Mozi是一种点对点(P2P)僵尸网络,它使用类似BitTorrent的网络来感染物联网设备,例如网络网关和数字视频记录(DVR)。工作原理是利用弱telnet密码和近十几个未修补的物联网漏洞,已被用于进行分布式拒绝服务(DDoS)攻击、数据泄露以及命令或有效负载执行。
虽然僵尸网络本身并不新鲜,但微软的物联网安全研究人员最近发现,Mozi已经进化到可以在Netgear、华为和中兴通讯制造的网络网关上实现持久性。使用专门适用于每个网关特定架构的巧妙持久性技术来实现这一点。
网络网关是攻击者的一个特别多汁诱惑力强的目标,它们是企业网络的初始接入点的理想选择。攻击者可以通过Shodan等扫描工具在互联网上搜索易受攻击的设备,感染它们,进行侦察,然后横向移动以危害更高价值的目标——包括操作技术(OT)网络中的信息系统和关键工业控制系统(ICS)设备.
通过感染路由器,可以执行中间人(MITM)攻击——通过HTTP劫持和DNS欺骗——来危害端点并部署勒索软件或在OT设施中引发安全事故。在下图中,我们仅展示了如何结合使用漏洞和新发现的持久性技术的一个示例。当然,还有更多的可能性。
主动防御
使用受影响网络网关(Netgear、华为和中兴通讯)的企业和个人应立即采取以下步骤,以确保他们能够抵御本文中提到的攻击:
确保设备上使用的所有密码都是使用强密码最佳实践创建的。
确保设备已打补丁并且是最新的。
这样做将减少僵尸网络利用的攻击面,并防止攻击者进入他们可以使用新发现的持久性和下面更详细描述的其他漏洞利用技术的位置。
微软方面表示他们的的安全云和所有MicrosoftDefender产品的智能,包括微软Defender(XDR)、AzureSentinel(云原生SIEM/SOAR)以及适用于IoT的AzureDefender也提供针对这种恶意软件的保护,并且随着威胁形势的不断发展,会不断更新最新的威胁情报。最近对ReFirmLabs的收购将进一步增强AzureDefenderforIoT通过其即将推出的深度固件扫描和分析功能来保护客户的能力,功能将与AzureIoT中心的设备更新修补功能集成。
新持久化能力的技术描述
除了众所周知的广泛的P2P和DDoS功能外,最近还观察到了Mozi僵尸网络的几个新的和独特的功能。
针对Netgear、华为和中兴网关,恶意软件现在会采取特定行动,以增加在重启或其他恶意软件或响应者干扰其操作的任何其他尝试时存活的机会。
示例:
实现特权持久化
对/overlay文件夹的存在进行特定检查,以及恶意软件是否对文件夹/etc没有写权限。在这种情况下,它会尝试利用CVE--。
成功利用该漏洞将授予恶意软件访问以下文件夹的权限:
/etc/rc.d
/etc/init.d
然后采取以下措施:
将名为S95Baby.sh的脚本文件放置在这些文件夹中。
该脚本运行文件/usr/networks或/user/networktmp。
这些是可执行文件的副本。
它将脚本添加到/etc/rcS.d和/etc/rc.local以防它缺乏特权。
中兴通讯设备
对/usr/local/ct文件夹是否存在进行特定检查;这用作设备是中兴调制解调器/路由器设备的指示器。
采取以下措施:
另一个实例(/usr/networks)复制到/usr/local/ct/ctadmin0;这为恶意软件提供了持久性。
删除文件/home/