بدافزار Mozi Botnet بیشترین ترافیک اینترنت IoT را به خود اختصاص میدهد.
ترافیک اینترنت IoT در چنگال Mozi Botnet
مرکز مدیریت راهبردی افتا , 2 مهر 1399 ساعت 16:56
بدافزار Mozi Botnet بیشترین ترافیک اینترنت IoT را به خود اختصاص میدهد.
بدافزار Mozi Botnet بیشترین ترافیک اینترنت IoT را به خود اختصاص میدهد
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، Mozi botnet یک بدافزار P2P است که قبلاً به خاطر تسخیر روترهای Netgear ، D-Link و Huawei شناخته شده بود، اندازه آن حجیم شده و ۹۰ درصد از ترافیک مشاهده شده اینترنت را به خود اختصاص میدهد.
مهاجمان مدتی است که از این دستگاهها به ویژه از طریق بات نت Mirai استفاده میکنند . Mozi تا حد زیادی با استفاده از حملات تزریق فرمان (CMDi) که اغلب ناشی از پیکربندی نادرست دستگاههای IoT است، موفقیتآمیز بوده است. رشد مداوم استفاده از IoT و پروتکلهای پیکربندی ضعیف دلیل احتمالی این جهش هستند. این افزایش ممکن است به دلیل دسترسی زیاد به شبکههای شرکتی از راه دور حول محور COVID-۱۹ باشد.
Mozi برای نخستینبار در اواخر سال ۲۰۱۹ با هدف قرار دادن روترها و DVRها چندین بار توسط تیمهای تحقیقاتی مختلف مورد تجزیهوتحلیل قرار گرفت. در واقع، Mozi اساساً یک نوع Mirai است، اما همچنین حاوی قطعههایی از Gafgyt و IoT Reaper است که برای حملات DDoS، تبلیغات هرزنامهها و اجرای دستورات یا payload استفاده میشود.
IBM با استفاده از CMDi برای دسترسی اولیه به دستگاه آسیبپذیر، از طریق دستور shell "wget" متوجه وجود Mozi شد و سپس مجوزها را تغییر میداد تا به مهاجم اجازه تعامل با سیستم آسیب دیده را بدهد. "حملات CMDi به دلایل زیادی در مقابل دستگاههای IoT بسیار محبوب هستند. اول، سیستمهای جاسازی شده IoT معمولاً شامل یک رابط وب و یک رابط اشکالزدایی باقی مانده از توسعه سیستمعامل است که میتواند مورد سو استفاده قرار بگیرد. دوم، ماژول های PHP ساخته شده در رابطهای IoT میتوانند مورد بهرهبرداری قرار گیرند تا به عوامل مخرب قابلیت اجرای از راه دور را بدهند. سوم، رابطهای IoT اغلب در هنگام استفاده آسیبپذیر میشوند. این به مهاجمان اجازه میدهد تا دستورات shell مانند "wget" را وارد کنند.
در فایل Mozi، دستور wget فایلی را با نام "mozi.a" در سیستمهای آسیبپذیر دانلود و اجرا میکند. محققان گفتند که این فایل بر روی ریزپردازنده اجرا میشود. هنگامی که مهاجم از طریق botnet به دستگاه دسترسی کامل پیدا کرد، باتوجه به نوع حمله میتواند سطح سیستمعامل را تغییر داده و بدافزار اضافی را دانلود کند.
Mozi پیوسته آسیبپذیریهایی را که از طریق CMDi مورد استفاده قرار میگیرد را به روز میکند. این جریانی است که میتواند به راحتی و به طور خودکار رشد Mozi را تسریع کند. در آخرین تجزیه و تحلیل انجام شده توسط IBM، روترهای Huawei ، Eir ، Netgear ، GPON Rand D-Link دستگاههای استفاده کننده Realtek SDK SPBOARD Sepal ؛ DVR MVPower؛ آسیبپذیر هستند.
Mozet botnet هنگامی که به دستگاهی صدمه وارد میکند، سعی دارد به پورت UDP محلی ۱۴۷۳۷ را متصل شود و فرایندهایی را که از پورت های ۱۵۳۶ و ۵۸۸۸ استفاده میکنند ، پیدا کرده و از بین ببرد. DHT یک سیستم توزیع شده است که با ارائه یک سرویس جستجو به نودهای P۲P امکان شناسایی همدیگر و برقراری ارتباط را میدهد.
طبق گفته IBM ،بات نت Mozi از یک پروتکل DHT سفارشی برای توسعه شبکه P۲P خود استفاده میکند. برای پیوستن گره جدید Mozi به شبکه DHT، بدافزار یک شناسه برای دستگاهی که تازه آلوده شده تولید میکند. ID بیست بایت است و شامل پیشوند ۸۸۸۸۸۸ است که در نمونه جایگذاری شده است یا پیشوند با استفاده از فایل پیکربندی [hp]، به علاوه یک رشته تصادفی مشخص میشود. سپس این گره درخواست HTTP اولیه را برای ثبت به آدرس http[:]//ia[.]۵۱[.]la میفرستد و درخواست DHT “find_node” را به هشت گره عمومی DHT ارسال میکند که اطلاعات تماس برای یک گره شناخته شده Mozi را پیدا کند و سپس به آن متصل شده و در نهایت به بات نت بپیوندد.
از آنجا که گروههای جدید botnet مانند Mozi، عملیات مخرب خود را افزایش دادهاند سازمانهایی که از دستگاههای IoT استفاده میکنند باید از تهدیدهای در حال رشد آگاهی داشته باشند. از این رو، تأکید میشود در جهت تغییر تنظیمات پیشفرض دستگاه و استفاده از آزمایش نفوذ مؤثر برای یافتن و رفع اشکالات امنیتی اقدامات لازم انجام پذیرد.
کد مطلب: 17044