信息化觀察網(wǎng)

根據(jù)IBM本周的報道，近來崛起的僵尸網(wǎng)絡Mozi推動了物聯(lián)網(wǎng)（IoT）僵尸網(wǎng)絡活動的顯著增長。

IBM的研究人員指出，Mozi的代碼與Mirai及其變體重疊，并重用Gafgyt代碼，在過去的一年里迅速“登上王座”，在2019年10月至2020年6月期間觀察到的物聯(lián)網(wǎng)網(wǎng)絡攻擊流量中占90%（下圖），不過Mozi并沒有試圖將競爭對手從被侵入的系統(tǒng)中刪除。

IoT物聯(lián)網(wǎng)攻擊的急劇增加的主要原因是全球IoT設備數(shù)量增加，從而擴大了攻擊面。IBM指出，目前全球約有310億臺IoT設備，每秒鐘部署大約127臺設備。

IBM認為Mozi的成功基于命令注入（CMDi）攻擊的使用，利用了物聯(lián)網(wǎng)設備的配置錯誤。

幾乎所有觀察到的針對IoT設備的攻擊都使用CMDi進行初始訪問。Mozi利用CMDi，使用“wget”shell命令，然后篡改權限，以方便攻擊者與目標系統(tǒng)進行交互。

在易受攻擊的設備上，下載了名為“mozi.a”的文件，然后在MIPS體系結構上執(zhí)行。攻擊目標是運行縮減指令集計算機（RISC）體系結構的機器–MIPS是RISC指令集體系結構–并且可以為對手提供修改固件以安裝其他惡意軟件的能力。

Mozi的傳播利用了許多設備的漏洞，包括：

·CVE-2017-17215（華為HG532）

·CVE-2018-10561/CVE-2018-10562（GPON路由器）

·CVE-2014-8361（Realtek SDK）

·CVE-2018-10562（GPON路由器）

·CVE-2014-8361（Realtek SDK）

·CVE-20 2008-4873（Sepal SPBOARD）

·CVE-2016-6277（Netgear R7000/R6400）

·CVE-2015-2051（D-Link設備）

·Eir D1000無線路由器命令注入

·Netgear setup.cgi未身份驗證RCE

·MVPower DVR命令執(zhí)行

·D-Link UPnP SOAP命令執(zhí)行

·影響多個CCTV-DVR供應商的RCE

Mozi僵尸網(wǎng)絡是基于分布式草率哈希表（DSHT）協(xié)議的點對點（P2P）僵尸網(wǎng)絡，它可以通過IoT設備漏洞和弱telnet密碼進行傳播。研究人員指出，Mozi主要利用位于中國的基礎設施（84%），能夠使用硬編碼列表暴力破解telnet賬戶憑據(jù)。

Mozi使用ECDSA384（橢圓曲線數(shù)字簽名算法384）來檢查其完整性，并包含一組硬編碼DHT公共節(jié)點，可用于加入P2P網(wǎng)絡。

僵尸網(wǎng)絡可用于啟動分布式拒絕服務（DDoS）攻擊（HTTP、TCP、UDP），可以啟動命令執(zhí)行攻擊，可以提取和執(zhí)行其他有效負載，還可以收集bot信息。

“隨著較新的僵尸網(wǎng)絡（如Mozi）的加速運營和整體IoT物聯(lián)網(wǎng)攻擊活動激增，使用物聯(lián)網(wǎng)設備的企業(yè)需要意識到不斷變化的威脅。命令注入仍然是攻擊者的首選主要感染媒介，更改設備默認設置和使用有效的滲透測試無論如何強調都不過分。”IBM總結道。