Cover Image

La nuova famiglia di malware Mozi accumula silenziosamente i bot IoT

25 Giugno 2020 - Tempo di lettura: 24 minuti

L'esplosione dei dispositivi Internet of Things è stata a lungo un terreno fertile per la distribuzione di malware.

L'esplosione dei dispositivi Internet of Things (IoT) è stata a lungo un terreno fertile per la distribuzione di malware. L'incapacità degli utenti di patchare molti dispositivi IoT ha solo aggravato questo problema, poiché i cattivi attori continuano ad evolvere tattiche per sfruttare le botnet per gli attacchi DDoS e altri comportamenti dannosi. Black Lotus Labs tiene traccia delle famiglie di malware che presentano minacce nuove o distinte alla comunità globale e recentemente ha iniziato a monitorare una nuova famiglia di malware chiamata Mozi.

Mozi si è evoluto dal codice sorgente di diverse famiglie di malware conosciute - Gafgyt, Mirai e IoT Reaper - che sono state riunite per formare una botnet peer-to-peer (P2P) in grado di attacchi DDoS, esfiltrazione dei dati e comando o esecuzione del payload. Il malware prende di mira i dispositivi IoT, principalmente router e DVR che non hanno patch o hanno password telnet deboli. Dopo che un notevole aumento del traffico a dicembre è stato erroneamente attribuito ad altre famiglie di malware dai ricercatori, Black Lotus Labs ha esaminato le voci del nostro sistema di reputazione per quel periodo di tempo, rivelando una storia diversa. Questo traffico non è stato semplicemente aumentato l'attività da una famiglia nota, ma una nuova famiglia del tutto.

Risultati dei laboratori di Black Lotus

Nel dicembre 2019, Black Lotus Labs ha osservato un aumento delle voci di host compromessi nel nostro sistema di reputazione etichettati come IoT Reaper. Poiché questa famiglia di malware non è cambiata da un po 'di tempo, l'aumento è stato inaspettato e ha portato a ulteriori indagini sull'aumento. Dopo aver esaminato queste voci, abbiamo iniziato a vedere svilupparsi un modello, ogni host aveva un server http in ascolto su una porta casuale che serviva un file che includeva "Mozi" nel nome. Nomi di file come "Mozi.m" e "Mozi.a" sono stati visualizzati in tutti gli host identificati.

La ricerca ha rivelato che questi host facevano parte di una botnet P2P in crescita e stavano rendendo disponibili i file Mozi per la distribuzione agli host appena infetti. Mentre l'aumento dei dati è iniziato a dicembre, i nostri dati mostrano che l'uso del nome file Mozi è iniziato prima, a settembre. Ulteriori analisi hanno rivelato che il malware era stato identificato in molte delle famiglie che contribuivano, tra cui Mirai, Gafgyt e IoT Reaper. Il picco originale era composto da 69 host, ma un aspetto più ampio ha rivelato 4.216 host. Poco dopo aver iniziato la nostra ricerca sulla base di campioni rilevati come più famiglie, Netlab360 ha condiviso le sue scoperte su questo malware confermando la nostra comprensione.

La botnet Mozi è composta da nodi che utilizzano una tabella hash distribuita (DHT) per la comunicazione, simile al codice utilizzato da IoT Reaper e Hajime. Questi nodi ospitano anche i file binari malware Mozi.m e Mozi.a, passati durante il compromesso di nuovi host, su una porta scelta casualmente. Il protocollo DHT standard viene comunemente utilizzato per archiviare le informazioni di contatto del nodo per i client torrent e altri P2P. L'uso di DHT consente al malware di bypassare l'uso dei normali comandi malware e controllare i server nascondendosi dietro la grande quantità di traffico DHT tipico. Ciò rende più difficile tenere traccia e influire sull'infrastruttura di controllo. Come botnet P2P, Mozi implementa il proprio DHT esteso personalizzato descritto in seguito.

Per enumerare la botnet, Black Lotus Labs ha implementato un modello di apprendimento automatico addestrato sull'implementazione unica osservata del traffico DHT utilizzata da Mozi. Questo ci consente di distinguere tra nodi Mozi e host benigni e identificare gli IP sospettati di partecipare alla botnet. Quando identifichiamo un nuovo nodo Mozi sospetto, il nostro software tenta di confermare il sospetto inviando messaggi proprietari al protocollo p2p del malware e cerca risposte formattate correttamente. Quando viene visualizzata la risposta corretta, l'host viene convalidato come membro della botnet Mozi.

La botnet Mozi sta crescendo mentre il malware si evolve

Per avere una visione delle dimensioni potenziali di questa nuova botnet, continuiamo a rivedere i dati all'interno del nostro sistema di reputazione e gli IP degli host confermati come nodi botnet Mozi.

Guardando nodi Mozi unici che ospitavano il malware durante lo spike iniziale assistito, c'erano 323 nodi unici, dal 27 dicembre i nodi unici erano cresciuti a 1.205, raggiungendo il punto più alto il 4 febbraio con 2.191 nodi. La nostra recensione ha mostrato un aumento costante del numero di host compromessi nell'arco di tre mesi, quindi un declino a partire da fine febbraio. Complessivamente, negli ultimi quattro mesi abbiamo osservato oltre 15.858 nodi Mozi unici.

