皇冠管理端(www.x2w00.com):Mozi僵尸 *** 可攻击华为、中兴IoT装备

手机新2管理端

www.22223388.com)实时更新发布最新最快最有效的手机新2管理端网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。

,

Mozi是一个使用类BitTorrent *** 熏染物联网装备的P2P僵尸 *** 。Mozi行使弱Telnet口令和近10个未修复的iot装备破绽来执行DDoS攻击、数据窃取、下令和payload执行。

微软IoT平安研究职员最近发现Mozi 僵尸 *** 不停进化,已经在Netgear、华为、中兴等厂商的网关上实现了驻留。

熏染路由器后,僵尸 *** 可以通过HTTP 挟制和DNS 期盼来提议中央人攻击以黑掉终端,并部署勒索软件。图1是Mozi僵尸 *** 中行使的破绽和使用的驻留手艺。

图 1: Mozi僵尸 *** 攻击流

新驻留功效

除了已知的P2P和DOS功效外,研究职员还发现Mozi 僵尸 *** 的多个新功效。通过攻击Netgear、华为、中兴网关,恶意软件接纳措施来增添装备重启后驻留的可能性,或被其他恶意软件滋扰的可能性。

实现提权驻留

恶意软件有一个特殊的行为就是检查/overlay 文件夹的检查,以及恶意软件是否有/etc文件夹的写权限。本例,恶意软件会行使CVE-2015-1328破绽。

乐成行使该破绽使得恶意软件具有以下文件夹的接见权限:

/etc/rc.d
/etc/init.d

然后会执行以下动作:

· 在这些文件夹中放置名为S95Baby.sh的剧本文件。

· 剧本运行/usr/networks文件或/user/networktmp文件。这些都是可执行文件的副本。

· 若是没有权限就将剧本加入到/etc/rcS.d和/etc/rc.local中。

ZTE装备

对于中兴装备,恶意软件会检查/usr/local/ct文件夹是否存在,这解释装备是中兴路由器装备。然后会执行以下动作:

复制其他实例(/usr/networks) 到/usr/local/ct/ctadmin0 中,这将为恶意软件提供驻留功效;

删除文件/home/httpd/web_shell_cmd.gch。该文件可以用于通过CVE-2014-2321破绽行使获取接见权限,删除的目的是以防下一步攻击流动。

执行以下下令:

sendcmd 1 DB set MgtServer 0 Tr069Enable 1
sendcmd 1 DB set PdtMiddleWare 0 Tr069Enable 0
sendcmd 1 DB set MgtServer 0 URL http://127.0.0.1
sendcmd 1 DB set MgtServer 0 UserName notitms
sendcmd 1 DB set MgtServer 0 ConnectionRequestUsername notitms
sendcmd 1 DB set MgtServer 0 PeriodicInformEnable 0
sendcmd 1 DB save

华为装备

皇冠管理端

www.x2w00.com)实时更新发布最新最快最有效的皇冠管理端网址,包括皇冠管理端手机网址,皇冠管理端备用网址,皇冠管理端最新网址,皇冠管理端足球网址,皇冠管理端网址大全。

执行以下下令会修改密码和禁用华为路由器装备的治理服务器,还可以预防路由器通过治理服务器接见装备:

cfgtool set /mnt/jffs2/hw_ctree.xml
InternetGatewayDevice.ManagementServer URL http://127.0.0.1
cfgtool set /mnt/jffs2/hw_ctree.xml
InternetGatewayDevice.ManagementServer ConnectionRequestPassword acsMozi

为提供分外一层的驻留,恶意软件还会确立以下文件:

/mnt/jffs2/Equip.sh
/mnt/jffs2/wifi.sh
/mnt/jffs2/WifiPerformance.sh

预防远程接见

恶意软件会阻挡以下TCP端口:

· 23—Telnet

· 2323—Telnet alternate port

· 7547—Tr-069 port

· 35000—Tr-069 port on Netgear devices

· 50023—Management port on Huawei devices

· 58000—Unknown usage

这些端口可以用来获取装备的远程接见。关闭端口可以增添恶意软件存活的可能性。

剧本注入器

剧本注入器可以扫描文件系统中除以下路径外的.sh文件:

/tmp /dev /var /lib /haha /proc /sys

并在每个文件中都加一行。这一行可以让剧本从/usr/networks运行恶意软件的副本。这可以增添恶意软件在差异装备上的存活率。

流量注入和DNS诱骗

恶意软件可以从漫衍式哈希表(DHT,distributed hash table) *** 中吸收下令。DHT是用于 *** 化通讯的P2P协议。这些下令会吸收和保留在一个文件中,其中部门是加密的。该模块只在具有IPv4 转发功效的装备上运行。恶意软件还可以检查/proc/sys/net/ipv4/ip_forward 是否即是1。该模块运行在UDP 53和TCP 80端口。

DNS诱骗

Mozi会吸收一个异常简朴的用于诱骗的DNS名列表。其结构如下:

每个DNS请求都市以诱骗的IP会响应。这是一种将流量重定向到攻击者基础设施的高效手艺。

更多手艺剖析参见:https://www.microsoft.com/security/blog/2021/08/19/how-to-proactively-defend-against-mozi-iot-botnet/



本文翻译自:https://www.microsoft.com/security/blog/2021/08/19/how-to-proactively-defend-against-mozi-iot-botnet/

  • 评论列表:

添加回复:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。