Следующая новость
Предыдущая новость

Жертвами ботнета Mozi становятся роутеры Netgear, D-Link, Huawei

27.12.2019 13:53
Жертвами ботнета Mozi становятся роутеры Netgear, D-Link, Huawei

Рекомендуем почитать:

Xakep #248. Checkm8

  • Содержание выпуска
  • Подписка на «Хакер»

Специалисты компании 360 Netlab сообщают, что P2P-ботнеты становятся все более частым явлением: эксперты обнаружили новый P2P-ботнет Mozi, который активно брутфорсит роутеры Netgear, D-Link и Huawei, проверяя их на наличие слабых паролей через Telnet.

Исследователи обнаружили ботнет около четырех месяцев тому назад и за прошедшее время пришли к выводу, что его основной целью являются DDoS-атаки. Mozi построен с использованием протокола Distributed Hash Table (DHT), который широко используют торрент-клиенты и прочие P2P-платформы. Это позволяет ботнету работать без командных серверов, а также скрывать полезную нагрузку среди обычного трафика DHT. Для обеспечения целостности и безопасности компонентов ботнета используются ECDSA384 и алгоритм XOR.

Жертвами ботнета Mozi становятся роутеры Netgear, D-Link, Huawei

Как уже было сказано выше, малварь атакует уязвимые устройства через Telnet, проверяя на прочность их пароли. Если атака удалась и доступ получен, на устройства загружается малварь Mozi, и бот автоматически присоединяется в ботнету. Затем новоиспеченный бот получает и выполняет команды от оператора, а также принимается искать другие уязвимые маршрутизаторы Netgear, D-Link и Huawei для компрометации.

«После того, как Mozi устанавливает P2P-соединения, используя протокол DHT, файл конфигурации синхронизируется, и соответствующие задачи запускаются в соответствии с инструкциями в файле», — пишут исследователи.

Так, Mozi способен:

  • осуществлять DDoS-атак (этот модуль использует код известной малвари Gafgyt, поддерживает HTTP, TCP, UDP и так далее);
  • собирать и похищать информацию о ботах (ID бота, IP-адрес, PORT, имя файла, шлюз, архитектура процессора);
  • выполнить пейлоад из указанного URL;
  • обновляться через указанный URL;
  • выполнять системные или кастомные команды.

Также ботнет атакует десяток различных потенциально уязвимых устройств, используя для этого известные уязвимости: Eir D1000, Vacron NVR, устройства, использующие Realtek SDK, Netgear R7000 и R6400, MVPower DVR, Huawei HG532, гаджеты D-Link, роутеры GPON, CCTV DVR.

Источник

Последние новости