Специалисты компании 360 Netlab сообщают, что P2P-ботнеты становятся все более частым явлением: эксперты обнаружили новый P2P-ботнет Mozi, который активно брутфорсит роутеры Netgear, D-Link и Huawei, проверяя их на наличие слабых паролей через Telnet.
Исследователи обнаружили ботнет около четырех месяцев тому назад и за прошедшее время пришли к выводу, что его основной целью являются DDoS-атаки. Mozi построен с использованием протокола Distributed Hash Table (DHT), который широко используют торрент-клиенты и прочие P2P-платформы. Это позволяет ботнету работать без командных серверов, а также скрывать полезную нагрузку среди обычного трафика DHT. Для обеспечения целостности и безопасности компонентов ботнета используются ECDSA384 и алгоритм XOR.
Как уже было сказано выше, малварь атакует уязвимые устройства через Telnet, проверяя на прочность их пароли. Если атака удалась и доступ получен, на устройства загружается малварь Mozi, и бот автоматически присоединяется в ботнету. Затем новоиспеченный бот получает и выполняет команды от оператора, а также принимается искать другие уязвимые маршрутизаторы Netgear, D-Link и Huawei для компрометации.
«После того, как Mozi устанавливает P2P-соединения, используя протокол DHT, файл конфигурации синхронизируется, и соответствующие задачи запускаются в соответствии с инструкциями в файле», — пишут исследователи.
Так, Mozi способен:
- осуществлять DDoS-атак (этот модуль использует код известной малвари Gafgyt, поддерживает HTTP, TCP, UDP и так далее);
- собирать и похищать информацию о ботах (ID бота, IP-адрес, PORT, имя файла, шлюз, архитектура процессора);
- выполнить пейлоад из указанного URL;
- обновляться через указанный URL;
- выполнять системные или кастомные команды.
Также ботнет атакует десяток различных потенциально уязвимых устройств, используя для этого известные уязвимости: Eir D1000, Vacron NVR, устройства, использующие Realtek SDK, Netgear R7000 и R6400, MVPower DVR, Huawei HG532, гаджеты D-Link, роутеры GPON, CCTV DVR.
