資安廠商 ESET 日前發表研究報告指出,一個名為 Mozi 的惡意軟體僵屍網路,在今年 8 月時突然大幅減少惡意攻擊活動;在 9 月底時更有一不明酬載上傳,因而全面停擺。
Mozi 是一個知名的分散式阻斷服務攻擊(Distributed Denial of Service, DDoS)惡意軟體僵屍網路,2019 年開始其攻擊行動,主要攻擊目標是各種 IoT 裝置,例如網路路由器、數位攝影機等各種聯網裝置。
Mozi 的典型進攻方式,是利用各種 IoT 設備的資安弱點,例如使用預設登入帳號密碼、未經修補的已知資安漏洞等等,來植入惡意軟體,使裝置成為點對點(peer to peer)僵屍網路的節點之一,再透過 BitTorrent 的 DHT 協定來協同,對特定目標發動 DDoS 攻擊用封包。
據 ESET 的報告指出,Mozi 的活動於 2023 年 8 月 8 日起開始大幅減少,首先是停止了其在印度的所有攻擊活動,之後於 8 月 16 日也停止了在中國的所有攻擊活動;最後在 9 月 27 日時,有一個 UDP 訊息發送給所有的 Mozi 僵屍網路節點,要求節點透過 HTTP 下載一個更新檔,結果造成整個 Mozi 惡意軟體活動的全面停止。
該更新檔甚至也停用了部分受植入裝置的系統服務、阻擋部分連接埠等。
ESET 分析該更新檔後指出,更新檔雖然停止了 Mozi 的攻擊活動,但並沒有完全刪除該惡意軟體,而且遭感染的裝置仍可對遠端伺服器執行 ping,以確認裝置中的 Mozi 惡意軟體仍可接受操控;這表示本次停止活動是受到刻意監控下進行的。
建議各種 IoT 設備的使用者與管理人員,應在有資安更新可用時立即套用更新,並且避免使用預設登入帳號密碼;未使用的連接埠也應全面關閉。
- 參考連結
Who killed Mozi? Finally putting the IoT zombie botnet in its grave
Mozi malware botnet goes dark after mysterious use of kill-switch
留言列表