Mozi_FTP,Mozi_sftp的发现使我们拥有清晰的证据,证实Mozi拒绝服务攻击也在尝试利用区块挖矿盈利。针对BOT、FTP、sftp这3个网络节点,我们可以看得出创作者早已把“DHT+Config”这种实体模型做为基础功能模块来应用,利用对该功能模块开展任用,再为不一样作用网络节点制定不一样的独特标识命令,进而快速开发作用网络节点所需要的系统,十分便捷,这类便捷是Mozi拒绝服务攻击能够快速拓展的因素其一。
Mozibotv2s的转变是啥?Mozi_BOT的网络节点在Mozi拒绝服务攻击中占数最多。二零二零年1月7日,咱们获得了1个版本信息为v2s的BOT样版(1bd4f62fdad18b0c140dce9ad750f6de),这种版本号目前很活泼。这种版本号早已导致了广大群众的普遍关心,尽管许多安全性厂商对于此事开展了深入分析,但咱们依然发现也有漏掉的一部分,咱们将从添补的视角,与各位共享咱们的发现。
依据统计分析,moziv2sbot样版主要是arm、MIPS2个CPU构架,下边挑选ARM架构做为深入分析目标,样版数据以下。
v2s的BOT样版和咱们最开始深入分析的v2样版有较大的不一样,在其中最直接的是Config适用的标识,v2s提升了2个标识[cnc],[jg],此外,提升了外网IP获得,upnp端口转发等作用,下边将深入分析这种作用给Mozi_BOT产生的转变,在其中包含:加上外网IP获得、upnp端口转发等作用,下边将深入分析这种作用给Mozi_BOT产生的转变,在其中[jg]标识的作用,微软公司于今年年8月19日发布。
0x1:标识[cnc]。Mozi拒绝服务攻击的“DHT+Config”那样的制定尽管很便捷,可是也有个缺陷:全部的Bot网络节点在数据同步配备时都存有低效问题,间接导致DDoS的低效。Mozi创作者制定了1个[cnc]标识来应对新的DDoS攻击子任务。整项子任务都重复使用了Mirai的源代码,C2利用[cnc]搜索关键词特定C2,Bot利用Mirai协议和C2创建通讯以后,等候C2发出的指令开展DDos攻击。加上这一子任务以后,当Mozi要发动攻击时,就不会须要利用数据同步Config一回数据同步来获得攻击目标,只需数据同步一回Config,就可以获得特定的C2,进一步提高了Bot网络节点的攻击效率.