根据IBM本周的报道最近崛起的僵尸网络Mozi促进物联网(IoT)僵尸网络活动显著增长。
IBM研究人员指出,Mozi的代码与Mirai及其变体重叠并重用Gafgyt在过去的一年里,代码迅速发展“登上王座”,物联网攻击流量占2019年10月至2020年6月的90%(下图),但是Mozi没有试图从入侵系统中删除竞争对手。
IoT物联网攻击的急剧增加的主要原因是全球IoT增加了设备数量,从而扩大了攻击面。IBM全球约有310亿台指出IoT每秒部署约127台设备。
IBM认为Mozi基于命令注入的成功(CMDi)物联网设备的配置错误用于攻击。
几乎所有的观察都是针对目标的IoT使用设备攻击CMDi初步访问。Mozi利用CMDi,使用“wget”shell命令,然后篡改权限,方便攻击者与目标系统互动。
在易受攻击的设备上下载了名称“mozi.a”然后是文件MIPS执行系统结构。攻击目标是运行缩减指令集计算机(RISC)机器的系统结构–MIPS是RISC指示集体系结构–并能为对手提供修改固件以安装其他恶意软件的能力。
Mozi设备的传播利用了许多漏洞,包括:
- CVE-2017-17215(华为 HG532)
- CVE-2018-10561/CVE-2018-10562(GPON 路由器)
- CVE-2014-8361(Realtek SDK)
- CVE-2018-10562(GPON路由器)
- CVE-2014-8361(Realtek SDK)
- CVE-20 2008-4873 (Sepal SPBOARD)
- CVE-2016-6277(Netgear R7000/R6400)
- CVE-2015-2051(D-Link 设备)
- Eir D1000注入无线路由器命令
- Netgear setup. cgi未身份验证RCE
- MVPower DVR命令执行
- D-Link UPnP SOAP命令执行
- 影响多个CCTV-DVR供应商的RCE
Mozi使用ECDSA384(椭圆曲线数字签名算法 384)检查其完整性,并包含一组硬编码DHT公共节点可用于添加P2P网络。
僵尸网络可用于启动分布式拒绝服务(DDoS)攻击(HTTP、TCP、UDP),可以启动命令执行攻击,可以提取和执行其他有效负也可收集bot信息。
“随着僵尸网络的更新(如Mozi)加速整体运行IoT物联网攻击活动激增,使用物联网设备的企业需要意识到不断变化的威胁。命令注入仍然是攻击者的首选,主要的感染媒介是默认设置和使用有效的渗透测试。”IBM总结道。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更多的好文章