中国当局逮捕Mozi IoT僵尸网络攻击背后的黑客

The operators of the Mozi IoT botnet have been taken into custody by Chinese law enforcement authorities, nearly two years after the malware emerged on the threat landscape in September 2019.

本周一早些时候，中国互联网安全公司奇虎360的网络研究部门Netlab的研究人员披露了最初发生在6月的逮捕消息，详细说明了其参与行动的情况。

Netlab说：“Mozi采用P2P（点对点）网络结构，P2P网络的‘优势’之一是它很健壮，因此即使部分节点宕机，整个网络也会继续运行，剩下的节点仍会感染其他易受攻击的设备，这就是为什么我们仍然可以看到Mozi的传播。”，2019年末首次发现僵尸网络。

微软安全威胁情报中心（Microsoft Security Threat Intelligence Center）披露了僵尸网络的新功能，使其能够通过DNS欺骗和HTTP会话劫持等技术干扰受感染系统的网络流量，目的是将用户重定向到恶意域。不到两周前，这项开发也出现了。

Mozi由Gafgyt、Mirai和IoT Reaper等几个已知恶意软件家族的源代码演化而来，根据Lumen的Black Lotus Labs的一份报告，截至2020年4月，Mozi积累了超过15800个独特的命令和控制节点，而2019年12月的数量为323个，中国和印度的感染率最高。

僵尸网络利用弱远程访问密码和默认远程访问密码的使用以及未修补的漏洞，通过感染路由器和数字录像机来传播，将设备加入物联网僵尸网络，这可能被滥用，用于发起分布式拒绝服务（DDoS）攻击、数据外泄和有效负载执行。

据Netlab称，Mozi的作者们还进行了额外的升级，其中包括一个挖掘特洛伊木马，该木马通过弱FTP和SSH密码以类似蠕虫的方式传播，通过遵循类似插件的方法为不同功能节点设计自定义标记命令，扩展了僵尸网络的功能。“这种便利性是Mozi僵尸网络迅速扩张的原因之一，”研究人员说。

更重要的是，Mozi依靠类似BitTorrent的分布式哈希表（DHT）与僵尸网络中的其他节点通信，而不是集中的命令和控制服务器，使其能够畅通无阻地运行，从而难以远程激活杀戮开关，并使恶意软件在受损主机上失效。

研究人员警告说：“Mozi僵尸网络样本已经停止更新很长一段时间了，但这并不意味着Mozi造成的威胁已经结束。”。“由于已经在互联网上传播的网络部分有能力继续受到感染，每天都有新设备受到感染。”