Ai đã giết Mozi? Cuối cùng đã đưa botnet zombie IoT xuống mồ

Nghiên cứu ESET

Làm thế nào ESET Research tìm thấy một công cụ tiêu diệt đã được sử dụng để hạ gục một trong những mạng botnet mạnh nhất hiện có

Tháng Mười Một 01 2023  •  , 3 phút đọc

Vào tháng 2023 năm 8, mạng botnet Mozi khét tiếng, nổi tiếng với việc khai thác các lỗ hổng trên hàng trăm nghìn thiết bị IoT mỗi năm, đã trải qua một đợt ngừng hoạt động đột ngột và không lường trước được. Lần đầu tiên được quan sát thấy ở Ấn Độ vào ngày XNUMX tháng XNUMX^th, 2023 và một tuần sau tại Trung Quốc vào ngày 16 tháng XNUMX^th, sự biến mất bí ẩn này đã tước đi hầu hết chức năng của bot Mozi.

Cuộc điều tra của chúng tôi về sự kiện này đã dẫn chúng tôi đến việc phát hiện ra một kill switch vào ngày 27 tháng XNUMX^th, 2023. Chúng tôi phát hiện thấy tải trọng điều khiển (tệp cấu hình) bên trong thông báo giao thức gói dữ liệu người dùng (UDP) thiếu tính năng đóng gói điển hình của giao thức bảng băm phân tán cẩu thả (BT-DHT) của BitTorrent. Người đứng sau việc gỡ bỏ đã gửi trọng tải kiểm soát tám lần, mỗi lần hướng dẫn bot tải xuống và cài đặt bản cập nhật của chính nó qua HTTP.

Công tắc tiêu diệt đã thể hiện một số chức năng, bao gồm:

• giết chết tiến trình gốc, tức là phần mềm độc hại Mozi ban đầu,
• vô hiệu hóa một số dịch vụ hệ thống như sshd và dropbear,
• thay thế tệp Mozi gốc bằng chính nó,
• thực hiện một số lệnh cấu hình bộ định tuyến/thiết bị,
• vô hiệu hóa quyền truy cập vào các cổng khác nhau (iptables -j THẢ), Và
• thiết lập chỗ đứng tương tự như tệp Mozi gốc được thay thế

Chúng tôi đã xác định hai phiên bản của tải trọng điều khiển, trong đó phiên bản mới nhất hoạt động như một phong bì chứa phiên bản đầu tiên với những sửa đổi nhỏ, chẳng hạn như thêm chức năng ping máy chủ từ xa, có thể nhằm mục đích thống kê.

Mặc dù chức năng bị giảm đáng kể, các bot Mozi vẫn tồn tại dai dẳng, cho thấy sự triệt phá có chủ ý và có tính toán. Phân tích của chúng tôi về kill switch cho thấy mối liên hệ chặt chẽ giữa mã nguồn ban đầu của botnet và các tệp nhị phân được sử dụng gần đây, đồng thời cũng cho thấy việc sử dụng đúng khóa riêng để ký trọng tải điều khiển (xem Hình 2).

Điều này dẫn chúng ta đến giả thuyết đề xuất hai kẻ khởi xướng tiềm năng của việc gỡ bỏ này: những người tạo ra mạng botnet Mozi hoặc cơ quan thực thi pháp luật Trung Quốc buộc những người tạo ra phải hợp tác. Việc nhắm mục tiêu tuần tự của các bot ở Ấn Độ và sau đó ở Trung Quốc cho thấy rằng việc triệt phá được thực hiện có chủ ý, với một quốc gia được nhắm mục tiêu đầu tiên và quốc gia kia một tuần sau đó.

Sự sụp đổ của một trong những botnet IoT phổ biến nhất là một trường hợp hấp dẫn về điều tra mạng, cung cấp cho chúng ta thông tin kỹ thuật hấp dẫn về cách các botnet như vậy trong tự nhiên được tạo ra, vận hành và tháo dỡ. Chúng tôi đang tiếp tục điều tra vụ việc này và sẽ công bố phân tích chi tiết trong những tháng tới. Nhưng hiện tại, câu hỏi vẫn là: Ai đã giết Mozi?

Đối với bất kỳ câu hỏi nào về nghiên cứu của chúng tôi được công bố trên WeLiveSecurity, vui lòng liên hệ với chúng tôi theo địa chỉ đe dọaintel@eset.com.
ESET Research cung cấp các báo cáo tình báo APT riêng và nguồn cấp dữ liệu. Mọi thắc mắc về dịch vụ này, hãy truy cập Thông báo về mối đe dọa của ESET .

IoC

Các tập tin

mạng

Kỹ thuật MITER ATT & CK

Bảng này được tạo bằng cách sử dụng phiên bản 13 của khung MITER ATT & CK.