0
0
O botnet Mozi, um malware peer-2-peer (P2P) conhecido anteriormente por assumir roteadores Netgear, D-Link e Huawei, inchou de tamanho para responder por 90% do tráfego observado que flui para e de todos os dispositivos de Internet das Coisas (IoT), de acordo com os pesquisadores.
A IBM X-Force notou o pico de Mozi dentro de sua telemetria, em meio a um enorme aumento na atividade global de botnet de IoT. As instâncias combinadas de ataque de IoT de outubro a junho são 400% maiores do que as instâncias combinadas de ataque de IoT dos dois anos anteriores.
“Os atacantes já estão aproveitando esses dispositivos há algum tempo, principalmente através da botnet Mirai”, segundo a IBM. “O Mozi continua a ser bem sucedido em grande parte através do uso de ataques de injeção de comando (CMDi), que muitas vezes resultam da configuração errada de dispositivos IoT. O crescimento contínuo do uso de IoT e os protocolos de configuração ruins são os prováveis culpados por trás desse salto. Esse aumento pode ter sido ainda mais alimentado pelo acesso remoto das redes corporativas devido ao COVID-19.”
Mozi entrou em cena pela primeira vez no final de 2019 visando roteadores e DVRs, e foi analisado algumas vezes por várias equipes de pesquisa. É essencialmente uma variante Mirai, mas também contém trechos de Gafgyt e IoT Reaper – é usado para ataques DDoS, exfiltração de dados, campanhas de spam e comando ou execução de carga útil.
A IBM observou Mozi usando o CMDi para acesso inicial a um dispositivo vulnerável através de um comando shell “wget” e, em seguida, alterando permissões para permitir que o ator de ameaças interagisse com o sistema afetado. Wget é um utilitário de linha de comando para baixar arquivos da web.
“Os ataques do CMDi são extremamente populares contra dispositivos IoT por várias razões. Primeiro, os sistemas incorporados de IoT geralmente contêm uma interface web e uma interface de depuração que sobra do desenvolvimento de firmware que pode ser explorada”, de acordo com a análise da empresa,publicada quarta-feira. “Em segundo lugar, os módulos PHP incorporados nas interfaces web de IoT podem ser explorados para dar aos atores mal-intencionados capacidade de execução remota. E terceiro, as interfaces IoT geralmente são deixadas vulneráveis quando implantadas porque os administradores não endurecem as interfaces higienizando a entrada remota esperada. Isso permite que os atores de ameaças insindo comandos de shell, como ‘wget’.”
Rotina de ataque DHT de Mozi
No caso de Mozi, o comando wget baixa e executa um arquivo chamado “mozi.a” em sistemas vulneráveis, de acordo com a IBM. Os pesquisadores disseram que o arquivo é executado em um microprocessador. Uma vez que o invasor tenha acesso total ao dispositivo através da botnet, o nível de firmware pode ser alterado e malware adicional pode ser baixado, dependendo do objetivo de qualquer ataque específico.
A Mozi atualiza constantemente as vulnerabilidades que tenta explorar via CMDi, apostando na implementação lenta de patches, observou a IBM. Esta é uma atividade que pode ser facilmente automatizada, que acelera o crescimento de Mozi. Na análise mais recente da IBM, a amostra estava usando explorações para roteadores Huawei, Eir, Netgear, GPON Rand D-Link; dispositivos que utilizam o Realtek SDK; SPBOARDs sepal; DVRs MVPower; e vários fornecedores de CFTV.
Além disso, ele também pode fazer credenciais de Telnet com força bruta usando uma lista codificada.
Uma vez que quebra um dispositivo, a botnet Mozi tenta ligar a porta UDP local 14737, e encontra e mata processos que usam portas 1536 e 5888. Seu código contém nós públicos dht (tabela de hash distribuídos) codificados com código rígido, que são usados para se juntar à rede P2P da botnet. DHT é um sistema distribuído que fornece um serviço de busca que permite que os nódulos P2P encontrem e se comuniquem entre si.
Clique para ampliar. Fonte: IBM.
“A botnet Mozi usa um protocolo DHT personalizado para desenvolver sua rede P2P”, segundo a IBM.
Para que um novo nó Mozi se junte à rede DHT, o malware gera um ID para o dispositivo recém-infectado. O “ID é de 20 bytes e consiste no prefixo 888888 incorporado na amostra ou no prefixo especificado pelo arquivo config [hp], além de uma sequência gerada aleatoriamente.”
Este nó enviará então uma solicitação HTTP inicial para http[:]///ia[.] 51[.] la para registrar-se, e também envia uma consulta DHT “find_node” para oito nós públicos DHT codificados, que é usado para encontrar as informações de contato para um nó Mozi conhecido e, em seguida, conectado a ele, juntando-se assim à botnet.
A infraestrutura botnet Mozi aparece principalmente na China, representando 84% da infraestrutura observada, disse a IBM.
Ascensão das Máquinas P2P
Botnets P2P são cada vez mais comuns. Só este ano, o botnet FritzFrog entrou em cena, violando ativamente os servidores SSH desde janeiro. FritzFrog propaga como um verme, credenciais de força bruta em entidades como escritórios governamentais, instituições de ensino, centros médicos, bancos e empresas de telecomunicações.
Desde o início do ano, uma botnet de mineração de moedas P2P conhecida como DDG tem visto uma onda de atividade,lançando 16 atualizações diferentes até abril. Mais notavelmente, seus operadores adotaram um mecanismo P2P proprietário que transformou o DDG em uma ameaça altamente sofisticada e “aparentemente imbatível”, de acordo com os pesquisadores.
E no final do ano passado, uma botnet P2P chamada Roboto foi encontrada visando uma vulnerabilidade remota de execução de código em servidores Linux Webmin.
A arquitetura P2P é popular entre os cibercriminosos; oferece maior resiliência do que outros tipos de botnets porque o controle é descentralizado e espalhado entre todos os nós. Como tal, não há um único ponto de falha e nenhum servidor de comando e controle (C2).
Quanto a Mozi, a IBM alertou que a paisagem de IoT continuará a ser um rico campo de caça para incômodos.
“À medida que grupos de botnet mais novos, como Mozi, operações de ramp up e aumentos gerais de atividade de IoT, as organizações que usam dispositivos IoT precisam estar cientes da ameaça em evolução”, concluiu a empresa. “A IBM está cada vez mais vendo dispositivos de IoT corporativos sob fogo de atacantes. A injeção de comando continua sendo o vetor de infecção principal de escolha para atores de ameaças, reiterando a importância de alterar as configurações padrão do dispositivo e usar testes eficazes de penetração para encontrar e corrigir lacunas na armadura.”
O Threatpost entrou em contato para obter mais informações sobre a participação de Mozi no tráfego de IoT.
FONTE: THREATPOST