中国当局逮捕 "墨子 "物联网僵尸网络攻击背后的黑客

在恶意软件于 2019 年 9 月出现在威胁领域近两年后，墨子物联网僵尸网络的运营商已被中国执法部门拘留。

中国互联网安全公司奇虎 360 的网络研究部门 Netlab 的研究人员于本周披露了发生在 6 月的逮捕消息，详细说明了其参与此次行动的情况。

“墨子采用P2P [peer-to-peer]网络结构，P2P网络的'优势'之一是它的健壮性，所以即使某些节点宕机，整个网络也会继续，并且其余节点仍会感染其他易受攻击的设备，这就是为什么我们仍然可以看到 Mozi 传播的原因，”Netlab 说，他在 2019 年底首次发现了僵尸网络。

在微软安全威胁情报中心透露僵尸网络的新功能后不到两周，该僵尸网络的新功能使其能够通过 DNS 欺骗和 HTTP 会话劫持等技术干扰受感染系统的网络流量，目标是将用户重定向到恶意域。 

根据一份报告，Mozi 从 Gafgyt、Mirai 和 IoT Reaper 等几个已知恶意软件系列的源代码演变而来，截至 2020 年 4 月积累了超过 15,800 个独特的命令和控制节点，高于 2019 年 12 月的 323 个节点。来自 Lumen 的 Black Lotus Labs 的报告，此数字已激增至 150 万，其中中国和印度的网络感染人数最多。

利用弱和默认远程访问密码的使用以及未修补的漏洞，僵尸网络通过感染路由器和数字视频录像机进行传播，将设备加入物联网僵尸网络，这可能会被滥用以启动分布式拒绝服务(DDoS) 攻击、数据泄露和有效负载执行。

现在根据 Netlab 的说法，Mozi 作者还打包了额外的升级，其中包括一个挖矿木马，它通过弱 FTP 和 SSH 密码以蠕虫般的方式传播，通过遵循类似插件的方法来设计定制的扩展僵尸网络的功能不同功能节点的标记命令。“这种便利是墨子僵尸网络迅速扩张的原因之一，”研究人员说。

更重要的是，Mozi 依赖于类似 BitTorrent 的分布式哈希表 (DHT) 与僵尸网络中的其他节点而不是集中式命令和控制服务器进行通信，使其能够畅通无阻地运行，从而难以远程激活终止开关和使恶意软件在受感染的主机上无效。

研究人员警告说：“墨子僵尸网络样本已经停止更新一段时间了，但这并不意味着墨子构成的威胁已经结束。” “由于已经在互联网上传播的网络部分有能力继续受到感染，因此每天都有新设备受到感染。”

获取更多网络安全资讯，请点击龙名网，每天更新精彩内容。

声明:本文系作者授权龙名社区发表，未经许可，不得转载。

如有侵权，请联系平台删除。