Mozi僵尸网络(P2P僵尸网络Mozi)
Mozi僵尸网络概述
Mozi僵尸网络是于2019年底首次出现在针对路由器和DVR 的攻击场景上的一种P2P僵尸网络。主要攻击物联网(IoT)设备,包括网件、D-Link和华为等路由设备。它本质上是Mirai的变种,但也包含Gafgyt和IoT Reaper的部分代码,用于进行DDoS攻击、数据窃取、垃圾邮件发送以及恶意命令执行和传播。
Mozi僵尸网络特征
| 僵尸网络”Mozi“ |
| Mozi的代码与Mirai及其变体重叠,并复用Gafgy代码 |
| Mozi是p2p网络,各台计算机处于对等的地位,有相同的功能,无主从之分,并使用Telnet弱口令和漏洞利用传播 |
| Mozi使用签名验证识别同伙;主动上报新感染节点信息给Mozi botnet master |
| Mozi使用自己扩展的DHT协议构建p2p网络;使用基于命令注入(CMDi)攻击,利用了loT设备的配置错误;Mozi没有将竞争对手从被侵入的系统中删除,而是抑制对手 |
Mozi.m样本分析
样本信息:
SHA256:bba18438991935a5fb91c8f315d08792c2326b2ce19f2be117f7dab984c47bdf|
Magic |
7f 45 4c 46 01 02 01 00 00 00 00 00 00 00 00 00 |
| 类别 | ELF32 |
| 数据 | 2 补码,大端序 (big endian) |
| Version | 1 (current) |
| OS/ABI | UNIX - System V |
| ABI 版本 | 0 |
| 类型 | EXEC (可执行文件) |
| 系统架构 | MIPS R3000 |
| 版本 | 0x1 |
| 入口点地址 | 0x41fb58 |
| 程序头起点 | 52 (bytes into file) |
阻断22、2323端口通信
在成功感染目标设备之后,Mozi为进行自我保护,会通过防火墙阻断SSH、Telnet端口,以防止被其他僵尸网络入侵:
放行自身使用端口
根据感染的设备,修改防火墙策略放行不同的端口来保证自身的通信:
Kill相关进程
同时读取/proc/net/tcp和/proc/net/raw来查找并KILL掉使用1536和5888端口的进程:
检测Watchdog
检查被感染的设备上是否存在Watchdog来避免重启:
更改进程名
检查被感染的设备上是否存在/usr/bin/python,如果存在,则将进程名称更改为sshd,不存在则更改为dropbear,以此来迷惑被攻击者。
内置的节点
分析过程中发现Mozi僵尸网络复用了部分Gafgyt家族僵尸网络的代码,其中内嵌了8个硬编码的公共节点信息,用于加入P2P网络,如下:
配置文件
在样本中还硬编码了一个使用XOR加密的配置文件及密钥:
通信标识
使用硬编码的秘钥解密后得到如下配置数据: [ss]bot[/ss][hp]88888888[/hp][count]http://ia.51.la/go1?id = 19894027&pu =http%3a%2f%2fbaidu.com/[idp][/count]。新的Mozi节点向 http://ia.51.la/发送HTTP请求,来注册自身。在通信流量中通过 1:v4:JBls来标记是否为Mozi节点发起的通信。
攻击的设备类型
所攻击的设备类型包括:GPON光纤设备、NetGear路由设备、华为HG532交换机系列、D-Link路由设备、使用Realtek SDK的设备、Vacron监控摄像机、斐讯路由器、 USR-G806 4G工业无线路由器等:
部分弱口令密码
Mozi僵尸网络(P2P僵尸网络Mozi)相关推荐
- P2P僵尸网络-家族类别
Pink Pink 家族曾在中国境内感染了超过百万级的设备,其非实效性指令通过 P2P 传递,实效性强的指令通过集中控制的方式发布.是一个设计巧妙的 P2P 僵尸网络家族 Pink 僵尸网络概述 Pi ...
- p2p僵尸网络工作原理
严格的说,本节所要讨论的内容已经超出了本文主题范围,但是因为P2P驱动的DDoS攻击很容易与基于P2P的僵尸网络发起的DDoS攻击混淆,所以在这里简要讨论一下.前者是利用P2P协议本身的漏洞,作为发起 ...
- 202106 Mozi僵尸网络分析与学习
0x00 简介 Mozi僵尸网络是于2019年底首次出现在针对路由器和DVR 的攻击场景上的一种依靠 DHT 协议构建 P2P僵尸网络,并使用 ECDSA384 和异或算法来保证其组件和 P2P ...
- 网络安全之僵尸网络与蠕虫的学习笔记
僵尸网络与蠕虫 ** 僵尸网络 ** 僵尸网络(Botnets)工作 僵尸网络(Botnets)这个名称本身是"robot"和"network"两个单词的混合. ...
- 僵尸网络检测和抑制方法
一.背景意义 研究背景 Botnet是随着自动智能程序的应用而逐渐发展起来的.在早期的IRC聊天网络中,有一些服务是重复出现的,如防止频道被滥用.管理权限.记录频道事件等一系列功能都可以由管理者编写的 ...
- 了解你的敌人:跟踪僵尸网络
了解你的敌人:跟踪僵尸网络 利用蜜网对僵尸主机了解更多 蜜网项目组 & 蜜网研究联盟 http://www .honeynet.org 最后修改日期 : 2005 年 3 月 13 日 翻 ...
- 了解僵尸网络攻击:什么是僵尸网络,它如何传播恶意软件以及如何保护自己?
进行系统安全安排的专业人员非常了解"僵尸网络"一词.通常用于被劫持的计算机/系统链,如果指示恢复性和健壮的系统,则应很好地理解"僵尸网络"一词,因为它们的错误使 ...
- 网络安全学习笔记之Mirai僵尸网络
最近在学习人工智能防治物联网设备的ddos攻击有关项目时接触到目前主流的IoT攻击模式,其中就包括Mirai僵尸网络.学习了<Understanding the Mirai Botnet> ...
- 悉数僵尸网络:知己知彼 百战不殆
僵尸计算机种类知多少 研究中发现,网络中存在着各式各样的僵尸计算机类型.以下我们将讨论几种比较流行和危害面较大的僵尸类型.我们将介绍几种恶意软件的基本概念,然后再详尽的描述它们的特征.此外,我们还将描 ...
最新文章
- 使用AngularJS 进行Hybrid App 开发已经有一年多时间了,这里做一个总结
- jQuery的this $this $(this)
- j@2ff4f00f_J4F的完整形式是什么?
- 为什么我不推荐你使用vue-cli创建脚手架?
- Tomcat的下载安装及使用
- 和我一起学Windows Workflow Foundation(1)-----创建和调试一个WF实例
- 基于PHP+MySQL图书管理系统的设计与实现
- Foxmail中的文件夹丢失解决方法
- (黑)群晖系统 ds photo 相机自动备份 无法识别DICM下的Camera解决方案
- Python 第三方模块 科学计算 SymPy模块
- 做产品也要造概念,讲故事,用优雅的措辞美化自己
- 自媒体娱乐热点素材怎么找?-即时热榜
- 直插电阻通过色环读取电阻阻值,误差与温度系数方法总结
- C的函数 gotoxy()
- 关于 字号、PX像素、PT点数、em、CM厘米、MM毫米之间的换算
- 翻阅Windows SDK Samples
- GUESS手表全新推出2022年农历新年系列
- 爬取携程攻略社区所有笔记保存到txt文件
- Java异常分类和关系
- 应广单片机 PMS150G 161 171 基础例子【sleep】