ترافیک اینترنت IoT در چنگال Mozi Botnet

بدافزار Mozi Botnet بیشترین ترافیک اینترنت IoT را به خود اختصاص می‌دهد

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، Mozi botnet یک بدافزار P2P است که قبلاً به خاطر تسخیر روترهای Netgear ، D-Link و Huawei شناخته شده بود، اندازه آن حجیم شده و ۹۰ درصد از ترافیک مشاهده شده اینترنت را به خود اختصاص می‌دهد.

مهاجمان مدتی است که از این دستگاه‌ها به ویژه از طریق بات نت Mirai استفاده می‌کنند . Mozi تا حد زیادی با استفاده از حملات تزریق فرمان (CMDi) که اغلب ناشی از پیکربندی نادرست دستگاه‌های IoT است، موفقیت‌آمیز بوده است. رشد مداوم استفاده از IoT و پروتکل‌های پیکربندی ضعیف دلیل احتمالی این جهش هستند. این افزایش ممکن است به دلیل دسترسی زیاد به شبکه‌های شرکتی از راه دور حول محور COVID-۱۹ باشد.

Mozi برای نخستین‌بار در اواخر سال ۲۰۱۹ با هدف قرار دادن روترها و DVRها چندین بار توسط تیم‌های تحقیقاتی مختلف مورد تجزیه‌وتحلیل قرار گرفت. در واقع، Mozi اساساً یک نوع Mirai است، اما همچنین حاوی قطعه‌هایی از Gafgyt و IoT Reaper است که برای حملات DDoS، تبلیغات هرزنامه‌ها و اجرای دستورات یا payload استفاده می‌شود.

IBM با استفاده از CMDi برای دسترسی اولیه به دستگاه آسیب‌پذیر، از طریق دستور shell "wget" متوجه وجود Mozi شد و سپس مجوزها را تغییر می‌داد تا به مهاجم اجازه تعامل با سیستم آسیب دیده را بدهد. "حملات CMDi به دلایل زیادی در مقابل دستگاه‌های IoT بسیار محبوب هستند. اول، سیستم‌های جاسازی شده IoT معمولاً شامل یک رابط وب و یک رابط اشکال‌زدایی باقی مانده از توسعه سیستم‌عامل است که می‌تواند مورد سو استفاده قرار بگیرد. دوم، ماژول های PHP ساخته شده در رابط‌های IoT می‌توانند مورد بهره‌برداری قرار گیرند تا به عوامل مخرب قابلیت اجرای از راه دور را بدهند. سوم، رابط‌های IoT اغلب در هنگام استفاده آسیب‌پذیر می‌شوند. این به مهاجمان اجازه می‌دهد تا دستورات shell مانند "wget" را وارد کنند.

در فایل Mozi، دستور wget فایلی را با نام "mozi.a" در سیستم‌های آسیب‌پذیر دانلود و اجرا می‌کند. محققان گفتند که این فایل بر روی ریزپردازنده اجرا می‌شود. هنگامی که مهاجم از طریق botnet به دستگاه دسترسی کامل پیدا کرد، باتوجه به نوع حمله می‌تواند سطح سیستم‌عامل را تغییر داده و بدافزار اضافی را دانلود کند.

Mozi پیوسته آسیب‌پذیری‌هایی را که از طریق CMDi مورد استفاده قرار می‌گیرد را به روز می‌کند. این جریانی است که می‌تواند به راحتی و به طور خودکار رشد Mozi را تسریع کند. در آخرین تجزیه و تحلیل انجام شده توسط IBM، روترهای Huawei ، Eir ، Netgear ، GPON Rand D-Link دستگاه‌های استفاده کننده Realtek SDK SPBOARD Sepal ؛ DVR MVPower؛ آسیب‌پذیر هستند.

Mozet botnet هنگامی که به دستگاهی صدمه وارد می‌کند، سعی دارد به پورت UDP محلی ۱۴۷۳۷ را متصل شود و فرایندهایی را که از پورت های ۱۵۳۶ و ۵۸۸۸ استفاده می‌کنند ، پیدا کرده و از بین ببرد. DHT یک سیستم توزیع شده است که با ارائه یک سرویس جستجو به نودهای P۲P امکان شناسایی همدیگر و برقراری ارتباط را می‌دهد.

طبق گفته IBM ،بات نت Mozi از یک پروتکل DHT سفارشی برای توسعه شبکه P۲P خود استفاده می‌کند. برای پیوستن گره جدید Mozi به شبکه DHT، بدافزار یک شناسه برای دستگاهی که تازه آلوده شده تولید می‌کند. ID بیست بایت است و شامل پیشوند ۸۸۸۸۸۸ است که در نمونه جایگذاری شده است یا پیشوند با استفاده از فایل پیکربندی [hp]، به علاوه یک رشته تصادفی مشخص می‌شود. سپس این گره درخواست HTTP اولیه را برای ثبت به آدرس http[:]//ia[.]۵۱[.]la می‌فرستد و درخواست DHT “find_node” را به هشت گره عمومی DHT ارسال می‌کند که اطلاعات تماس برای یک گره شناخته شده Mozi را پیدا کند و سپس به آن متصل شده و در نهایت به بات نت بپیوندد.

از آنجا که گروه‌های جدید botnet مانند Mozi، عملیات مخرب خود را افزایش داد‌ه‌اند سازمان‌هایی که از دستگاه‌های IoT استفاده می‌کنند باید از تهدیدهای در حال رشد آگاهی داشته باشند. از این رو، تأکید می‌شود در جهت تغییر تنظیمات پیش‌فرض دستگاه و استفاده از آزمایش نفوذ مؤثر برای یافتن و رفع اشکالات امنیتی اقدامات لازم انجام پذیرد.