Mozi僵尸网络(P2P僵尸网络Mozi)

最新推荐文章于 2024-04-19 17:19:33 发布
最新推荐文章于 2024-04-19 17:19:33 发布
阅读量1.9k 收藏 1
点赞数 4
分类专栏: 应急响应 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49025459/article/details/128615954
版权

Mozi僵尸网络概述

Mozi僵尸网络是于2019年底首次出现在针对路由器和DVR 的攻击场景上的一种P2P僵尸网络。主要攻击物联网(IoT)设备,包括网件、D-Link和华为等路由设备。它本质上是Mirai的变种,但也包含Gafgyt和IoT Reaper的部分代码,用于进行DDoS攻击、数据窃取、垃圾邮件发送以及恶意命令执行和传播。

Mozi僵尸网络特征

僵尸网络”Mozi“
Mozi的代码与Mirai及其变体重叠,并复用Gafgy代码
Mozi是p2p网络,各台计算机处于对等的地位,有相同的功能,无主从之分,并使用Telnet弱口令和漏洞利用传播
Mozi使用签名验证识别同伙;主动上报新感染节点信息给Mozi botnet master
Mozi使用自己扩展的DHT协议构建p2p网络;使用基于命令注入(CMDi)攻击,利用了loT设备的配置错误;Mozi没有将竞争对手从被侵入的系统中删除,而是抑制对手

 Mozi.m样本分析 

样本信息:

SHA256:bba18438991935a5fb91c8f315d08792c2326b2ce19f2be117f7dab984c47bdf

Magic

7f 45 4c 46 01 02 01 00 00 00 00 00 00 00 00 00
类别ELF32
数据2 补码,大端序 (big endian)
Version1 (current)
OS/ABIUNIX - System V
ABI 版本0
类型EXEC (可执行文件)
系统架构MIPS R3000
版本0x1
入口点地址0x41fb58
程序头起点52 (bytes into file)

阻断22、2323端口通信

在成功感染目标设备之后,Mozi为进行自我保护,会通过防火墙阻断SSH、Telnet端口,以防止被其他僵尸网络入侵:

放行自身使用端口 

根据感染的设备,修改防火墙策略放行不同的端口来保证自身的通信:

Kill相关进程 

 同时读取/proc/net/tcp和/proc/net/raw来查找并KILL掉使用1536和5888端口的进程:

检测Watchdog 

检查被感染的设备上是否存在Watchdog来避免重启:

更改进程名 

检查被感染的设备上是否存在/usr/bin/python,如果存在,则将进程名称更改为sshd,不存在则更改为dropbear,以此来迷惑被攻击者。

 内置的节点 

分析过程中发现Mozi僵尸网络复用了部分Gafgyt家族僵尸网络的代码,其中内嵌了8个硬编码的公共节点信息,用于加入P2P网络,如下:

配置文件 

在样本中还硬编码了一个使用XOR加密的配置文件及密钥:

通信标识 

使用硬编码的秘钥解密后得到如下配置数据: [ss]bot[/ss][hp]88888888[/hp][count]http://ia.51.la/go1?id = 19894027&pu =http%3a%2f%2fbaidu.com/[idp][/count]。

新的Mozi节点向 http://ia.51.la/发送HTTP请求,来注册自身。

在通信流量中通过 1:v4:JBls来标记是否为Mozi节点发起的通信。

 

攻击的设备类型 

所攻击的设备类型包括:GPON光纤设备、NetGear路由设备、华为HG532交换机系列、D-Link路由设备、使用Realtek SDK的设备、Vacron监控摄像机、斐讯路由器、 USR-G806 4G工业无线路由器等:

部分弱口令密码 

 

