深度追蹤Mozi殭屍網路:360安全大腦精準溯源,揪出幕後黑手

Editor發表於2021-06-08

自2019年9月3日,360安全大腦全球率先捕獲到Mozi殭屍網路的相關樣本,並於2019年12月23日首發披露Mozi殭屍網路分析報告,至今兩年來,Mozi的受關注度一直高居不下。

 

作為一種超新型的P2P物聯網殭屍網路,Mozi殭屍網路以 DHT 協議寄生在 P2P 網路中進行通訊,並通過10多種n-day漏洞利用和telnet弱口令方式進行傳播。截至目前,Mozi殭屍網路已在全球範圍形成“蠕蟲級”傳播,累計感染節點超過150萬個,其中有83萬個節點來自中國。

 

360安全大腦旗下360 Netlab網路安全研究院從首家發現Mozi殭屍網路開始,就一直對Mozi殭屍網路保持追蹤研究,並持續跟進Mozi殭屍網路樣本技術分析,Mozi殭屍網路規模暴漲分析,被感染裝置分析,犯罪嫌疑人線索溯源等。經過360 Netlab網路安全研究院的深度追蹤,層層溯源,Mozi的幕後黑手逐漸浮出水面。

 

360 Anglerfish蜜罐監測發現危情:

Mozi殭屍網路大規模暴漲

 

得益於360 Anglerfish蜜罐的監測技術,360 Netlab網路安全研究院可以捕捉到Mozi殭屍網路的感染資料,至少有60%的肉雞IP位於中國境內,主要分佈在河南、山東、廣東、北京等省份。並且通過360 Anglerfish蜜罐分析技術,­360 Netlab網路安全研究院還發現Mozi殭屍網路傳播趨勢,掌握Mozi殭屍網路受害者IP、Mozi殭屍網路樣本、漏洞利用攻擊網路資料包等資訊。

 

深度追蹤Mozi殭屍網路:360安全大腦精準溯源,揪出幕後黑手

圖:Mozi殭屍網路全球分佈

 

­       360 Netlab網路安全研究院還獲取到Mozi殭屍網路精準的統計資料,最高活躍IP在16萬/日。可以看到在2020年9月份開始,Mozi殭屍網路大規模暴漲,360 Netlab分析出這是因為幾組telnet弱口令導致印度和中國的大量裝置被入侵併植入Mozi殭屍網路。

 

深度追蹤Mozi殭屍網路:360安全大腦精準溯源,揪出幕後黑手

圖: Mozi殭屍網路日活統計資料

 

360 安全大腦深度溯源幕後黑手

獨家還原Mozi完整證據鏈

 

(一)通過對Mozi 殭屍網路的樣本分析,360 Netlab網路安全研究院回掃時發現到3個Windows平臺的PE檔案,並以這3個PE檔案為基礎得到相應的數字指紋等資訊:

 

18e9d0339667b593a985f3c97a5847cd

300c3d999aa2fac39a300c185f2a32a4

a0bcd8c50714ea10ed6ff8211cf8b399

 

(二)接著,360 Netlab網路安全研究院發現Mozi 殭屍網路的管理者使用了51.la 提供的統計程式碼服務,來上傳資料以及統計Mozi感染數量:

https://web.51.la/report/online?comId=20198527

https://web.51.la/report/online?comId=17675125

https://web.51.la/report/online?comId=19894027

 

(三)隨後,360 Netlab網路安全研究院以上述統計介面為線索,進一步追蹤溯源嫌疑人資訊。

 

(四)通過360安全大資料的歷史資料檢索,發現Mozi殭屍網路相關研發人員使用過的MAC地址、IP地址等資訊。通過360 PassiveDNS系統,360 Netlab網路安全研究院追蹤到Mozi殭屍網路團伙的主業務-色情網站。

 

深度追蹤Mozi殭屍網路:360安全大腦精準溯源,揪出幕後黑手

 

最終,經過層層分析研判,我們認為Mozi殭屍網路幕後團伙的主業是色情網站,副業才是殭屍網路。

 

360 Anglerfish蜜罐監測高階威脅

為數字時代保駕護航

 

當前,數字變革和數字經濟正在全世界全面推開,物聯網成為數字化轉型的重要“抓手”,資料統計,2025年全球物聯網裝置(包括蜂窩及非蜂窩)聯網數量將達到約246億個。龐大的數量、快速的增長趨勢必然牽動了巨大的利益鏈條,也吸引了大量不法分子試圖從中謀取暴利。以Mozi為典型的物聯網殭屍網路攻擊,為數字時代帶來重大威脅。

 

有別於傳統的殭屍網路通訊方法,Mozi等新型物聯網殭屍網路採用了P2P進行通訊與控制,節點進行身份校驗,通訊流程和通訊內容加密,這些措施提高了殭屍網路的隱匿度和頑固程度,極大增加了殭屍網路追蹤和清理的難度,亟需一種新型的針對P2P型殭屍網路的監測方法。

 

360 Anglerfish是在全球部署、業內領先的高階蜜罐系統,在過去幾年物聯網殭屍網路的發現能力上,全球獨樹一幟。360 Anglerfish蜜罐在 TCP/UDP 全埠監聽網路掃描行為,並模擬了大量應用協議和漏洞特徵,誘導攻擊者進入精心設計的陷阱。 當Anglerfish蜜罐模擬成一個特定裝置時,攻擊者會無差別地掃描並攻擊模擬的裝置,這讓我們具備蒐集針對網際網路、物聯網、工業網際網路等行業的0-day/1-day/n-day漏洞攻擊資料能力。

 

廣大黨政軍企領域客戶可直接撥打垂詢電話:400-0309-360,或聯絡contactus@360.cn ,您的專屬客戶經理將提供產品詳情諮詢。

 

作為數字經濟的守護者,360政企安全集團對全網態勢感知及監測能力不斷投入研究, 未來,360將持續以360安全大腦為核心的新一代安全能力體系,圍繞新理念、新融合、新體系、新服務構建“全域性感知、實戰攻防”運營服務能力,輸出給行業、城市、國家,共同建設更加牢固的堡壘。

 


相關文章