Боты Mozi готовы начать DDoS-атаку

Китайские исследователи обнаружили растущий p2p-ботнет, составленный из роутеров и IoT-устройств.

Китайские исследователи обнаружили новый p2p-ботнет, составленный из роутеров и IoT-устройств. Анализ лежащей в его основе вредоносной программы показал, что ее создатели позаимствовали часть кода Gafgyt/BASHLITE, в том числе реализацию функциональности, позволяющей проводить DDoS-атаки.

Linux-боты, которым в Qihoo 360 присвоили кодовое имя Mozi, распространяются посредством подбора паролей к службе Telnet, а также с помощью эксплойтов к давним уязвимостям, которые до сих пор присутствуют в некоторых подключенных к Интернету устройствах. За четыре месяца наблюдений специалисты компании выявили три версии Mozi, которые различаются лишь способом атаки на Telnet.

Список эксплойтов, которыми оперируют боты, содержит десяток позиций, в том числе CVE-2014-8361 (для устройств, использующих Realtek SDK), CVE-2016-6277 (роутеры Netgear R7000 и R6400), CVE-2017-17215 (Huawei HG532), CVE-2018-10561 и CVE-2018-10562 (GPON-роутеры Dasan). В этот перечень также входят три эксплойта для цифровых видеорегистраторов разного производства.

Функции Mozi определены в конфигурационном файле. Как показал анализ, зловред способен:

• генерировать мусорные запросы, создавая общий DDoS-поток типа HTTP flood, TCP flood, UDP flood;
• собирать и сообщать пирам данные о заражении (ID бота, IP-адрес, порт, имя файла и полный путь, шлюз, архитектура ЦП);
• загружать с указанного URL полезную нагрузку и запускать ее на исполнение;
• загружать обновления с указанного URL;
• выполнять системные или специальные команды.

Зловред также умеет защищаться от конкуренции, блокируя доступ к зараженному устройству по SSH и Telnet. Чтобы воспрепятствовать угону ботнета, авторы Mozi предусмотрели проверку подлинности и целостности синхронизируемых конфигурационных файлов. Каждый из них заверяется цифровой подписью, создаваемой по алгоритму ECDSA, 384-битные ключи которого вшиты в код зловреда и зашифрованы путем выполнения операции XOR.

Ботнет на основе Mozi построен как одноранговая сеть, при этом обмен информацией между пирами осуществляется по протоколу DHT. Из известных IoT-зловредов такой же способ распространения файлов используют Hajime и Rex, однако ботоводы Mozi создали собственный, расширенный вариант DHT, чтобы скрыть раздачу полезной нагрузки в обычном DHT-трафике.

Новый Linux-зловред общается с другими пирами, оперируя списком из восьми доступных адресов (IP и доменов) — таких групп в разных вариациях пока зафиксировано восемь. В конфигурационном файле Mozi также обозначены узлы начальной загрузки, через которые новоявленный бот может подключиться к p2p-сети.

Размеры ботнета, попавшего в поле зрения Qihoo 360 в начале сентября, неизвестны, однако исследователям удалось внедрить в него свой пир, и они надеются в скором времени получить представление о количестве активных узлов Mozi. Все собранные на настоящий момент данные пока лишь свидетельствуют о том, что число заражений растет.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля