中国当局はMoziボットネットの作者を逮捕しました
中国の情報セキュリティ会社NetlabQihooの専門家 360 今年の初めに, 国の当局は、大規模なMoziボットネットの作成者を逮捕しました.
同社は2つのブログ投稿で調査と運用への関与を明らかにした, そのうちの1つ 6月に公開され、 他の 今週はじめ. 研究者は、ボットネットとそのオペレーターの両方のインフラストラクチャを追跡するのに役立ったと書いています.
興味深いことに, ちょうど一週間前, マイクロソフト 専門家は 新着 シネマ モジュール これは、ハッカーがDNSスプーフィングとHTTPセッションのハイジャックを使用して感染したシステムのトラフィックを妨害するのに役立ちます. Netlab Qihoo 360 専門家によると、このモジュールは、逮捕直前にボットネットオペレーターが展開した新しいMozi機能セットの一部でした。, 感染したシステムに暗号通貨マイナーをインストールするモジュールと一緒に.
最初 見た の 2019, モジは急速に成長しました. 例えば, によると に ブラックロータスラボ, 4月中 2020, ボットネットはすでに含まれています 15,000 感染したデバイス.
モジは自然に広がりました: 1つのデバイスに感染し、感染したシステムを使用してインターネットに接続されている他のデバイスを検索するモジュールをそのデバイスに展開しました, 次に、それらに対してエクスプロイトを使用し、ブルートフォースTelnetパスワードを使用しました. このワームモジュールは10以上のエクスプロイトを使用しました, ボットネットの急速な発展にはこれで十分でした.
Moziはまた、DHTプロトコルを使用して、感染したすべてのデバイス間にP2Pネットワークを作成しました, ボットが更新と作業指示を相互に直接送信できるようにする, 中央制御サーバーなしで動作できるようにする.
Netlab Qihoo 360 ピーク時にそれを報告します, ボットネットは最大で感染しました 160,000 1日のシステムで、合計で 1,500,000 さまざまなデバイス, その半分以上 (830,000) 中国にありました.
モジは今遅いと予測されています “死”, ただし、DHTとP2Pを使用すると、このプロセスと感染したすべてのデバイスのクリーニングが困難な作業になります。.
記録 ラドウェアのスペシャリストであるダニエル・スミスは、これはモジの場合だけではないと述べたと述べています。. 例えば, 後に Hoaxcall ボットネット 今年の初めに無効にされました, 専門家は同様の技術的問題に直面しました: ボットは、操作後数か月間、新しいデバイスに感染し続けました, 自分で行動する.
私もそう書いたことを思い出させてください 中国のハッカーが追跡を行い、検出の数日前にマルウェアを削除.