設備默認設置和使用有效的滲透測試無論如何強調都不過分。”IBM總結道。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
