華為、D-Link多款路由器被P2P殭屍網路接管

Editor發表於2019-12-24

華為、D-Link多款路由器被P2P殭屍網路接管



近期,Netgear、D-Link和華為等多個品牌的路由器被一個名為Mozi的P2P殭屍網路接管。

該殭屍網路被發現與Gafgyt惡意軟體有關,因為它們共用了部分相同的程式碼。


新的P2P殭屍網路


研究人員對該殭屍網路進行了長達四個月的監控,發現其主要目的是用於DDoS攻擊。

Mozi使用DHT協議來實現,該協議基於torrent客戶端和其他P2P平臺,通常用於儲存節點聯絡資訊的標準。

這項協議使殭屍網路的速度更快,並且無需使用伺服器,此外還能夠隱藏在DHT流量中的有效負載,以逃避檢測。

為了確保元件的完整性和安全性,Mozi還使用了ECDSA384和XOR演算法。

華為、D-Link多款路由器被P2P殭屍網路接管
Mozi 殭屍網路 

感染途徑及影響


這個殭屍網路是如何和幾大品牌的路由器有所關聯呢?

又回到我們經常說起的話題:弱密碼。

Mozi正是看準了這幾種品牌中部分型號的弱密碼裝置,順利登入後利用telnet將惡意軟體傳播到新的易受攻擊的裝置,併成功執行惡意負載,將受感染的裝置自動加入Mozi P2P網路作為新節點。

下一階段就是從攻擊者控制的主伺服器接收並執行命令了。

華為、D-Link多款路由器被P2P殭屍網路接管
Mozi 殭屍網路感染活動

此外,為了確保殭屍網路不會其他攻擊者接管,Mozi會在網路節點上設定自動驗證,只有通過內建檢查的命令才能被執行,最終發起大型DDoS攻擊。


易受感染的型號


那麼具體有哪些型號容易受到感染呢?如下所示:


華為、D-Link多款路由器被P2P殭屍網路接管

近年來,P2P殭屍網路的攻擊越來越普遍。


例如,2016年秋季Hajime被發現後的六個月內感染了30萬臺裝置,  Hide'N Seek在2018年9月的短短几天內感染數超過90,000臺裝置。

儘管對於P2P殭屍網路的防禦較難實現,但在瞭解更多Mozi的細節和弱點之前,任何人都可以猜測其可行性。

而對於受感染路由器的修補也應儘快落實,避免大型網路癱瘓的可能。


* 本文由看雪編輯 LYA 編譯自 Bleeping Computer,轉載請註明來源及作者。

* 原文連結:

https://www.bleepingcomputer.com/news/security/new-mozi-p2p-botnet-takes-over-netgear-d-link-huawei-routers/

相關文章