Durante la vita della botnet Mozi, la maggior parte dei nodi è stata localizzata in Asia, con la Cina che ospita il 71% degli host infetti. Al di fuori dell'Asia, l'impronta maggiore è stata negli Stati Uniti, con il 10% di tutti i nodi. Una revisione dei dati solo per il mese di marzo mostra che la Cina sta aumentando all'81% dei nodi botnet e che gli Stati Uniti sono scesi a meno dell'1%.

Le nostre prime osservazioni sul malware a dicembre hanno rilevato solo tre campioni distinti. Con il passare del tempo, ora abbiamo visto 34 campioni unici, suggerendo che gli operatori stanno continuando a manipolare il malware.

Uno sguardo più approfondito al malware Mozi

I campioni Mozi analizzati sono binari ELF con versioni destinate alle architetture di processori MIPS e ARM. Una volta eseguito, il binario genera molte versioni di se stesso rinominate 'ssh' o 'dropbear'. I processi biforcati sono responsabili dell'impostazione delle comunicazioni DHT e della chiusura delle porte per prevenire l'infezione da altri malware. I processi biforcati possono anche impostare HTTP su una porta scelta casualmente per ospitare il binario Mozi.

Mozi utilizza un protocollo DHT modificato per la comunicazione. Inizialmente il bot DHT esegue il ping di diversi nodi codificati nel file binario per avviare la connessione iniziale alla rete DHT. Per i nodi che rispondono, il bot invia quindi un comando DHT 'find_node' per individuare altri bot sulla botnet Mozi. Spesso sono necessari diversi tentativi find_node per individuare un peer Mozi attivo.

Esempio di richiesta find_node:

d1: AD2: ID20: 88888888h \ XE3 \ x90 \ XE6 \ xcbT \ x1f \ x89 \ x0a [\ XDA \ x896: target20: 88888888: ad2: id2bo \ xa5 \ x88e1: Q9: find_node1: t4: fn \ x00 \ x00 \ 1: v4oB \ xe5q1: Y1: QE

Se questa richiesta viene inviata a un peer Mozi attivo, il peer restituirà spesso la configurazione del peer contattato come valore nella chiave "nodi", in alternativa restituirà altri nodi nella chiave "nodi". La configurazione è crittografata XOR con una chiave codificata.

Alla fine i peer Mozi restituiranno la loro configurazione codificata XOR. Una volta decifrata, la configurazione contiene (come descritto da Netlab360) un ruolo bot e un prefisso DHT. I ruoli dei bot che abbiamo visto nei nostri dati sono 'bot', 'sk', 'ftp' e 'sns'. Il prefisso DHT sembra essere sempre "88888888", tranne nel caso del ruolo bot "sns" in cui è solo "888".

Campioni di configurazione decodificati:

[SS] SNS [/ ss] [cpu] .m [/ cpu] [CV] 888 [/ hp]

[Ss] ftp [/ ss] [cpu] .w [/ cpu] [CV] 88888888 [/ hp]

[ss] sk [/ ss] [hp] 88888888 [/ hp] [count] http: //ia.51 [.] la / go1? id = 20198527 & pu = http per cento3a per cento2f per cento2fbaidu [.] com / [ IDP] [/ count]

[ss] bot [/ ss] [hp] 88888888 [/ hp] [count] http: //ia.51 [.] la / go1? id = 19894027 & pu = http per cento3a per cento2f per cento2fbaidu [.] com / [ IDP] [/ count]

Raccomandazioni di mitigazione

Mozi è un esempio appropriato di una nuova botnet che si diffonde praticamente inosservata o erroneamente attribuita. Ciò che inizialmente era visto come un piccolo picco di una singola famiglia era in realtà una singola botnet in crescita, molto più grande. Come evidenziato dal rapido aumento delle dimensioni di questa botnet, ci sono ancora un gran numero di dispositivi IoT vulnerabili su Internet. Black Lotus Labs continua a monitorare la botnet Mozi e continuerà a lavorare per enumerare i nodi P2P. Black Lotus Labs ha contattato i provider upstream dei nodi più attivi nel tentativo di interrompere e rallentare la crescita della botnet.

Tutte le vulnerabilità prese di mira dalla botnet sono ben note e sono prevenute da un corretto patching o da una corretta gestione delle password. Le aziende e gli individui possono seguire queste best practice sulla sicurezza per aiutare a prevenire questi tipi di compromessi in futuro:

  • Implementare password efficaci su tutti i dispositivi IoT quando possibile.
  • Limitare l'accesso dei dispositivi IoT a Internet completamente aperto.
  • Implementare metodologie di patching appropriate.
  • Esamina questo elenco di dispositivi interessati e delle loro vulnerabilità.

Netlab360 ha condiviso una tabella dei dispositivi interessati e delle loro vulnerabilità:

Dispositivo interessato / vulnerabilità

  • Router Eir D1000 / Router wireless Eir D1000 RCI
  • Dispositivi Vacron NVR / Vacron NVR RCE
  • Dispositivi che utilizzano Realtek SDK / CVE-2014-8361
  • Iniezione comandi cig-bin Netgear R7000 e R6400 / Netgear
  • Router DGN1000 Netgear / Netgear setup.cgi non autenticato RCE
  • Esecuzione comando shell non autenticato MVPower DVR / JAWS Webserver
  • Huawei Router HG532 / CVE-2017-17215
  • D-Link Devices / HNAP SoapAction-Header Execution Command
  • GPON Routers / CVE-2018-10561, CVE-2018-10562
  • D-Link Devices / UPnP SOAP Esecuzione comando TelnetD
  • Esecuzione di codice a distanza di CCTV DVR / CCTV / DVR
intopic.it