近期,Netgear、D-Link和华为等多个品牌的路由器被一个名为Mozi的P2P僵尸网络接管。该僵尸网络被发现与Gafgyt恶意软件有关,因为它们共用了部分相同的代码。研究人员对该僵尸网络进行了长达四个月的监控,发现其主要目的是用于DDoS攻击。Mozi使用DHT协议来实现,该协议基于torrent客户端和其他P2P平台,通常用于存储节点联系信息的标准。
这项协议使僵尸网络的速度更快,并且无需使用服务器,此外还能够隐藏在DHT流量中的有效负载,以逃避检测。为了确保组件的完整性和安全性,Mozi还使用了ECDSA384和XOR算法。Mozi正是看准了这几种品牌中部分型号的弱密码设备,顺利登录后利用telnet将恶意软件传播到新的易受攻击的设备,并成功执行恶意负载,将受感染的设备自动加入Mozi P2P网络作为新节点。下一阶段就是从攻击者控制的主服务器接收并执行命令了。此外,为了确保僵尸网络不会其他攻击者接管,Mozi会在网络节点上设置自动验证,只有通过内置检查的命令才能被执行,最终发起大型DDoS攻击。
例如,2016年秋季Hajime被发现后的六个月内感染了30万台设备, Hide'N Seek在2018年9月的短短几天内感染数超过90,000台设备。尽管对于P2P僵尸网络的防御较难实现,但在了解更多Mozi的细节和弱点之前,任何人都可以猜测其可行性。
而对于受感染路由器的修补也应尽快落实,避免大型网络瘫痪的可能。* 本文由看雪编辑 LYA 编译自 Bleeping Computer,转载请注明来源及作者。
* 原文链接:
https://www.bleepingcomputer.com/news/security/new-mozi-p2p-botnet-takes-over-netgear-d-link-huawei-routers/
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458302257&idx=4&sn=ee4d4dad4841e8bde88e8fcca328d7c8&chksm=b18187bb86f60eaddd595afff6675556c25d4dff421a29a3895ccfd1e6182efffce0d71fd349#rd
如有侵权请联系:admin#unsafe.sh