Mozi是一个使用类BitTorrent网络感染物联网设备的P2P僵尸网络。Mozi利用弱Telnet口令和近10个未修复的iot设备漏洞来执行DDoS攻击、数据窃取、命令和payload执行。

微软IoT安全研究人员最近发现Mozi僵尸网络不断进化，已经在Netgear、华为、中兴等厂商的网关上实现了驻留。

感染路由器后，僵尸网络可以通过HTTP劫持和DNS期盼来发起中间人攻击以黑掉终端，并部署勒索软件。图1是Mozi僵尸网络中利用的漏洞和使用的驻留技术。

图1:Mozi僵尸网络攻击流

除了已知的P2P和DOS功能外，研究人员还发现Mozi僵尸网络的多个新功能。通过攻击Netgear、华为、中兴网关，恶意软件采取措施来增加设备重启后驻留的可能性，或被其他恶意软件干扰的可能性。

实现提权驻留

恶意软件有一个特殊的行为就是检查/overlay文件夹的检查，以及恶意软件是否有/etc文件夹的写权限。本例，恶意软件会利用CVE--漏洞。

成功利用该漏洞使得恶意软件具有以下文件夹的访问权限：

/etc/rc.d

/etc/init.d

然后会执行以下动作：

·在这些文件夹中放置名为S95Baby.sh的脚本文件。

·脚本运行/usr/networks文件或/user/networktmp文件。这些都是可执行文件的副本。

·如果没有权限就将脚本加入到/etc/rcS.d和/etc/rc.local中。

ZTE设备

对于中兴设备，恶意软件会检查/usr/local/ct文件夹是否存在，这表明设备是中兴路由器设备。然后会执行以下动作：

复制其他实例(/usr/networks)到/usr/local/ct/ctadmin0中，这将为恶意软件提供驻留功能；

删除文件/home/