根據(jù)IBM本周的報(bào)道，近來(lái)崛起的僵尸網(wǎng)絡(luò)Mozi推動(dòng)了物聯(lián)網(wǎng)（IoT）僵尸網(wǎng)絡(luò)活動(dòng)的顯著增長(zhǎng)。

　　IBM的研究人員指出，Mozi的代碼與Mirai及其變體重疊，并重用Gafgyt代碼，在過(guò)去的一年里迅速“登上王座”，在2019年10月至2020年6月期間觀察到的物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊流量中占90%（下圖），不過(guò)Mozi并沒(méi)有試圖將競(jìng)爭(zhēng)對(duì)手從被侵入的系統(tǒng)中刪除。

　　IoT物聯(lián)網(wǎng)攻擊的急劇增加的主要原因是全球IoT設(shè)備數(shù)量增加，從而擴(kuò)大了攻擊面。IBM指出，目前全球約有310億臺(tái)IoT設(shè)備，每秒鐘部署大約127臺(tái)設(shè)備。

　　IBM認(rèn)為Mozi的成功基于命令注入（CMDi）攻擊的使用，利用了物聯(lián)網(wǎng)設(shè)備的配置錯(cuò)誤。

　　幾乎所有觀察到的針對(duì)IoT設(shè)備的攻擊都使用CMDi進(jìn)行初始訪問(wèn)。Mozi利用CMDi，使用“wget”shell命令，然后篡改權(quán)限，以方便攻擊者與目標(biāo)系統(tǒng)進(jìn)行交互。

　　在易受攻擊的設(shè)備上，下載了名為“mozi.a”的文件，然后在MIPS體系結(jié)構(gòu)上執(zhí)行。攻擊目標(biāo)是運(yùn)行縮減指令集計(jì)算機(jī)（RISC）體系結(jié)構(gòu)的機(jī)器–MIPS是RISC指令集體系結(jié)構(gòu)–并且可以為對(duì)手提供修改固件以安裝其他惡意軟件的能力。

　　Mozi的傳播利用了許多設(shè)備的漏洞，包括：

　　·CVE-2017-17215（華為 HG532）

　　·CVE-2018-10561/CVE-2018-10562（GPON 路由器）

　　·CVE-2014-8361（Realtek SDK）

　　·CVE-2018-10562（GPON路由器）

　　·CVE-2014-8361（Realtek SDK）

　　·CVE-20 2008-4873 （Sepal SPBOARD）

　　·CVE-2016-6277（Netgear R7000/R6400）

　　·CVE-2015-2051（D-Link 設(shè)備）

　　·Eir D1000無(wú)線路由器命令注入

　　·Netgear setup. cgi未身份驗(yàn)證RCE

　　·MVPower DVR命令執(zhí)行

　　·D-Link UPnP SOAP命令執(zhí)行

　　·影響多個(gè)CCTV-DVR供應(yīng)商的RCE

　　Mozi僵尸網(wǎng)絡(luò)是基于分布式草率哈希表（DSHT）協(xié)議的點(diǎn)對(duì)點(diǎn)（P2P）僵尸網(wǎng)絡(luò)，它可以通過(guò)IoT設(shè)備漏洞和弱telnet密碼進(jìn)行傳播。研究人員指出，Mozi主要利用位于中國(guó)的基礎(chǔ)設(shè)施（84%），能夠使用硬編碼列表暴力破解telnet賬戶憑據(jù)。

　　Mozi使用ECDSA384（橢圓曲線數(shù)字簽名算法 384）來(lái)檢查其完整性，并包含一組硬編碼DHT公共節(jié)點(diǎn)，可用于加入P2P網(wǎng)絡(luò)。

　　僵尸網(wǎng)絡(luò)可用于啟動(dòng)分布式拒絕服務(wù)（DDoS）攻擊（HTTP、TCP、UDP），可以啟動(dòng)命令執(zhí)行攻擊，可以提取和執(zhí)行其他有效負(fù)載，還可以收集bot信息。

　　“隨著較新的僵尸網(wǎng)絡(luò)（如Mozi）的加速運(yùn)營(yíng)和整體IoT物聯(lián)網(wǎng)攻擊活動(dòng)激增，使用物聯(lián)網(wǎng)設(shè)備的企業(yè)需要意識(shí)到不斷變化的威脅。命令注入仍然是攻擊者的首選主要感染媒介，更改設(shè)備默認(rèn)設(shè)置和使用有效的滲透測(cè)試無(wú)論如何強(qiáng)調(diào)都不過(guò)分。”IBM總結(jié)道。