集顶尖研究团队 提供最新的安全研究成果

安全解析 研究报告 安全团队 研究机构

深度追踪Mozi僵尸网络:360安全大脑精准溯源,揪出幕后黑手

2021-06-09

自2019年9月3日,360安全大脑全球率先捕获到Mozi僵尸网络的相关样本,并于2019年12月23日首发披露Mozi僵尸网络分析报告,至今两年来,Mozi的受关注度一直高居不下。

 

作为一种超新型的P2P物联网僵尸网络,Mozi僵尸网络以DHT 协议寄生在 P2P 网络中进行通信,并通过10多种n-day漏洞利用和telnet弱口令方式进行传播。截至目前,Mozi僵尸网络已在全球范围形成“蠕虫级”传播,累计感染节点超过150万个,其中有83万个节点来自中国。

 

360安全大脑旗下360 Netlab网络安全研究院从首家发现Mozi僵尸网络开始,就一直对Mozi僵尸网络保持追踪研究,并持续跟进Mozi僵尸网络样本技术分析,Mozi僵尸网络规模暴涨分析,被感染设备分析,犯罪嫌疑人线索溯源等。经过360 Netlab网络安全研究院的深度追踪,层层溯源,Mozi的幕后黑手逐渐浮出水面。




360 Anglerfish蜜罐监测发现危情:

Mozi僵尸网络大规模暴涨

 


得益于360 Anglerfish蜜罐的监测技术,360 Netlab网络安全研究院可以捕捉到Mozi僵尸网络的感染数据,至少有60%的肉鸡IP位于中国境内,主要分布在河南、山东、广东、北京等省份。并且通过360 Anglerfish蜜罐分析技术,­360 Netlab网络安全研究院还发现Mozi僵尸网络传播趋势,掌握Mozi僵尸网络受害者IP、Mozi僵尸网络样本、漏洞利用攻击网络数据包等信息。

 

图:Mozi僵尸网络全球分布


360 Netlab网络安全研究院还获取到Mozi僵尸网络精准的统计数据,最高活跃IP在16万/日。可以看到在2020年9月份开始,Mozi僵尸网络大规模暴涨,360Netlab分析出这是因为几组telnet弱口令导致印度和中国的大量设备被入侵并植入Mozi僵尸网络。

 

图片

图: Mozi僵尸网络日活统计数据


360 安全大脑深度溯源幕后黑手

独家还原Mozi完整证据链


(一)通过对Mozi 僵尸网络的样本分析,360 Netlab网络安全研究院回扫时发现到3个Windows平台的PE文件,并以这3个PE文件为基础得到相应的数字指纹等信息:

 

18e9d0339667b593a985f3c97a5847cd

300c3d999aa2fac39a300c185f2a32a4

a0bcd8c50714ea10ed6ff8211cf8b399

 

(二)接着,360 Netlab网络安全研究院发现Mozi 僵尸网络的管理者使用了51.la 提供的统计代码服务,来上传数据以及统计Mozi感染数量:

https://web.51.la/report/online?comId=20198527

https://web.51.la/report/online?comId=17675125

https://web.51.la/report/online?comId=19894027

 

(三)随后,360 Netlab网络安全研究院以上述统计接口为线索,进一步追踪溯源嫌疑人信息。


(四)通过360安全大数据的历史数据检索,发现Mozi僵尸网络相关研发人员使用过的MAC地址、IP地址等信息。通过360 PassiveDNS系统,360 Netlab网络安全研究院追踪到Mozi僵尸网络团伙的主业务-色情网站。

图片 

最终,经过层层分析研判,我们认为Mozi僵尸网络幕后团伙的主业是色情网站,副业才是僵尸网络。

 


360 Anglerfish蜜罐监测高级威胁

为数字时代保驾护航

 

当前,数字变革和数字经济正在全世界全面推开,物联网成为数字化转型的重要“抓手”,数据统计,2025年全球物联网设备(包括蜂窝及非蜂窝)联网数量将达到约246亿个。庞大的数量、快速的增长趋势必然牵动了巨大的利益链条,也吸引了大量不法分子试图从中谋取暴利。以Mozi为典型的物联网僵尸网络攻击,为数字时代带来重大威胁。

 

有别于传统的僵尸网络通信方法,Mozi等新型物联网僵尸网络采用了P2P进行通信与控制,节点进行身份校验,通信流程和通信内容加密,这些措施提高了僵尸网络的隐匿度和顽固程度,极大增加了僵尸网络追踪和清理的难度,亟需一种新型的针对P2P型僵尸网络的监测方法。

 

360 Anglerfish是在全球部署、业内领先的高级蜜罐系统,在过去几年物联网僵尸网络的发现能力上,全球独树一帜。360Anglerfish蜜罐在 TCP/UDP 全端口监听网络扫描行为,并模拟了大量应用协议和漏洞特征,诱导攻击者进入精心设计的陷阱。当Anglerfish蜜罐模拟成一个特定设备时,攻击者会无差别地扫描并攻击模拟的设备,这让我们具备搜集针对互联网、物联网、工业互联网等行业的0-day/1-day/n-day漏洞攻击数据能力。

 

广大党政军企领域客户可直接拨打垂询电话:400-0309-360,或联系contactus@360.cn ,您的专属客户经理将提供产品详情咨询。

 

作为数字经济的守护者,360政企安全集团对全网态势感知及监测能力不断投入研究, 未来,360将持续以360安全大脑为核心的新一代安全能力体系,围绕新理念、新融合、新体系、新服务构建“全局感知、实战攻防”运营服务能力,输出给行业、城市、国家,共同建设更加牢固的堡垒。