Mozi僵尸網絡，這個曾經伴隨新冠疫情爆發(fā)并肆虐全球，且與新冠病毒一樣難以消滅的惡意網絡，在2023年8月神秘“猝死”并徹底銷聲匿跡。到底是誰殺死了Mozi？

2019年12月，360Netlab首次發(fā)現并命名了P2P僵尸網絡Mozi，隨即綠盟、知道創(chuàng)宇等公司也發(fā)布了觀測結果。

根據360的報告，Mozi僵尸網絡在被發(fā)現時已經通過蠕蟲模塊快速感染了超過1.5萬臺設備（主要為物聯(lián)網設備）。到2021年8月Mozi作者被中國執(zhí)法部門逮捕時，該僵尸網絡已經在全球感染了超過150臺不同設備，其中一半以上（83萬）位于中國境內。

根據IBMX-Force的報告，從2019年末到2020年中，Mozi占據了全球僵尸網絡流量的90%，導致全球僵尸網絡流量整體大幅增長。

Mozi僵尸網絡不同節(jié)點主要從事DDoS攻擊和加密貨幣挖礦，其源代碼借用了其他IoT僵尸網絡，包括Mirai、Gafgyt和IoT Reaper。

根據360的報告，Mozi為了提高攻擊和感染效率，棄用了Gafgyt的攻擊代碼，轉而使用Mirai的源代碼（這也導致很多殺軟廠商將Mozi識別為Mirai），同時還是實現了控制節(jié)點與業(yè)務節(jié)點的分離，不但增加了Mozi僵尸網絡的彈性，還方便作者開展DDoS租賃服務。

2021年8月份，360透露Mozi僵尸網絡的作者被中國執(zhí)法部門逮捕。但360在博客中警告說，雖然Mozi作者被捕后不再發(fā)布新的更新，但Mozi僵尸網絡的殘余節(jié)點仍然會感染其他存在漏洞的設備，可謂“百足之蟲，死而不僵”。

事實上，Mozi似乎并不甘于“行走在消失中”。在Mozi作者被捕兩年后，根據ESET的報告，該公司在2023年追蹤到超過20萬個Mozi僵尸網絡機器人/節(jié)點（實際可能更多）。

正當業(yè)界為Mozi死而不僵，甚至死灰復燃而發(fā)愁時，Mozi僵尸網絡突然“猝死”了。

據ESET報道，2023年8月8日，印度境內的Mozi節(jié)點一夜之間突然消失，8月16日中國境內的節(jié)點也消失殆盡，整個Mozi僵尸網絡的規(guī)模斷崖式暴跌至冰點（下圖）：

ESET的研究人員在9月27日找到了Mozi“猝死”的原因：一個內置在用戶數據報協(xié)議（UDP）消息中的配置文件被發(fā)送給所有Mozi機器人，指示下載并安裝一個更新。這個更新實際上是一個“自殺開關”，用自己的副本替換了原來的惡意軟件，并在宿主設備上觸發(fā)了一系列其他動作：禁用某些服務，訪問某些端口，執(zhí)行某些配置命令，并在設備上建立與被替換的惡意軟件文件相同的立足點。

根據ESET研究人員在2023年11月1日發(fā)布的博客文章，這個“自殺開關”更新關閉了Mozi節(jié)點與外界連接的功能（只有一小部分活動節(jié)點逃脫）。這個新的“自殺開關”更新是原始Mozi的“簡化版”，具有相同的持久性機制，并以與Mozi相同的方式設置防火墻，但它閹割了所有的網絡能力，無法從事未來的破壞活動。

由于“自殺開關”的原始源代碼和私鑰與Mozi保持一致，幾乎可以肯定其開發(fā)者是原始作者。研究人員推測，該作者有可能是在執(zhí)法部門的要求下發(fā)布了“自殺開關”。

頗具戲劇性和諷刺意味的是，研究人員認為“自殺開關”甚至起到了類似疫苗的“抗病毒作用”。

因為“自殺開關”執(zhí)行了一系列“加固措施”，提高了Mozi宿主設備對未來惡意軟件的抵抗力。

例如，“自殺開關”通過關閉管理服務（如SSH服務器），并實施嚴格的防火墻規(guī)則，使設備更難再次感染其他惡意軟件。而且“自殺開關”的持久性可確保設備重啟后也保持這種加固配置。可以看出，‘自殺開關’的作者盡了最大努力來避免設備重新感染原始Mozi或其他惡意軟件。

最后，ESET的研究人員認為，盡管Mozi曾在全球范圍肆虐，但對于有基本安全防護和策略的企業(yè)和個人來說并不構成特別嚴重的威脅。Mozi的危害在于其bot實施DDoS攻擊或者自我傳播時產生了大量的互聯(lián)網流量，消耗大量公共資源。此外，Mozi的活動混淆了安全日志，并為監(jiān)控基礎設施的安全分析師制造了大量瑣碎事件。