ทางการจีนได้จับกุมผู้เขียน Mozi botnet

เฮลก้า สมิธกันยายน 2, 2021ปรับปรุงล่าสุด: กันยายน 2, 2021
160 2 อ่านนาที

ผู้เชี่ยวชาญจากบริษัทรักษาความปลอดภัยข้อมูลของจีน Netlab Qihoo 360 รายงานว่าเมื่อต้นปีนี้, เจ้าหน้าที่ของประเทศจับกุมผู้เขียนบอตเน็ต Mozi ขนาดใหญ่.

บริษัทเปิดเผยความเกี่ยวข้องกับการสืบสวนและการดำเนินการในบล็อกโพสต์สองฉบับ, ซึ่งหนึ่งในนั้น ได้รับการเผยแพร่ย้อนกลับไปในเดือนมิถุนายนและ อื่น เมื่อต้นสัปดาห์นี้. นักวิจัยเขียนว่าพวกเขาช่วยติดตามทั้งโครงสร้างพื้นฐานของบอตเน็ตและผู้ปฏิบัติงาน.

น่าสนใจ, เมื่อสัปดาห์ที่แล้ว, ไมโครซอฟต์ ผู้เชี่ยวชาญรายงานเมื่อ ใหม่ โรงหนัง โมดูล ที่ช่วยให้แฮกเกอร์แทรกแซงการรับส่งข้อมูลของระบบที่ติดไวรัสโดยใช้การปลอมแปลง DNS และการไฮแจ็กเซสชัน HTTP. เน็ตแล็บ Qihoo 360 ผู้เชี่ยวชาญกล่าวว่าโมดูลนี้เป็นส่วนหนึ่งของชุดฟีเจอร์ใหม่ของ Mozi ที่ผู้ปฏิบัติงานบอตเน็ตใช้งานไม่นานก่อนการจับกุม, พร้อมกับโมดูลที่ติดตั้งเครื่องขุด cryptocurrency บนระบบที่ติดไวรัส.

อันดับแรก เห็น ใน 2019, โมซี่เติบโตอย่างรวดเร็ว. ตัวอย่างเช่น, ตาม ถึง แบล็คโลตัสแล็บ, ในเดือนเมษายน 2020, รวมบอทเน็ตไว้แล้ว 15,000 อุปกรณ์ที่ติดไวรัส.

โมซี่แพร่กระจายไปเอง: มันติดไวรัสในอุปกรณ์หนึ่งเครื่องและปรับใช้โมดูลบนอุปกรณ์นั้นซึ่งใช้ระบบที่ติดไวรัสเพื่อค้นหาอุปกรณ์อื่นที่เชื่อมต่อกับอินเทอร์เน็ต, จากนั้นจึงใช้การหาประโยชน์กับพวกเขาและรหัสผ่าน Telnet แบบดุร้าย. โมดูลเวิร์มนี้ใช้ช่องโหว่มากกว่าสิบครั้ง, ซึ่งเพียงพอสำหรับการพัฒนาบอทเน็ตอย่างรวดเร็ว.

Mozi ยังใช้โปรโตคอล DHT เพื่อสร้างเครือข่าย P2P ระหว่างอุปกรณ์ที่ติดไวรัสทั้งหมด, อนุญาตให้บอทส่งอัพเดตและคำแนะนำการทำงานถึงกันโดยตรง, ช่วยให้สามารถทำงานได้โดยไม่ต้องมีเซิร์ฟเวอร์ควบคุมส่วนกลาง.

เน็ตแล็บ Qihoo 360 รายงานว่าถึงจุดสูงสุดแล้ว, บอทเน็ตติดไวรัสถึง 160,000 ระบบต่อวันและโดยรวมสามารถประนีประนอมได้มากกว่า 1,500,000 อุปกรณ์ที่แตกต่างกัน, มากกว่าครึ่งหนึ่งของจำนวนนั้น (830,000) ตั้งอยู่ในประเทศจีน.

