深入分析mozi拒绝服务攻击的源头

           Mozi采用了51la网络平台来统计分析其自己经营规模,这是僵尸网络创作者采用的统计分析软件,其准确度和延迟时间远超于外界检测。二零二零年9月,咱们取得了Mozi的后台管理数据统计,在上面,咱们除开看到了Mozi_BOT网络节点的数据统计外,还见到下面的图所显示的1组未曾见过的汇报通道。2021年8月18周边,安全厂商网御星云,奇安信公布威协预警信息,1个名叫Wokerminer的挖矿木马已经根据sftp口令爆破散播,有P2P网络情形,这导致了咱们的兴趣爱好。历经深入分析,咱们惊讶的看到这恰好是Mozi拒绝服务攻击中的sftp网络节点,51la那组独特汇报通道恰好是来自于它,按照旧例,咱们将它称作Mozi_sftp。

outputo-20210906-093610-219-ldle.png

咱们选择深入分析的样本基本资料以下所显示:简易而言,Mozi_sftp是一个根据sftp弱口令爆破完成蠕虫式散播的挖矿木马,大概于二零二零年10月逐渐活动(根据样本在ES的时长,不一定精确),钱包地址以下所显示,能够看得出Mozi_sftp和Mozi_ftp采用似的的钱包。Mozi_sftp是由GO源代码和C源代码混和编译程序而成。在其中GO源代码承担sftp有关的爆破散播,及其对Config的解决,C源代码则承担解决添加MoziP2P网络,获取Config和Mozi_ftp似的,用以破译的Config的XOR密匙,及其用以Config签名检测的2个public_key和Mozi_BOT中常用的是似的的,这表明Mozi_sftp与Mozi_BOT源自相同团伙。针对根据检测后的Config,Mozi_sftp用根据变量set_deal_cons来解决,例如接下来的源代码片段便是在解决swan标识。相比于Mozi_BOT,Mozi_sftp除开适用基础标识,还完成了很多已有的独特标识.

分享: