近期,Netgear、D-Link和華為等多個品牌的路由器被一個名為Mozi的P2P殭屍網路接管。
該殭屍網路被發現與Gafgyt惡意軟體有關,因為它們共用了部分相同的程式碼。
新的P2P殭屍網路
研究人員對該殭屍網路進行了長達四個月的監控,發現其主要目的是用於DDoS攻擊。
Mozi使用DHT協議來實現,該協議基於torrent客戶端和其他P2P平臺,通常用於儲存節點聯絡資訊的標準。
這項協議使殭屍網路的速度更快,並且無需使用伺服器,此外還能夠隱藏在DHT流量中的有效負載,以逃避檢測。
為了確保元件的完整性和安全性,Mozi還使用了ECDSA384和XOR演算法。
Mozi 殭屍網路
感染途徑及影響
這個殭屍網路是如何和幾大品牌的路由器有所關聯呢?
又回到我們經常說起的話題:弱密碼。
Mozi正是看準了這幾種品牌中部分型號的弱密碼裝置,順利登入後利用telnet將惡意軟體傳播到新的易受攻擊的裝置,併成功執行惡意負載,將受感染的裝置自動加入Mozi P2P網路作為新節點。
下一階段就是從攻擊者控制的主伺服器接收並執行命令了。
Mozi 殭屍網路感染活動
此外,為了確保殭屍網路不會其他攻擊者接管,Mozi會在網路節點上設定自動驗證,只有通過內建檢查的命令才能被執行,最終發起大型DDoS攻擊。
易受感染的型號
那麼具體有哪些型號容易受到感染呢?如下所示:
近年來,P2P殭屍網路的攻擊越來越普遍。
例如,2016年秋季Hajime被發現後的六個月內感染了30萬臺裝置, Hide'N Seek在2018年9月的短短几天內感染數超過90,000臺裝置。
儘管對於P2P殭屍網路的防禦較難實現,但在瞭解更多Mozi的細節和弱點之前,任何人都可以猜測其可行性。
而對於受感染路由器的修補也應儘快落實,避免大型網路癱瘓的可能。
* 本文由看雪編輯 LYA 編譯自 Bleeping Computer,轉載請註明來源及作者。
* 原文連結:
https://www.bleepingcomputer.com/news/security/new-mozi-p2p-botnet-takes-over-netgear-d-link-huawei-routers/