【死唔斷氣】Mozi殭屍網絡肆虐兩年 IoT設備料續受影響

    P2P 殭屍網絡 Mozi 兩年前曾引起廣泛關注,即使其開發者據稱已被捕,但 Mozi 殭屍網絡仍持續蔓延,其影響性仍存在。Mozi 於 2019 年尾被 360 Netlab 發現,在此後的兩年已從一個小規模發展成為一個殭屍網絡,被形容「佔物聯網流量高峰期極高比例」。據 Netlab 表示,Mozi 已​​佔領超過 150 萬個受感染節點,當中大部分(830,000 個)來自中國。

    Mozi 是一個使用 DHT 協議的 P2P 殭屍網絡。為了進行傳播,殭屍網絡利用弱 Telnet 密碼和已知漏洞攻擊網絡設備、物聯網和錄像機,以及其他聯網產品。殭屍網絡能夠利用設備發起分佈式拒絕服務 (DDoS) 攻擊、啟動有效載荷、竊取數據和執行系統命令。如果路由器被感染,這可能會導致中間人 (MITM) 攻擊。微軟 IoT 安全研究人員最近發現,Mozi 僵屍網絡不斷進化,已經在 Netgear、華為、中興等廠商的網關上駐留。

    今年 7 月,Netlab 聲稱網絡安全公司已協助執法部門,逮捕了 Mozi 的開發者,當時 Netlab 認為 Mozi 在很長一段時間不會有更新。但殭屍網絡仍然存在,Netlab 指 Mozi 採用的是 P2P 網絡結構,而 P2P 網絡的「優勢」之一是其蓬勃性,所以即使有一些節點壞機,整個網絡也會繼續運行,而剩下的節點會繼續運行,並會繼續感染其他易受攻擊的設備。

    據 Netlab 稱,除了主要的 Mozi_ftp 協議外,發現使用相同 P2P 設置,名為 Mozi_ssh 的惡意軟件也表現出殭屍網絡亦被用於非法挖掘加密貨幣。此外,用戶正在利用 Mozi 的 DHT 配置模塊,並為其創建新的功能節點,Netlab 表示,這使他們能夠「很方便地快速開發新功能節點的所需程序」,而這種便利性,正是 Mozi 殭屍網絡迅速擴張的原因之一。

    該團隊還表示,在去年發現被稱為 v2s 的殭屍網絡樣本中,發現對 Mozi 的更新一直專注於將控制節點與 mozi_bot 節點分開,以提高效率,或可能是開發者進行了更改,以將網絡租給其他威脅行為者。

    資料來源: https://zd.net/3BCjUan

    #botnet #Mozi #P2P #殭屍網絡

    相關文章