二零二零年11月初次公布了Mozi拒绝服务攻击,到现在已经有接近2年时长,在这段时间中,咱们记录了它从1个小众拒绝服务攻击发展壮大为顶峰时占有了非常高占比工业物联网流量超级大的全过程。如今Mozi的创作者早已被行政机关处理,在其中咱们也全过程给予了技术帮助,因而咱们觉得事后在十分长的一定时间内它都不可能再次升级。但我们知道,Mozi选用了P2P网络构造,而P2P网络的一个“优势”是可扩展性好,即便 一部分网络节点无法正常运转,全部数据网络依然能运行。因此 即便 Mozi创作者不会再公布新的升级,它依然会生存一定时间,残留的网络节点依然会去感柒其他存有漏洞的机器设备,因此 咱们如今依然能见到Mozi在传递,正可以说“穷途之哭,坐不垂堂”。
很多安全厂家都对Mozi开展了追踪研究,但从咱们的视角而言,多多少少有一些忽略,乃至有不正确。今日咱们将对Mozi的观点汇总在下面这篇文章里,以填补安全社区的研究;与此同时也为咱们对Mozi拒绝服务攻击的不断关心画上一个句点。
这篇文章将回应下列情况:
1:Mozi除Public网络节点外也有其他用途网络节点吗?
2:MoziBot控制模块有新用途吗?
3:Mozi拒绝服务攻击仍在升级吗?
Mozi拒绝服务攻击中除开Public还有哪些用途网络节点?
大家都知道,Mozi拒绝服务攻击中的每个网络节点被BotnetMaster下达的名叫Config的环境变量驱动程序,实行具体内容。下面的图便是1个传统的Config文件,在其中[ss]字段名表明了网络节点的用途,这里即是Public网络节点,关键用途是DDoS攻击。令咱们疑问的是,在追踪全过程中,除开Public网络节点的Config,还收到了下边这类方法的Config文件,这表明Mozi拒绝服务攻击中还存有着名叫yt,FTP,NMS,sftp的网络节点。那她们究竟是什么呢?这始终困惑着咱们,幸运的是,时长给了咱们回答。二零二零年1月30日,1个名叫"phot.CY"的WindowsPE文件(a9d4007c9419a6e8d55805b8f8f52de0)发生的数据流量击中了咱们的Mozi特点。刚开始咱们认为这是一个乱报,但根据研究以后,咱们明确这恰好是咱们朝思暮想的Moziftp网络节点样例。为了更好地区别Mozi拒绝服务攻击中有所不同用途网络节点的样例,咱们里面逐渐应用Mozi_"ssvalue"这类取名方法,因而这一样例被取名为Mozi_FTP。
简洁而言,Mozi_FTP是一个pyinstaller包装的挖矿木马,根据FTP弱口令爆破完成蠕虫式传递,与此同时它也会添加Mozi的P2P网络中,等候实行BotnetMaster下达的Config。