仲瑿
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
202106 Mozi僵尸网络分析与学习
qq_22807425的博客
06-19 2093
0x00 简介 ​ Mozi僵尸网络是于2019年底首次出现在针对路由器和DVR 的攻击场景上的一种依靠 DHT 协议构建 P2P僵尸网络,并使用 ECDSA384 和异或算法来保证其组件和 P2P 网络的完整性和安全性。 该恶意软件的目标是物联网设备,主要是未打补丁或 Telnet 密码较弱的路由器和 DVR。它从几个已知恶意软件家族(Gafgyt、Mirai 和 IoT Reaper)的源代码演变而来的,能够进行 DDoS 攻击、数据泄露以及命令或负载执行。 ​ 0x01 情况介绍 ​ 某日值班,soc
MOZI
03-06
MOZI
一例Mozi僵尸网络的挖矿蠕虫分析(workminer)
最新发布
好好学习,天天向上
04-19 2130
这个挖矿蠕虫有点复杂,使用go和c混合编译,go语言部分分析相对简单,C语言部分分析不明白,没想到一个简单的挖矿木马背后竟然连着一个庞大的僵尸网络
基于P2P僵尸网络及其防御
01-20
基于P2P僵尸网络及其防御,基于P2P僵尸网络及其防御
P2P 僵尸网络入门
AAAA
03-01 1636
【导读】:据Fortinet研究,业界排名前五的僵尸程序分别是:ZeroAccess、Jeefo、Smoke、Mariposa和Grum(Tedroo)。其中,Grum网络在2011年7月被打掉了,Mariposa的主C&C服务器在几年前也被拿下。2012年12月下旬,微软联合欧美执法部门断掉了ZeroAccess。 当人们正大肆宣传ZeroAccess被攻克的消息,MalwareTe...
Peer-to-Peer Botnets P2P僵尸网络---Ping Wang, Baber Aslam, and Clif C. Zou
whhit_436的专栏
09-05 2748
一:传统集中式botnet(如IRC)构建容易、能高效的分发控制者命令,但存在单点失效的问题,一旦服务器被关闭,会因失去与控制者的联系而灭亡,防御者也可以通过构建一个欺骗者加入特定的频道而监视整个botnet。P2P僵尸网络没有了这种单点服务器问题P2P botnets are
P2P僵尸网络-家族类别
m0_49025459的博客
01-12 556
Panchan 的挖矿设备是一个功能丰富的 Golang 僵尸网络和 cryptojacker。它的点对点协议很简单——TCP 上的明文,但它足以分散僵尸网络。又能坚忍不拔,能监视躲避。正在上传…重新上传取消植入恶意软件的是一个“godmode”——一个能够编辑挖矿配置的管理面板,然后将其分散到其他同行。为防止不必要的篡改,需要私钥才能访问 godmode,然后使用该私钥对挖矿配置进行签名。该恶意软件包含一个公钥,用于验证提供的私钥。管理面板是用日语写的,暗示了创建者的地理位置。
网络恶意程序“Botnet”的检测技术的分析
07-04
目前Botnet技术发展最为快速,不论是对网络安全运行还是用户数据安全的保护来说,Botnet都是极具威胁的隐患。介绍了Botnet技术的同时也对Botnet检测技术进行了研究,对几种主要的Botnet检测技术进行了深入分析。
mozi:0x协议交换原型。 中继器
05-18
建立在0x协议上。。添加界面
Mozi:此项目致力于打造一套最基础,最精简,可维护的react-native项目,支持iOS,android:rose:
02-04
Mozi 2.0测试版此项目致力于打造一套可最基础,最精简,可维护的react-native项目,适用于团队合作开发React Native项目,我们知道react-native init出来的项目只是一个最简单的demo,距离开发企业级项目还差很远,...
P2P僵尸网络检测技术
12-13
【摘要】僵尸网络是目前互联网安全最严重的威胁之一。与IRC僵尸网络比,基于P2P协议控制的僵尸网络具有更强的安全性、鲁棒性和隐蔽性。文章介绍了典型P2P僵尸网络的工作原理,对其对等点发现机制进行了分类,分析了每类机制的弱点,在此基础上给出了相应的僵尸网络检测方法
详解感染华硕路由器的P2P僵尸网络程序
10-01
很多电脑用户对于华硕路由器感染僵尸网络很迷茫,下面小编主要针对这个问题为大家讲解感染华硕路由器的P2P僵尸网络程序TheMoon,希望可以帮助到大家
基于树突细胞算法的P2P僵尸程序检测
04-26
随着僵尸网络带来越来越多的网络安全威胁,一种新的使用P2P协议的僵尸程序广泛出现。由于P2P僵尸网络不存在中心控制点而很难对其进行关闭或者追踪,从而使P2P僵尸网络的检测非常困难。为了应对这些威胁,根据免疫系统中的树突细胞的功能,提出了基于树突细胞算法用于检测个体主机中的僵尸程序的模型,并且给出了检测方法。用于检测P2P僵尸程序的原始数据通过APItrace工具获得,进程(包括正常进程和僵尸程序进程)的ID被映射为"抗原",进程所产生的行为数据被映射为"信号",它们组成了检测算法的时间序列输入数据并用于数据融合和相互关联。相关实验表明,文中所提出的方法可以实现P2P僵尸程序的检测。