กิจกรรม Moze botnet ในแต่ละวัน

ตอนนี้ Mozi คาดว่าจะช้า “ความตาย”, แม้ว่าการใช้ DHT และ P2P จะทำให้กระบวนการนี้และการทำความสะอาดอุปกรณ์ที่ติดไวรัสทั้งหมดเป็นงานที่น่ากังวล.

ตัวอย่างบอตเน็ต Mozi หยุดอัปเดตมาระยะหนึ่งแล้ว, แต่ไม่ได้หมายความว่าภัยคุกคามจาก Mozi จะหายไป. เนื่องจากบางส่วนของบอตเน็ตที่แพร่กระจายผ่านทางอินเทอร์เน็ตแล้วสามารถติดเชื้อต่อไปได้, อุปกรณ์ใหม่ได้รับผลกระทบทุกวัน. โดยทั่วไปแล้ว, เราคาดหวังอย่างนั้น [โรงหนัง] จะลดลงทุกสัปดาห์, แต่อาจจะ “อยู่” ต่อไปได้ยาวนาน, เช่นเดียวกับบ็อตเน็ตอื่น ๆ หลายแห่งที่ถูกปิดตัวลงโดยหน่วยงานบังคับใช้กฎหมายในอดีต.ผู้เชี่ยวชาญกล่าวว่า.

บันทึก อ้างอิงจาก Daniel Smith ผู้เชี่ยวชาญของ Radware โดยกล่าวว่านี่ไม่ใช่แค่กรณีของ Mozi เท่านั้น. ตัวอย่างเช่น, หลังจาก โทรหลอกลวง บ็อตเน็ต ถูกปิดการใช้งานเมื่อต้นปีนี้, ผู้เชี่ยวชาญประสบปัญหาทางเทคนิคที่คล้ายกัน: บอทยังคงแพร่ระบาดไปยังอุปกรณ์ใหม่เป็นเวลาหลายเดือนหลังการดำเนินการ, ทำหน้าที่ด้วยตัวเอง.

กิจกรรมบอตเน็ต

ฉันคาดว่า Mozi จะอยู่นานเช่นกัน. เนื่องจาก Mozi ก็เป็นบอตเน็ต P2P เช่นกัน, มันยากอย่างเหลือเชื่อที่จะทำลายมันด้วยการล่มสลายเพียงครั้งเดียว. แม้ว่าผู้เขียนจะติดคุกก็ตาม, บอทเน็ตสามารถแพร่กระจายและแพร่เชื้อไปยังอุปกรณ์ใหม่ ๆ ต่อไปได้, แม้ว่าจะค่อยๆ หมดไปเมื่ออุปกรณ์เครือข่ายถูกรีบูตก็ตาม, อัปเดตหรือเปลี่ยนใหม่.สมิธกล่าว.

ฉันขอเตือนคุณว่าฉันเขียนแบบนั้นด้วย แฮกเกอร์ชาวจีนปกปิดร่องรอยและกำจัดมัลแวร์เมื่อสองสามวันก่อนที่จะถูกตรวจพบ.

แท็ก
เฮลก้า สมิธกันยายน 2, 2021ปรับปรุงล่าสุด: กันยายน 2, 2021
160 2 อ่านนาที

เฮลก้า สมิธ

ฉันสนใจวิทยาการคอมพิวเตอร์มาโดยตลอด, โดยเฉพาะความปลอดภัยของข้อมูลและธีม, ซึ่งเรียกกันในปัจจุบันว่า "วิทยาศาสตร์ข้อมูล", ตั้งแต่วัยรุ่นตอนต้นของฉัน. ก่อนจะมาอยู่ในทีมกำจัดไวรัสในตำแหน่งหัวหน้าบรรณาธิการ, ฉันทำงานเป็นผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ในหลายบริษัท, รวมถึงหนึ่งในผู้รับเหมาของ Amazon. ประสบการณ์อื่น: ฉันได้สอนในมหาวิทยาลัยอาร์เดนและรีดดิ้ง.

ทิ้งคำตอบไว้

เว็บไซต์นี้ใช้ Akismet เพื่อลดสแปม. เรียนรู้วิธีประมวลผลข้อมูลความคิดเห็นของคุณ.

ปุ่มกลับไปด้านบน