Det er to år siden Mozis nødsituation, og trods anholdelsen af den påståede forfatter fortsætter botnet med at sprede sig.
Mozi blev opdaget i 2019 af 360 Netlab, og i de to år siden er det vokset fra en lille operation til et botnet, der “stod for en ekstremt høj procentdel af [Internet of Things] IoT -trafik på dens spids.”
Ifølge Netlab (oversat) har Mozi tegnet sig for over 1,5 millioner inficerede noder, hvoraf størstedelen – 830.000 – stammer fra Kina.
Mozi er et P2P -botnet, der bruger DHT -protokollen. For at sprede sig misbruger botnet svage Telnet-adgangskoder og kendte bedrifter til at målrette netværksenheder, IoT og videooptagere blandt andre internetforbundne produkter.
Botnet er i stand til at slavebinde enheder til at starte DDoS-angreb (Distributed Denial-of-Service), starte nyttelast, stjæle data og udføre systemkommandoer. Hvis routere er inficeret, kan dette føre til Man-in-The-Middle (MITM) angreb.
Tidligere på måneden sagde Microsoft IoT -sikkerhedsforskere, at Mozi har udviklet sig til at “opnå vedholdenhed på netværksgateways fremstillet af Netgear, Huawei og ZTE” ved at tilpasse dets persistensmekanismer afhængigt af hver enheds arkitektur.
I juli påstod Netlab, at cybersikkerhedsfirmaet havde hjulpet retshåndhævelse med at arrestere den påståede udvikler af Mozi, og derfor “tror vi ikke, at det vil blive ved med at blive opdateret i et stykke tid fremover. ”
Botnet lever dog videre, og tirsdag har virksomheden givet sin mening om hvorfor.
“Vi ved, at Mozi bruger en P2P -netværksstruktur, og en af” fordelene “ved et P2P -netværk er, at det er robust, så selvom nogle af noderne går ned, fortsætter hele netværket, og de resterende noder vil inficerer stadig andre sårbare enheder, “siger Netlab. “Derfor kan vi stadig se Mozi brede sig.”
Ifølge teamet tyder opdagelsen af malware ved hjælp af den samme P2P -opsætning, ved siden af hoved Mozi_ftp -protokollen, på, at botnet også bruges til at tjene penge på ulovlig kryptovaluta -minedrift. Derudover udnytter brugerne Mozis DHT -konfigurationsmodul og opretter nye, funktionelle noder til det, som teamet siger giver dem mulighed for “hurtigt at udvikle de programmer, der er nødvendige for nye funktionelle noder, hvilket er meget bekvemt.”
“Denne bekvemmelighed er en af årsagerne til den hurtige udvidelse af Mozi -botnet,” tilføjede Netlab.
Holdet sagde også, at i en stikprøve af botnet -døbt v2'erne, der blev taget sidste år, tyder det på, at opdateringer til Mozi har været fokuseret på at adskille kontrolnoder fra “mozi_bot” -knudepunkter samt forbedre effektiviteten. Det kan være, at disse ændringer blev foretaget af forfatterne for at lease netværket til andre trusselsaktører.
“Mozi botnet -prøverne er holdt op med at opdatere i et godt stykke tid, men det betyder ikke, at truslen fra Mozi er slut,” siger forskerne. “Da de dele af netværket, der allerede er spredt over internettet, har mulighed for fortsat at blive inficeret, inficeres nye enheder hver dag.”
Netlab forudsiger, at botnetets størrelse uge efter uge gradvist vil falde, men det er sandsynligt, at Mozis indvirkning vil kunne mærkes et stykke tid fremover.
Forrige og beslægtet dækning
Dette botnet misbruger Bitcoin-blockchains for at blive i skyggen
Denne ransomware-spredende malware botnet forsvinder bare ikke
Nu søger dette botnet efter upatchede Microsoft Exchange -servere
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 