El equipo de Netlab 360 ha descubierto una nueva botnet punto a punto (P2P) que expande activamente su red utilizando enrutadores no parcheados como D-Link, Huawei, Netgear, etc. con el objetivo final de realizar ataques DDoS.
Según los investigadores, quienes dijeron que han estado monitoreando las actividades de Mozi durante casi cuatro meses, la red de bots reutiliza parte del código Gafgyt y se basa en el protocolo Distributed Hash Table (DHT) para construir una red P2P. DHT es un protocolo basado en el estándar utilizado comúnmente por los clientes de torrent y otras plataformas P2P para almacenar información de contacto de nodo. Mozi también utiliza ECDSA384 y el algoritmo XOR para garantizar la integridad y seguridad de sus componentes y la red P2P.
Mozi infecta nuevos dispositivos a través de contraseñas y exploits de telnet débiles, dejando caer y ejecutando una carga útil después de explotar con éxito los hosts vulnerables. Una vez que el malware se ejecuta en el dispositivo ahora comprometido, el nuevo bot se agrega a la red Mozi P2P como el nuevo nodo Mozi y se usa para continuar infectando otros dispositivos nuevos. El equipo de Netlab 360 ha encontrado tres versiones de la botnet Mozi, y cada una de ellas utiliza métodos de propagación telnet ligeramente diferentes.
"Después de que Mozi establece la red p2p a través del protocolo DHT, el archivo de configuración se sincroniza y las tareas correspondientes se inician de acuerdo con las instrucciones en el archivo de configuración", explicó el equipo
La lista de objetivos de la botnet incluye enrutadores Eir D1000, dispositivos Vacron NVR, dispositivos que utilizan Realtek SDK, Netgear R7000 y R6400, enrutadores DGN1000 Netgear, MVPower DVR, Huawei Router HG532, dispositivos D-Link, enrutadores GPON y CCTV DVR.
Si bien los investigadores no han podido determinar la escala exacta de la botnet Mozi, notaron que la cantidad de infecciones ha aumentado.
Para garantizar que la red de Mozi no sea dimensionada por otros actores de amenazas, los operadores de la botnet implementaron la verificación de firma en cada configuración sincronizada, asegurando asà que solo aquellos que pasaron las comprobaciones integradas puedan ser aceptados y ejecutados por los nodos Mozi.
Las principales instrucciones aceptadas por los nodos Mozi incluyen:
- Realizar ataques DDoS
- Recopilación de información de Bot
- Sistema de ejecución o comandos personalizados
- Ejecutando la carga útil de la URL especificada
- Actualización de la muestra desde la URL especificada
En una publicación de blog de Netlab 360 se proporciona información técnica más detallada sobre el funcionamiento interno de la botnet Mozi P2P, incluidos los hashes de muestras de malware y otros IoC .
