Mozi Botnet está explorando activamente enrutadores WiFi para lanzar ataques DDoS

Una nueva botnet en la ciudad está expandiendo activamente su red utilizando enrutadores sin parches como D-Link, Huawei y Netgear etc. Llamado Mozi, utiliza telnet para explotar sistemas con contraseñas débiles y agrega todos los dispositivos a su red con el objetivo final de llevar a cabo un ataque DDoS.

Esta botnet es presentada por primera vez por Equipo Netlab 360 monitoreo de amenazas. Marcaron esta nueva botnet después de estudiarla durante casi cuatro meses. Nombrado como Mozi, esta nueva botnet se encuentra utilizando una parte de Código Gafgyt y se basa en Protocolo DHT.

Aunque Gafgyt es solo otro malware que infecta sistemas, la tabla hash distribuida (DHT) es un protocolo personalizado basado en estándares y se usa comúnmente en clientes torrent (y otros servicios P2P. Este protocolo ayuda a ocultar su carga de malware detrás de la gran cantidad de tráfico DHT, lo que dificulta la detección de código malicioso que pasa a través de la red. , es más rápido expandir las conexiones en la red sin usar servidores.

Metodología de infección

Después de escanear el entorno, Mozi encuentra un dispositivo vulnerable, como un enrutador o circuito cerrado de televisión, con una contraseña débil y descifra mediante telnet. Después de iniciar sesión, descarta / ejecuta la carga útil para tomar el control total del dispositivo no parcheado. Esto se agregará a la red P2P de inmediato.

Botnet Mozi
Imagen de Flickr

Después de eso, los dispositivos en la red recibirán comandos del maestro de la botnet en ejecución y acciones preferidas como ataques DDoS. Además, estarán buscando otros dispositivos vulnerables cercanos para agregarlos a la red, expandiéndose así.

El resultado final de la compra de todos estos dispositivos sería:

  • Ejecución de ataques DDoS
  • Recopilar información de bot
  • Ejecución de comandos personalizados o del sistema
  • Ejecutando la carga útil desde la URL especificada
  • Actualización de la muestra de URL especificada

Los investigadores de Netlab 360 dijeron: «Una vez que Mozi establece la red p2p mediante el protocolo DHT, el archivo de configuración se sincroniza y las tareas correspondientes se inician de acuerdo con las instrucciones del archivo de configuración».

A medida que el equipo comenzó a investigar desde principios de septiembre de este año, encontraron que estos dispositivos son lo suficientemente vulnerables como para verse comprometidos y agregarse a la red P2P. Las sugerencias para evitar ser parte de la red maliciosa son actualizar los parches regulares publicados por los proveedores de servicios.

Dispositivos vulnerables

Dispositivos D-Link, enrutador Eir D1000, enrutadores DGN1000 Netgear, Netgear R7000 y R6400, dispositivos Vacron NVR, MVPower DVR, dispositivos que usan Realtek SDK, enrutadores GPON, enrutador Huawei HG532 y CCTV DVR.

Fuente: Netlab 360