Breaking News

Mozi - mạng botnet P2P đang tấn công vào các bộ định tuyến của Netgear, D-Link, Huawei

Các bộ định tuyến của Netgear, D-Link, Huawei đang là mục tiêu tấn công của một mạng lưới botnet ngang hàng mới (P2P) có tên là Mozi. Theo các nhà nghiên cứu thuộc hãng bảo mật 360 Netlab, mục đích chính của mạng Botnet này là để sử dụng trong các cuộc tấn công DDoS.




Mozi - mạng botnet P2P đang tấn công vào các bộ định tuyến của Netgear, D-Link, Huawei - CyberSec365.org
Mozi - mạng botnet P2P đang tấn công vào các bộ định tuyến của Netgear, D-Link, Huawei - CyberSec365.org
Cụ thể, mạng Botnet này được triển khai bằng giao thức Distributed Hash Table (DHT) dựa trên các giao thức chuẩn đưuọc sử dụng trên các máy torrent client và các nền tảng P2P để lưu trữ thông tin.
Việc sử dụng DHT có thể giúp việc kết nối giữa các botnet trong mạng hoạt động nhanh hơn và có thể dễ dàng "ẩn thân" trong các lưu lượng DHT thông thường mà người dùng khó có thể phát hiện ra nếu không đủ kiến thức.
Mozi cũng sử dụng ECDSA384 và thuật toán XOR để đảm bảo tính toàn vẹn và bảo mật của các thành phần của mạng botnet và mạng P2P.
Mozi - mạng botnet P2P đang tấn công vào các bộ định tuyến của Netgear, D-Link, Huawei - CyberSec365.org
Mozi - mạng botnet P2P đang tấn công vào các bộ định tuyến của Netgear, D-Link, Huawei - CyberSec365.org



Phương pháp phát tán và các thiết bị được nhắm mục tiêu

Mozi sử dụng telnet để khai thác và phát tán đến các thiết bị dễ bị tổn thưởng mới bằng cách đăng nhập vào bất kỳ bộ định tuyến hoặc các đầu CCTV DVR nào được nhắm mục tiêu và sử dụng mật khẩu yếu.
Khi phần mềm độc hại được tải về trên thiết bị, bot sẽ được kích hoạt và tự động tham gia vào mạng P2P Mozi dưới dạng một node mới. Ngay sau đó, các node mới này sẽ nhận và thực hiện các lệnh từ máy chủ botnet, đồng thời tìm kiếm và lây nhiễm các bộ định tuyến  Netgear, D-Link và Huawei dễ bị tổn thương khác để thêm vào hệ thống botnet.
"Sau khi Mozi thiết lập mạng p2p thông qua giao thức DHT, tệp cấu hình được đồng bộ hóa và các tác vụ tương ứng được bắt đầu theo các hướng dẫn trong tệp cấu hình", các nhà nghiên cứu giải thích.
Mozi - mạng botnet P2P đang tấn công vào các bộ định tuyến của Netgear, D-Link, Huawei - CyberSec365.org
Mozi - mạng botnet P2P đang tấn công vào các bộ định tuyến của Netgear, D-Link, Huawei - CyberSec365.org
 Để đảm bảo rằng botnet của họ không bị các tác nhân đe dọa khác chiếm đoạt, các nhà khai thác của Mozi đã thiết lập nó để tự động xác minh tất cả các lệnh và cấu hình được đồng bộ hóa gửi đến các nút của botnet, chỉ những lệnh vượt qua các kiểm tra tích hợp này mới được chấp nhận và thực thi bởi các node.

Các chức năng chính được chấp nhận bởi các node Mozi:

  • Khởi chạy các cuộc tấn công DDoS (mô-đun này sử dụng lại mã tấn công của Gafgyt, hỗ trợ HTTP, TCP, UDP và các cuộc tấn công khác)
  • Thu thập và lọc thông tin bot (Bot ID, IP, PORT, tên tệp (đường dẫn đầy đủ), cổng, kiến trúc CPU) Thực thi tải trọng từ URL
  • Cập nhật từ URL được chỉ định
  • Thực thi các lệnh tùy chỉnh hệ thống hoặc bot
Theo các nhà nghiên cứu của 360 NetLab, dưới đây là danh sách 10 dòng thiết bị có thể dễ dàng bị lây nhiễm bởi Mozi Botnet:



Affected DeviceVulnerability
Eir D1000 RouterEir D1000 Wireless Router RCI
Vacron NVR devicesVacron NVR RCE
Devices using the Realtek SDKCVE-2014-8361
Netgear R7000 and R6400Netgear cig-bin Command Injection
DGN1000 Netgear routersNetgear setup.cgi unauthenticated RCE
MVPower DVRJAWS Webserver unauthenticated shell command execution
Huawei Router HG532CVE-2017-17215
D-Link DevicesHNAP SoapAction-Header Command Execution
GPON RoutersCVE-2018-10561, CVE-2018-10562
D-Link DevicesUPnP SOAP TelnetD Command Execution
CCTV DVRCCTV/DVR Remote Code Execution

Botnet P2P ngày càng phổ biến hơn

Các botnet P2P như Nugache and Storm (còn gọi là Peacomm), Sality P2P, Waledac, Kelihos (còn gọi là Hlux), ZeroAccess (còn gọi là Sirefef), Miner và Zeus P2P đã huy động những đội quân khổng lồ kể từ đầu năm 2006 nhưng hầu hết chúng hiện đã tuyệt chủng
Những mạng botnet khác, hẳng hạn như Hajime Hide 'N Seek (còn gọi là HNS), vẫn đang quét các thiết bị dễ bị tổn thương để thỏa hiệp và chia sẻ từng cái một. Theo đó, mạng botnet Hajime Hide 'N Seek đã tăng lên hơn 90.000 thiết bị chỉ trong vài ngày vào tháng 9 năm 2018, trong khi Hajime' zombified 'khoảng 300.000 thiết bị bị nhiễm trong khoảng sáu tháng sau khi được phát hiện lần đầu tiên vào mùa thu năm 2016. 
Đại Phát (Theo Bleeping Computer)



Không có nhận xét nào