Ботнет «Mozi» производит большую часть трафика интернета вещей

18 сентября 2020 г. 11:30
 13021

По данным исследователей, ботнет «Mozi» - peer-2-peer вредонос, известный ранее по захвату маршрутизаторов Netgear, D-Link и Huawei, разросся до 90 процентов наблюдаемого трафика всех IoT-устройств.

Взлет «Mozi» происходит на фоне огромное увеличение общей активности IoT ботнетов

По данным исследователей, ботнет «Mozi» - peer-2-peer вредонос, известный ранее по захвату маршрутизаторов Netgear, D-Link и Huawei, разросся до 90 процентов наблюдаемого трафика всех IoT-устройств.

IBM X-Force заметила всплеск телеметрии «Mozi» на фоне огромного роста общей активности ботнетов IoT. Количество IoT-атак с октября по июнь на 400% выше, чем за предыдущие два года вместе взятые.

«Злоумышленники уже некоторое время используют эти устройства, в первую очередь через ботнет «Mirai», - сообщает IBM. «Mozi продолжает успешно работать, в основном, за счет использования command-injection атак, которые часто возникают в результате неправильной настройки IoT-устройств. Продолжающийся рост популярности IoT и небезопасные протоколы их конфигурации являются вероятными виновниками этого скачка. Этот рост, возможно, был спровоцирован развитием удаленной работы в корпоративных сетях, к которой все чаще прибегают из-за COVID-19».

«Mozi» впервые был замечен в конце 2019 года в атаках на маршрутизаторы и цифровые видеорегистраторы и был несколько раз проанализирован различными исследовательскими группами. По сути, это вариант «Mirai», но он также содержит отрывки из «Gafgyt» и «IoT Reaper» - он используется для DDoS-атак, извлечения данных, спам-кампаний и удаленного выполнения команд или вредоносного ПО.

В IBM наблюдали как «Mozi» использовал command-injection для получения первоначального доступа к уязвимому устройству с помощью команды оболочки «wget», а затем изменял разрешения, чтобы позволить злоумышленнику взаимодействовать с пораженной системой. «Wget» - это утилита командной строки для загрузки файлов из сети.

«Сommand-injection-атаки чрезвычайно популярны против IoT-устройств по нескольким причинам. Во-первых, встраиваемые системы IoT обычно содержат веб-интерфейс и отладочный интерфейс, оставшийся после разработки прошивки, который может быть использован», - говорится в отчете, опубликованном в среду. «Во-вторых, модули PHP, встроенные в веб-интерфейсы IoT, могут быть использованы для предоставления злоумышленникам возможности удаленного выполнения кода. И, в-третьих, интерфейсы IoT часто остаются уязвимыми при развертывании, так как администраторы не могут обезопасить удалённый вход на эти интерфейсы. Это позволяет злоумышленникам выполнять shell-команды, такие как «wget».

DHT–атаки от «Mozi»

В случае «Mozi», команда wget загружает и исполняет файл под названием «mozi.a» на уязвимых системах. Исследователи IBM сообщают, что данный файл выполняется на микропроцессоре. Как только злоумышленник получает полный доступ к устройству через ботнет, он может изменить прошивку, а также загрузить дополнительные вредоносные программы, в зависимости от цели конкретной атаки.

«Mozi» постоянно обновляет список поддерживаемых command-injection-уязвимостей, делая ставку на медленное внедрение исправлений в IoT-устройствах, отметили в IBM. Эта деятельность легко автоматизируется, что ускоряет рост ботнета. В последнем анализе IBM использовала эксплойты для маршрутизаторов Huawei, Eir, Netgear, GPON Rand D-Link, устройств с использованием Realtek SDK, Sepal SPBOARD, цифровых видеомагнитофонов MVPower и множества вендоров телевизоров.

Кроме того, он также может перебирать учетные данные Telnet, используя вшитый список.

После взлома устройства ботнет «Mozi» пытается привязать локальный UDP-порт 14737, а также обнаруживает и отключает процессы, использующие порты 1536 и 5888. Его код содержит вшитые публичные узлы распределенной хэш-таблицы, которые затем используются для подключения к P2P-сети ботнета. DHT – это распределенная система, предоставляющая сервис поиска, позволяющий P2P-узлам находить и связываться друг с другом.

«Ботнет «Mozi» использует настраиваемый протокол DHT для развития своей P2P-сети», - сообщает IBM.

Для присоединения нового узла «Mozi» к DHT-сети вредоносная программа генерирует идентификатор зараженного устройства. Идентификатор составляет 20 байт и состоит из префикса 888888, встроенного в образец или префикса, указанного конфигурационным файлом [hp], плюс случайно сгенерированная строка».

Затем этот узел посылает начальный HTTP-запрос на адрес http://ia.51.la для регистрации самого себя, а также посылает DHT-запрос «find_node» на восемь заранее зашитых DHT-узлов, которые используются для поиска контактной информации известного узла «Mozi», а затем подключается к нему, присоединяясь, таким образом, к ботнету.

Инфраструктура бот-сети «Mozi», как представляется, в основном «живет» в Китае, на долю которого приходится 84 процента наблюдаемых зараженных устройств, заявили в IBM.

Восстание P2P-машин

Все более широкое распространение получают P2P ботнеты. Только в этом году появился ботнет «FritzFrog», развернув серию атак на SSH-серверы с января 2020. «FritzFrog» распространяется как червь и атакует государственные учреждения, учебные заведения, медицинские центры, банки и телекоммуникационные компании.

С начала года майнинговый P2P-ботнет, известный как «DDG», переживает всплеск активности - к апрелю вышло 16 различных версий. Особенно заметно, что операторы данного ботнета переняли проприетарный механизм P2P, который, по мнению исследователей, превратил «DDG» в комплексную, «казалось бы, неудержимую» угрозу.

А в конце прошлого года был обнаружен ботнет под названием «Roboto», нацеленный на уязвимость удаленного выполнения кода на серверах Linux Webmin.

Архитектура P2P популярна среди киберпреступников. Она обеспечивает большую отказоустойчивость по сравнению с другими типами ботнетов, поскольку управление децентрализовано и распространено среди всех узлов. Таким образом, нет единой точки отказа и нет командно-контрольного сервера.

Что касается «Mozi», то компания IBM предупредила - ландшафт IoT будет продолжать оставаться богатыми охотничьими угодьям для ботнетов.

«По мере того, Vecteezy группы ботнетов, такие как «Mozi», наращивают свое присутствие и активность в IoT-сегменте, организации, использующие устройства IoT, должны быть осведомлены об этой эволюционирующей угрозе», - заключила компания. «IBM все чаще видит атаки на корпоративные IoT-устройства. Сommand-injection-атаки остаются основным вектором заражения, что подтверждает важность изменения настроек устройств «по умолчанию» и использования эффективного тестирования на проникновение для поиска и устранения пробелов в безопасности устройств».

 

Перевод сделан со статьи https://threatpost.com/

Изображение - Vecteezy.com