概述
Netgear,D-Link和华为路由器正在积极地检测弱Telnet密码,并被一个名为Mozi的新对等(P2P)僵尸网络接管,该僵尸网络与Gafgyt恶意软件有关,因为它重复使用了一些代码。
360 Netlab的安全研究人员发现了该僵尸网络并对其活动进行了大约四个月的监控,他们还发现该僵尸网络的主要目的是用于DDoS攻击。
僵尸网络使用一种定制的扩展分布式哈希表(DHT)协议来实现,该协议基于torrent客户端和其他P2P平台通常使用的存储节点联系信息的标准。
360 Netlab发现,这使建立僵尸网络的速度更快,而且无需使用服务器,并且更容易“隐藏大量正常DHT流量中的有效负载,因此在没有适当知识的情况下就无法进行检测”。
Mozi还使用ECDSA384和XOR算法来确保僵尸网络组件和P2P网络的完整性和安全性。

传播方法和目标设备
该恶意软件通过登录到带有弱密码的任何目标路由器或CCTV DVR,使用telnet并利用漏洞传播到新的易受攻击的设备,并在成功利用未修补的主机后丢弃并执行有效负载。
一旦恶意软件加载到现在受到威胁的设备上后,新激活的漫游器将自动加入Mozi P2P网络作为新节点。
感染的下一阶段是看到新的僵尸程序节点从僵尸网络主服务器接收并执行命令,同时还搜索并感染其他易受攻击的Netgear,D-Link和华为路由器以添加到僵尸网络中。
“Mozi 建立通过DHT协议P2P网络后,将配置文件是同步的,并且相应的任务是按照在配置文件中的指令启动,”研究人员解释。

为了确保其僵尸网络不会被其他威胁行为者接管,Mozi的操作员将其设置为自动验证发送到僵尸网络节点的所有命令和同步配置,只有通过这些内置检查的那些命令才能被接受并执行通过节点。
Mozi节点接受的主要指令旨在:
•发起DDoS攻击(此模块重复使用Gafgyt的攻击代码,支持HTTP,TCP,UDP和其他攻击)
•收集和泄露Bot信息(Bot ID,IP,PORT,文件名(完整路径),网关,CPU体系结构)
•执行URL的有效负载
•从指定的URL更新
•执行系统或Bot自定义命令
正如360 Netlab研究人员自9月3日发现第一个样本以来一直监视Mozi活动时所发现的,这些是恶意软件将攻击、感染并添加到P2P网络的十个未打补丁的设备:
受影响的设备 | 脆弱性 |
Eir D1000路由器 | Eir D1000无线路由器RCI |
Vacron NVR设备 | 瓦克龙NVR RCE |
使用Realtek SDK的设备 | CVE-2014-8361 |
网件R7000和R6400 | Netgear cig-bin命令注入 |
DGN1000 Netgear路由器 | Netgear setup.cgi未经身份验证的RCE |
MVPower DVR | JAWS Web服务器未经身份验证的Shell命令执行 |
华为路由器HG532 | CVE-2017-17215 |
D-Link设备 | HNAP SoapAction-Header命令执行 |
GPON路由器 | CVE-2018-10561,CVE-2018-10562 |
D-Link设备 | UPnP SOAP TelnetD命令执行 |
闭路电视录像机 | CCTV / DVR远程执行代码 |
P2P僵尸网络越来越普遍
至少从2006年初开始,像Nugache和Storm (又名Peacomm), Sality P2P, Waledac, Kelihos (又名Hlux), ZeroAccess (又名Sirefef), Miner和 Zeus的 P2P僵尸网络 为他们的操控人员带来了庞大的军队,但其中大多数现在已经灭绝了。
其他诸如 Hajime Hide’N Seek(又名HNS)之类的公司仍在扫描易受攻击的设备,以逐一入侵和破坏。
例如,Hide’N Seek 在2018年9月的短短几天内增长到超过90,000台设备,而Hajime 在2016年秋季首次被发现后的六个月内“僵化”了约30万台受感染的设备。
尽管众所周知,P2P僵尸网络对于旨在破坏甚至关闭它们的沉陷攻击具有高度的抵御能力,但仍有一些示例,例如ZeroAccess和Kelihos容易受到攻击。
在没有更多关于Mozi的细节并检查潜在的弱点之前,任何人都可以猜测针对它的沉陷攻击的可行性。在那之前,最好尽快修补目标路由器和其他设备。
另一个P2P僵尸网络被同一研究小组发现,被称为Roboto,在8月下旬首次发现至今,它还在Internet上扫描运行未修补Webmin安装的Linux服务器。
360 Netlab的Mozi报告末尾提供了有关此新P2P僵尸网络内部工作原理和恶意软件样本哈希的其他信息。
*编译整理:Domino
*参考来源:阅读原文