Взлет «Mozi» происходит на фоне огромное увеличение общей активности IoT ботнетов
По данным исследователей, ботнет «Mozi» - peer-2-peer вредонос, известный ранее по захвату маршрутизаторов Netgear, D-Link и Huawei, разросся до 90 процентов наблюдаемого трафика всех IoT-устройств.
IBM X-Force заметила всплеск телеметрии «Mozi» на фоне огромного роста общей активности ботнетов IoT. Количество IoT-атак с октября по июнь на 400% выше, чем за предыдущие два года вместе взятые.
«Злоумышленники уже некоторое время используют эти устройства, в первую очередь через ботнет «Mirai», - сообщает IBM. «Mozi продолжает успешно работать, в основном, за счет использования command-injection атак, которые часто возникают в результате неправильной настройки IoT-устройств. Продолжающийся рост популярности IoT и небезопасные протоколы их конфигурации являются вероятными виновниками этого скачка. Этот рост, возможно, был спровоцирован развитием удаленной работы в корпоративных сетях, к которой все чаще прибегают из-за COVID-19».
«Mozi» впервые был замечен в конце 2019 года в атаках на маршрутизаторы и цифровые видеорегистраторы и был несколько раз проанализирован различными исследовательскими группами. По сути, это вариант «Mirai», но он также содержит отрывки из «Gafgyt» и «IoT Reaper» - он используется для DDoS-атак, извлечения данных, спам-кампаний и удаленного выполнения команд или вредоносного ПО.
В IBM наблюдали как «Mozi» использовал command-injection для получения первоначального доступа к уязвимому устройству с помощью команды оболочки «wget», а затем изменял разрешения, чтобы позволить злоумышленнику взаимодействовать с пораженной системой. «Wget» - это утилита командной строки для загрузки файлов из сети.
«Сommand-injection-атаки чрезвычайно популярны против IoT-устройств по нескольким причинам. Во-первых, встраиваемые системы IoT обычно содержат веб-интерфейс и отладочный интерфейс, оставшийся после разработки прошивки, который может быть использован», - говорится в отчете, опубликованном в среду. «Во-вторых, модули PHP, встроенные в веб-интерфейсы IoT, могут быть использованы для предоставления злоумышленникам возможности удаленного выполнения кода. И, в-третьих, интерфейсы IoT часто остаются уязвимыми при развертывании, так как администраторы не могут обезопасить удалённый вход на эти интерфейсы. Это позволяет злоумышленникам выполнять shell-команды, такие как «wget».
DHT–атаки от «Mozi»
В случае «Mozi», команда wget загружает и исполняет файл под названием «mozi.a» на уязвимых системах. Исследователи IBM сообщают, что данный файл выполняется на микропроцессоре. Как только злоумышленник получает полный доступ к устройству через ботнет, он может изменить прошивку, а также загрузить дополнительные вредоносные программы, в зависимости от цели конкретной атаки.
«Mozi» постоянно обновляет список поддерживаемых command-injection-уязвимостей, делая ставку на медленное внедрение исправлений в IoT-устройствах, отметили в IBM. Эта деятельность легко автоматизируется, что ускоряет рост ботнета. В последнем анализе IBM использовала эксплойты для маршрутизаторов Huawei, Eir, Netgear, GPON Rand D-Link, устройств с использованием Realtek SDK, Sepal SPBOARD, цифровых видеомагнитофонов MVPower и множества вендоров телевизоров.
Кроме того, он также может перебирать учетные данные Telnet, используя вшитый список.
После взлома устройства ботнет «Mozi» пытается привязать локальный UDP-порт 14737, а также обнаруживает и отключает процессы, использующие порты 1536 и 5888. Его код содержит вшитые публичные узлы распределенной хэш-таблицы, которые затем используются для подключения к P2P-сети ботнета. DHT – это распределенная система, предоставляющая сервис поиска, позволяющий P2P-узлам находить и связываться друг с другом.
«Ботнет «Mozi» использует настраиваемый протокол DHT для развития своей P2P-сети», - сообщает IBM.
Для присоединения нового узла «Mozi» к DHT-сети вредоносная программа генерирует идентификатор зараженного устройства. Идентификатор составляет 20 байт и состоит из префикса 888888, встроенного в образец или префикса, указанного конфигурационным файлом [hp], плюс случайно сгенерированная строка».
Затем этот узел посылает начальный HTTP-запрос на адрес http://ia.51.la для регистрации самого себя, а также посылает DHT-запрос «find_node» на восемь заранее зашитых DHT-узлов, которые используются для поиска контактной информации известного узла «Mozi», а затем подключается к нему, присоединяясь, таким образом, к ботнету.
Инфраструктура бот-сети «Mozi», как представляется, в основном «живет» в Китае, на долю которого приходится 84 процента наблюдаемых зараженных устройств, заявили в IBM.
Восстание P2P-машин
Все более широкое распространение получают P2P ботнеты. Только в этом году появился ботнет «FritzFrog», развернув серию атак на SSH-серверы с января 2020. «FritzFrog» распространяется как червь и атакует государственные учреждения, учебные заведения, медицинские центры, банки и телекоммуникационные компании.
С начала года майнинговый P2P-ботнет, известный как «DDG», переживает всплеск активности - к апрелю вышло 16 различных версий. Особенно заметно, что операторы данного ботнета переняли проприетарный механизм P2P, который, по мнению исследователей, превратил «DDG» в комплексную, «казалось бы, неудержимую» угрозу.
А в конце прошлого года был обнаружен ботнет под названием «Roboto», нацеленный на уязвимость удаленного выполнения кода на серверах Linux Webmin.
Архитектура P2P популярна среди киберпреступников. Она обеспечивает большую отказоустойчивость по сравнению с другими типами ботнетов, поскольку управление децентрализовано и распространено среди всех узлов. Таким образом, нет единой точки отказа и нет командно-контрольного сервера.
Что касается «Mozi», то компания IBM предупредила - ландшафт IoT будет продолжать оставаться богатыми охотничьими угодьям для ботнетов.
«По мере того, как новые группы ботнетов, такие как «Mozi», наращивают свое присутствие и активность в IoT-сегменте, организации, использующие устройства IoT, должны быть осведомлены об этой эволюционирующей угрозе», - заключила компания. «IBM все чаще видит атаки на корпоративные IoT-устройства. Сommand-injection-атаки остаются основным вектором заражения, что подтверждает важность изменения настроек устройств «по умолчанию» и использования эффективного тестирования на проникновение для поиска и устранения пробелов в безопасности устройств».
Перевод сделан со статьи https://threatpost.com/