基于僵尸网络流量特征的深度学习检测.pdf
08-19
基于僵尸网络流量特征的深度学习检测.pdf
pixel-battle-botnet:VK Pixel Battle 201920僵尸网络
05-04
VK Pixel Battle 2019/20僵尸网络 VK Pixel Battle 2019年度活动期间为BAGOSI编写的工具。 某些功能尚未完善,因此将不在此版本中。 作者: @kumfc和@ 3vilWind 在单台机器上部署: 在拥有1000多个机器人之前,将其部署在多台计算机上是毫无意义的 将客户端节点角色设置为管理员 在里面 docker swarm init docker service create --name registry --publish published=5000,target=5000 registry:2 iptables -I DOCKER-USER -p tcp --destination-port 5000 -j DROP 开始 docker-compose -f /root/pixel-battle-botnet-dev/docker-c
CoAP 协议分析与测试
01-06
1 CoAP 协议 ...鉴于物联网设备资源受限,所以使用 CoAP 协议是一种较好的选择。CoAP 基于 UDP 协议,为了弥补 UDP 传输的不可靠性,CoAP 定义了带有重传机制的事务处理机制。 ...CoAP 采用二进制报文头,而非文本 ...
僵尸网络 Botnet
RedArvin的博客
10-30 3826
(最近学习人工智能有个识别DGA域名的小作业,就去了解了一下僵尸网络。) 1.什么是僵尸网络 僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。[FROM 百度百科] 僵尸主控机通过 ** 命令和控制信道(C&C) **与被感染主机通信,利用被感染主机进行挖矿、发送大量垃圾邮件、实施ddos攻击、部署中转服务器等。 2.几个重要概念 (1)命令控制信道 命令控制信道(Command & Contr
僵尸网络
banyi4389的博客
03-27 508
僵尸网络是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 在Botnet的概念中有这样几个关键词。“bot程序”是robot的缩写,是指实现恶意控制功能的程序代码;“僵尸计算机”就是被植入bot的计算机;“控制服务器(Control Server)”是指控制和通信的中心服务器,在基于IRC(因特网中继聊天)...
java的一道题:.给定一个字符串,逐个翻转字符串中的每个单词。(20分 )要求:输入字符串包括前导或者尾部空格时,反转后不能包括,如果两个单词间有多个空格,在反转字串时,两个词之间的空格减少到一个。 例如:输入:" Mozi is a technology company",输出 :“company technology a is Mozi"
05-27
这道题可以使用字符串分割和反转的方法实现。具体步骤如下: 1. 去除字符串开头和结尾的空格,可以使用`trim()`方法; 2. 使用空格将字符串分割成单词数组,可以使用`split()`方法; 3. 将单词数组反转,可以使用`Collections.reverse()`方法; 4. 将反转后的单词数组拼接成一个字符串,单词之间只有一个空格,可以使用`String.join()`方法。 示例代码如下: ```java public static String reverseWords(String s) { // 去除字符串开头和结尾的空格 s = s.trim(); // 使用空格将字符串分割成单词数组 String[] words = s.split("\\s+"); // 反转单词数组 List<String> list = Arrays.asList(words); Collections.reverse(list); // 将反转后的单词数组拼接成一个字符串 return String.join(" ", list); } ``` 使用样例: ```java String s = " Mozi is a technology company "; String result = reverseWords(s); System.out.println(result); ``` 输出结果: ``` company technology a is Mozi ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

仲瑿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值