Image default
Security

Nova botnet P2P ataca dispositivos D-Link, Netgear e outros

A botnet Mozi é baseada no protocolo DHT (Distributed Hash Table ou Tabela de Hash Distribuído) e tem como alvo roteadores e outros dispositivos que possuam senhas fracas e que possam conter vulnerabilidades conhecidas. A botnet Mozi parece estar ativa desde o dia 3 de setembro de 2019.

O protocolo DHT

O DHT é um protocolo descentralizado e distribuído que fornece um serviço de pesquisa semelhante ao par de chaves armazenado no DHT e recupera um valor com base na chave associada. O protocolo é utilizado principalmente em clients Torrent e outras plataformas de compartilhamento de arquivos ponto a ponto (peer-to-peer/P2P).

A botnet Mozi utiliza o protocolo DHT para criar rapidamente uma rede e ocultar as ações do payload gerando uma quantidade grande de tráfego DHT.

Mozi Botnet
Tráfego da Mozi Botnt

A Botnet Mozi

Pesquisadores de segurança da empresa 360 Netlab descobriram um arquivo suspeito que reutiliza parte do malware Gafgyt. Em uma minuciosa análise, foi revelado que a “botnet P2P baseada no protocolo DHT, foi chamada de Mozi pelos pesquisadores, com base em seu modo de propagação”.

A botnet conta com uma rede P2P personalizada, além de utilizar o algoritmo ECDSA384 e a operação lógica XOR para garantir a integridade e a segurança. A botnet pode executar as seguintes ações:

  • Ataques DDoS
  • Coletar informações do bot (o dispositivo comprometido).
  • Executar o paylod de uma url específica;
  • Atualizar a amostra a partir de uma url específica;
  • Executar comandos do sistema ou personalizados.
Mozi Botnet
A estrutura da botnet Mozi

A botnet inicia a infecção utilizando qualquer porta local para inicializar um serviço HTTP local, com o objetivo de fornecer amostras do malware para download ou de recuperar as amostras do endereço presente no arquivo de configuração. Além disso, utiliza senhas fracas ou conhecidas para comprometer o dispositivo.

VULNERABILIDADEDISPOSITIVO AFETADO
Eir D1000 Wireless Router RCIRoteador Eir D1000
Vacron NVR RCEDispositivos Vacron NVR
CVE-2014-8361Dispositivos usando o Realtek SDK
Netgear cig-bin Command InjectionNetgear R7000 e R6400
Netgear setup.cgi unauthenticated RCERoteadores DGN1000 Netgear
JAWS Webserver unauthenticated shell command executionDVR MVPower
CVE-2017-17215Roteador Huawei HG532
HNAP SoapAction-Header Command ExecutionDispositivos D-Link
CVE-2018-10561, CVE-2018-10562Roteadores GPON
UPnP SOAP TelnetD Command ExecutionDispositivos D-Link
CCTV/DVR Remote Code ExecutionDVR CCTV

Após infectar o dispositivo, o malware se conecta na rede P2P da botnet Mozi para que o dispositivo se torne um novo nó (ou um bot Mozi) e continuará a infectar outros dispositivos.

Com base nos dados coletados pelos dispositivos honeypot da l360 Netlab, a campanha está em andamento e a infecção aumentando cada vez mais.

Mozi Botnet
Dispositivos infectados

Recomenda-se que os usuários apliquem as correções de segurança de seus equipamentos, além de configurar uma senha forte para evitar infecções.

Maiores detalhes podem ser encontrados neste post da 360 Netlab.

Fonte:

Fonte da imagem utilizada no post:

https://www.tempest.com.br/blog/nova-variante-da-botnet-mirai-tem-atividade-detectada-no-brasil/index.html

Posts similares

Pesquisadores descobrem novas vulnerabilidades nas redes LTE (4G)

O Analista

Como hackers fazem dinheiro com informações médicas roubadas

O Analista

Pentest em rede, saiba mais sobre as principais etapas (e como documentar)

O Analista

Este site usa cookies para melhorar sua experiência de navegação. Vamos supor que você está bem quanto a isso, mas você pode optar por sair, se desejar. Aceitar Ler Mais