Mozi僵尸网络大规模暴涨,360安全大脑顺藤摸瓜,层层破解“证据链” – 作者:360安全

自2019年9月3日,360安全大脑全球率先捕获到Mozi僵尸网络的相关样本,并于2019年12月23日首发披露Mozi僵尸网络分析报告,至今两年来,Mozi的受关注度一直高居不下。

作为一种超新型的P2P物联网僵尸网络,Mozi僵尸网络以 DHT 协议寄生在 P2P 网络中进行通信,并通过10多种n-day漏洞利用和telnet弱口令方式进行传播。截至目前,Mozi僵尸网络已在全球范围形成“蠕虫级”传播,累计感染节点超过150万个,其中有83万个节点来自中国。

360安全大脑旗下360 Netlab网络安全研究院从首家发现Mozi僵尸网络开始,就一直对Mozi僵尸网络保持追踪研究,并持续跟进Mozi僵尸网络样本技术分析,Mozi僵尸网络规模暴涨分析,被感染设备分析,犯罪嫌疑人线索溯源等。经过360 Netlab网络安全研究院的深度追踪,层层溯源,Mozi的幕后黑手逐渐浮出水面。

360 Anglerfish蜜罐监测发现危情:

Mozi僵尸网络大规模暴涨

得益于360 Anglerfish蜜罐的监测技术,360 Netlab网络安全研究院可以捕捉到Mozi僵尸网络的感染数据,至少有60%的肉鸡IP位于中国境内,主要分布在河南、山东、广东、北京等省份。并且通过360 Anglerfish蜜罐分析技术,360 Netlab网络安全研究院还发现Mozi僵尸网络传播趋势,掌握Mozi僵尸网络受害者IP、Mozi僵尸网络样本、漏洞利用攻击网络数据包等信息。

图片[1]-Mozi僵尸网络大规模暴涨,360安全大脑顺藤摸瓜,层层破解“证据链” – 作者:360安全-安全小百科

图:Mozi僵尸网络全球分布

360 Netlab网络安全研究院还获取到Mozi僵尸网络精准的统计数据,最高活跃IP在16万/日。可以看到在2020年9月份开始,Mozi僵尸网络大规模暴涨,360 Netlab分析出这是因为几组telnet弱口令导致印度和中国的大量设备被入侵并植入Mozi僵尸网络。

图片[2]-Mozi僵尸网络大规模暴涨,360安全大脑顺藤摸瓜,层层破解“证据链” – 作者:360安全-安全小百科

图: Mozi僵尸网络日活统计数据

360 安全大脑深度溯源幕后黑手

独家还原Mozi完整证据链

(一)通过对Mozi 僵尸网络的样本分析,360 Netlab网络安全研究院回扫时发现到3个Windows平台的PE文件,并以这3个PE文件为基础得到相应的数字指纹等信息:

18e9d0339667b593a985f3c97a5847cd

300c3d999aa2fac39a300c185f2a32a4

a0bcd8c50714ea10ed6ff8211cf8b399

(二)接着,360 Netlab网络安全研究院发现Mozi 僵尸网络的管理者使用了51.la 提供的统计代码服务,来上传数据以及统计Mozi感染数量:

https://web.51.la/report/online?comId=20198527

https://web.51.la/report/online?comId=17675125

https://web.51.la/report/online?comId=19894027

(三)随后,360 Netlab网络安全研究院以上述统计接口为线索,进一步追踪溯源嫌疑人信息。

(四)通过360安全大数据的历史数据检索,发现Mozi僵尸网络相关研发人员使用过的MAC地址、IP地址等信息。通过360 PassiveDNS系统,360 Netlab网络安全研究院追踪到Mozi僵尸网络团伙的主业务-色情网站。

图片[3]-Mozi僵尸网络大规模暴涨,360安全大脑顺藤摸瓜,层层破解“证据链” – 作者:360安全-安全小百科

最终,经过层层分析研判,我们认为Mozi僵尸网络幕后团伙的主业是色情网站,副业是僵尸网络。

360 Anglerfish蜜罐监测高级威胁

为数字时代保驾护航

当前,数字变革和数字经济正在全世界全面推开,物联网成为数字化转型的重要“抓手”,数据统计,2025年全球物联网设备(包括蜂窝及非蜂窝)联网数量将达到约246亿个。庞大的数量、快速的增长趋势必然牵动了巨大的利益链条,也吸引了大量不法分子试图从中谋取暴利。以Mozi为典型的物联网僵尸网络攻击,为数字时代带来重大威胁。

有别于传统的僵尸网络通信方法,Mozi等新型物联网僵尸网络采用了P2P进行通信与控制,节点进行身份校验,通信流程和通信内容加密,这些措施提高了僵尸网络的隐匿度和顽固程度,极大增加了僵尸网络追踪和清理的难度,亟需一种新型的针对P2P型僵尸网络的监测方法。

360 Anglerfish是在全球部署、业内领先的高级蜜罐系统,在过去几年物联网僵尸网络的发现能力上,全球独树一帜。360 Anglerfish蜜罐在 TCP/UDP 全端口监听网络扫描行为,并模拟了大量应用协议和漏洞特征,诱导攻击者进入精心设计的陷阱。 当Anglerfish蜜罐模拟成一个特定设备时,攻击者会无差别地扫描并攻击模拟的设备,这让我们具备搜集针对互联网、物联网、工业互联网等行业的0-day/1-day/n-day漏洞攻击数据能力。

来源:freebuf.com 2021-06-08 10:47:03 by: 360安全

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论