Mozi殭屍網絡可攻擊華爲、中興IoT設備

Mozi是一個使用類BitTorrent網絡感染物聯網設備的P2P殭屍網絡。Mozi利用弱Telnet口令和近10個未修復的iot設備漏洞來執行DDoS攻擊、數據竊取、命令和payload執行。

微軟IoT安全研究人員最近發現Mozi 殭屍網絡不斷進化，已經在Netgear、華爲、中興等廠商的網關上實現了駐留。

感染路由器後，殭屍網絡可以通過HTTP 劫持和DNS 期盼來發起中間人攻擊以黑掉終端，並部署勒索軟件。圖1是Mozi殭屍網絡中利用的漏洞和使用的駐留技術。

圖 1: Mozi殭屍網絡攻擊流

除了已知的P2P和DOS功能外，研究人員還發現Mozi 殭屍網絡的多個新功能。通過攻擊Netgear、華爲、中興網關，惡意軟件採取措施來增加設備重啓後駐留的可能性，或被其他惡意軟件干擾的可能性。

實現提權駐留

惡意軟件有一個特殊的行爲就是檢查/overlay 文件夾的檢查，以及惡意軟件是否有/etc文件夾的寫權限。本例，惡意軟件會利用CVE-2015-1328漏洞。

成功利用該漏洞使得惡意軟件具有以下文件夾的訪問權限：

/etc/rc.d

/etc/init.d

然後會執行以下動作：

·在這些文件夾中放置名爲S95Baby.sh的腳本文件。

·腳本運行/usr/networks文件或/user/networktmp文件。這些都是可執行文件的副本。

·如果沒有權限就將腳本加入到/etc/rcS.d和/etc/rc.local中。

ZTE設備

對於中興設備，惡意軟件會檢查/usr/local/ct文件夾是否存在，這表明設備是中興路由器設備。然後會執行以下動作：

複製其他實例(/usr/networks) 到/usr/local/ct/ctadmin0 中，這將爲惡意軟件提供駐留功能；

刪除文件/home/httpd/web_shell_cmd.gch。該文件可以用於通過CVE-2014-2321漏洞利用獲取訪問權限，刪除的目的是以防下一步攻擊活動。

執行以下命令：

sendcmd 1 DB set MgtServer 0 Tr069Enable 1

sendcmd 1 DB set PdtMiddleWare 0 Tr069Enable 0

sendcmd 1 DB set MgtServer 0 URL http://127.0.0.1

sendcmd 1 DB set MgtServer 0 UserName notitms

sendcmd 1 DB set MgtServer 0 ConnectionRequestUsername notitms

sendcmd 1 DB set MgtServer 0 PeriodicInformEnable 0

sendcmd 1 DB save

華爲設備

執行以下命令會修改密碼和禁用華爲路由器設備的管理服務器，還可以預防路由器通過管理服務器訪問設備：

cfgtool set /mnt/jffs2/hw_ctree.xml

InternetGatewayDevice.ManagementServer URL http://127.0.0.1

cfgtool set /mnt/jffs2/hw_ctree.xml

InternetGatewayDevice.ManagementServer ConnectionRequestPassword acsMozi

爲提供額外一層的駐留，惡意軟件還會創建以下文件：

/mnt/jffs2/Equip.sh

/mnt/jffs2/wifi.sh

/mnt/jffs2/WifiPerformance.sh

預防遠程訪問

惡意軟件會攔截以下TCP端口：

·23—Telnet

·2323—Telnet alternate port

·7547—Tr-069 port

·35000—Tr-069 port on Netgear devices

·50023—Management port on Huawei devices

·58000—Unknown usage

這些端口可以用來獲取設備的遠程訪問。關閉端口可以增加惡意軟件存活的可能性。

腳本注入器

腳本注入器可以掃描文件系統中除以下路徑外的.sh文件：

/tmp /dev /var /lib /haha /proc /sys

並在每個文件中都加一行。這一行可以讓腳本從/usr/networks運行惡意軟件的副本。這可以增加惡意軟件在不同設備上的存活率。

流量注入和DNS欺騙

惡意軟件可以從分佈式哈希表（DHT，distributed hash table）網絡中接收命令。DHT是用於去中心化通信的P2P協議。這些命令會接收和保存在一個文件中，其中部分是加密的。該模塊只在具有IPv4 轉發功能的設備上運行。惡意軟件還可以檢查/proc/sys/net/ipv4/ip_forward 是否等於1。該模塊運行在UDP 53和TCP 80端口。

DNS欺騙

Mozi會接收一個非常簡單的用於欺騙的DNS名列表。其結構如下：

每個DNS請求都會以欺騙的IP會響應。這是一種將流量重定向到攻擊者基礎設施的高效技術。

更多技術分析及來源：https://www.microsoft.com/security/blog/2021/08/19/how-to-proactively-defend-against-mozi-iot-botnet/