如何主動防禦墨子Mozi物聯網殭屍網路

Mozi 是一種點對點（P2P）殭屍網路，它使用類似 BitTorrent 的網路來感染物聯網裝置，例如網路閘道器和數字影片記錄（DVR）。工作原理是利用弱 telnet 密碼和近十幾個未修補的物聯網漏洞，已被用於進行分散式拒絕服務（DDoS）攻擊、資料洩露以及命令或有效負載執行。

雖然殭屍網路本身並不新鮮，但微軟的物聯網安全研究人員最近發現，Mozi 已經進化到可以在 Netgear、華為和中興通訊製造的網路閘道器上實現永續性。使用專門適用於每個閘道器特定架構的巧妙永續性技術來實現這一點。

網路閘道器是攻擊者的一個特別多汁誘惑力強的目標，它們是企業網路的初始接入點的理想選擇。攻擊者可以透過 Shodan 等掃描工具在網際網路上搜索易受攻擊的裝置，感染它們，進行偵察，然後橫向移動以危害更高價值的目標——包括操作技術（OT）網路中的資訊系統和關鍵工業控制系統（ICS）裝置。

透過感染路由器，可以執行中間人（MITM）攻擊——透過 HTTP 劫持和 DNS 欺騙——來危害端點並部署勒索軟體或在 OT 設施中引發安全事故。在下圖中，我們僅展示瞭如何結合使用漏洞和新發現的永續性技術的一個示例。當然，還有更多的可能性。

主動防禦

使用受影響網路閘道器（Netgear、華為和中興通訊）的企業和個人應立即採取以下步驟，以確保他們能夠抵禦本文中提到的攻擊：

確保裝置上使用的所有密碼都是使用強密碼最佳實踐建立的。

確保裝置已打補丁並且是最新的。

這樣做將減少殭屍網路利用的攻擊面，並防止攻擊者進入他們可以使用新發現的永續性和下面更詳細描述的其他漏洞利用技術的位置。

微軟方面表示他們的的安全雲和所有 Microsoft Defender 產品的智慧，包括微軟 365 Defender （XDR）、Azure Sentinel（雲原生 SIEM/SOAR）以及適用於 IoT 的 Azure Defender也提供針對這種惡意軟體的保護，並且隨著威脅形勢的不斷髮展，會不斷更新最新的威脅情報。最近對 ReFirm Labs 的收購將進一步增強 Azure Defender for IoT 透過其即將推出的深度韌體掃描和分析功能來保護客戶的能力，功能將與Azure IoT 中心的裝置更新修補功能整合。

新持久化能力的技術描述

除了眾所周知的廣泛的 P2P 和 DDoS 功能外，最近還觀察到了 Mozi 殭屍網路的幾個新的和獨特的功能。

針對 Netgear、華為和中興閘道器，惡意軟體現在會採取特定行動，以增加在重啟或其他惡意軟體或響應者干擾其操作的任何其他嘗試時存活的機會。

示例：

實現特權持久化

對

/overlay

資料夾的存在進行特定檢查，以及惡意軟體是否對資料夾

/etc

沒有寫許可權。在這種情況下，它會嘗試利用

CVE-2015-1328

。

成功利用該漏洞將授予惡意軟體訪問以下資料夾的許可權：

/etc/rc。d

/etc/init。d

然後採取以下措施：

將名為S95Baby。sh的指令碼檔案放置在這些資料夾中。

該指令碼執行檔案/usr/networks或/user/networktmp。這些是可執行檔案的副本。

它將指令碼新增到/etc/rcS。d和/etc/rc。local以防它缺乏特權。

中興通訊裝置

對

/usr/local/ct

資料夾是否存在進行特定檢查；這用作裝置是中興調變解調器/路由器裝置的指示器。

採取以下措施：

另一個例項（/usr/networks）複製到/usr/local/ct/ctadmin0；這為惡意軟體提供了永續性。

刪除檔案/home/httpd/web_shell_cmd。gch。該檔案可用於透過漏洞CVE-2014-2321獲取訪問許可權；刪除它可以防止未來的攻擊。

執行以下命令。這些禁用Tr-069及其連線到自動配置伺服器（ACS）的能力。Tr-069是網路裝置遠端配置協議；它通常被服務提供商用來配置客戶的裝置。

sendcmd 1 DB 設定 MgtServer 0 Tr069Enable 1 sendcmd 1 DB 設定 PdtMiddleWare 0 Tr069Enable 0 sendcmd 1 DB 集 MgtServer 0 URL http：//127。0。0。1 sendcmd 1 DB 集 MgtServer 0 使用者名稱 notitms sendcmd 1 DB 集 MgtServer 0 ConnectionRequestUsername notitms sendcmd 1 DB 設定 MgtServer 0 PeriodicInformEnable 0 sendcmd 1 DB 儲存

華為裝置

執行以下命令更改密碼並禁用華為調變解調器/路由器裝置的管理伺服器。還可以防止其他人透過管理伺服器訪問裝置。

cfgtool 設定/mnt/jffs2/hw_ctree。xml InternetGatewayDevice。ManagementServer URL http：//127。0。0。1cfgtool 設定/mnt/jffs2/hw_ctree。xml InternetGatewayDevice。ManagementServer ConnectionRequestPassword acsMozi

為了提供額外的永續性，它還會根據需要建立以下檔案，並附加一條指令以從

/usr/networks

執行其副本。

/mnt/jffs2/Equip。sh/mnt/jffs2/wifi。sh/mnt/jffs2/WifiPerformance。sh

防止遠端訪問

惡意軟體會阻止以下 TCP 埠：

23—遠端登入

2323—Telnet 備用埠

7547—Tr-069 埠

35000—Netgear 裝置上的 Tr-069 埠

50023——華為裝置的管理埠

58000 - 未知用法

這些埠用於獲得對裝置的遠端訪問。

指令碼感染者

掃描檔案系統中的

.sh

檔案，不包括以下路徑：

/tmp /dev /var /lib /haha /proc /sys

向每個檔案附加一行。該行指示指令碼從

/usr/networks

執行惡意軟體的副本。這增加了它在各種裝置上的生存機會。

流量注入和 DNS 欺騙功能

惡意軟體從其分散式雜湊表（DHT）網路接收命令。後者是一種用於去中心化通訊的 P2P 協議。命令被接收並存儲在一個檔案中，其中的部分是加密的。該模組僅適用於支援 IPv4 轉發的裝置。它檢查

/proc/sys/net/ipv4/ip_forward

是否設定為 1；這種積極的驗證是路由器和閘道器的特徵。該模組適用於埠 UDP 53 （DNS）和 TCP 80 （HTTP）。

配置命令

［hi］ – 命令的存在表明它需要使用 MiTM 模組。［set］ – 包含描述如何使用 MiTM 模組的加密部分。

命令

說明

[ss]

機器人角色

[ssx]

啟用/禁用標籤［ss］

[CPU]

CPU架構

[CPU]

啟用/禁用標籤［cpu］

[nd]

新的 DHT 節點

[hp]

DHT 節點雜湊字首

[atk]

DDoS 攻擊型別

[ver]

DHT協議中V部分的值

[sv]

更新配置

[ud]

更新機器人

[dr]

從指定的 URL 下載並執行有效負載

[rn]

執行指定命令

[dip]

ip：port 下載墨子bot

[idp]

舉報機器人

[count]

用於報告機器人的 URL

DNS欺騙

Mozi 會收到一個非常簡單的 DNS 名稱列表，然後對其進行欺騙。其結構如下：

：

每個 DNS 請求都使用欺騙性 IP 進行應答。這是一種將流量重定向到攻擊者基礎設施的有效技術。

HTTP 會話劫持

這部分 MITM 功能負責劫持 HTTP 會話。並非每個 HTTP 請求都被處理。有幾個條件使它有資格被劫持，其中大部分是為了限制模組的“噪音水平”，以降低它被網路防禦者發現的機會。

以下是一些規則：

僅適用於 HTTP GET 請求。意味著表單和更復雜的請求將被忽略。

配置中的隨機數表示注入多少查詢。表明攻擊者瞭解隱藏此功能的重要性。

一些域被忽略，最有可能是為了避免干擾某些型別裝置的正常執行或避免被各種安全對策檢測到。

只會欺騙外部流量；LAN 內的 HTTP 請求將被忽略。

進行測試以驗證 URL 不包含字串“veri=20190909” ——這樣做是為了防止注入已經注入的頁面。

返回從預定義的響應列表派生的隨機 HTTP 響應。有九種不同型別的劫持；劫持的具體型別及其引數來源於配置檔案。以下是這些劫持技術的一些示例。

一些欺騙透過使用 HTTP Location 標頭的重定向發生，如下所示。

示例 1：使用 HTTP Location 標頭透過重定向進行欺騙。這應該在沒有任何使用者互動的情況下自動重定向。

示例2：一種只注入JavaScript的劫持方法；它是為評估響應的 ajax 呼叫而設計的，因此此劫持方法將向頁面中注入一個新指令碼。

防範 Mozi 惡意軟體

Microsoft 安全解決方案已經更新以保護、檢測和響應 Mozi 及其增強功能。

客戶可以使用Microsoft Defender for Endpoint 中的網路裝置發現功能來發現其 IT 網路上受影響的 Internet 閘道器並執行漏洞評估。此外，Azure Defender for IoT的無代理網路層功能可用於對其 OT 網路上的 IoT 和 OT 裝置執行持續資產發現、漏洞管理和威脅檢測。此解決方案可以快速部署（通常每個站點不到一天），並且可用於本地和雲連線環境。

Defender for IoT 還與Azure Sentinel緊密整合，它提供了整個企業的鳥瞰圖——利用 AI 和自動化劇本來檢測和響應經常跨越 IT 和 OT 邊界的多階段攻擊。

除了透過物聯網/OT 感知行為分析檢測有針對性的攻擊和野外生存（LOTL）策略外，物聯網防禦者還整合了來自微軟全球安全專家團隊使用人工智慧和機器學習。這有助於確保我們的客戶持續受到保護，免受新的和現有的威脅。

雖然我們提供了許多解決方案，但在受影響的 Internet 閘道器上實施上述“指導：主動防禦”部分中的每條建議仍然至關重要，以防止它們成為攻擊的載體。

若要詳細瞭解我們的整合 SIEM/XDR 解決方案與適用於 IoT 的 Azure Defender 相結合如何幫助保護您的組織，請參閱以下資源：

物聯網 Azure Defender

適用於 IoT 的 Azure Defender 概述

蔚藍哨兵

Azure Sentinel 概述

微軟 365 後衛

概述微軟 365 後衛

Microsoft Defender for Endpoint 的裝置發現概述和微軟 365 後衛

參考來源：