Ağustos 2023 itibarıyla, en kötü şöhrete sahip IoT Botnet’lerinden biri olan “Mozi” faaliyetlerinden kayboldu. Mozi Botnet yüz binlerce IoT cihazından yararlanıyordu.
2023 yılında, belirli bir nesne türünün herhangi bir açıklama yapılmadan ortadan kaybolmaya başlamasıyla garip bir olay meydana geldi. Kaybolma olayı 8 Ağustos’ta Hindistan’da başladı ve 16 Ağustos’ta Çin’e yayıldı. Bu nesnelerin aniden ortadan kaybolması birçok insanı şaşkına çevirdi ve endişelendirdi.
Daha ayrıntılı analiz yapıldığında, kullanıcı datagram protokolü (UDP) mesajı içeren bir Kill Switch keşfedildi. Bu kaldırma işleminden sorumlu kişi, durdurma anahtarını sekiz kez kullanarak bota HTTP aracılığıyla bir güncelleme indirmesi ve yüklemesi talimatını verdi.
Anahtar İşlevlerini Sonlandır
Daha fazla araştırma yapıldığında, kill anahtarının ana süreç, sshd ve dropbear hizmetlerini devre dışı bırakma, orijinal Mozi dosyasını kendisiyle değiştirme, yapılandırma komutlarını yürütme, çeşitli bağlantı noktalarına erişimi devre dışı bırakma ve değiştirilen orijinal Mozi dosyasıyla aynı dayanağı oluşturma gibi çeşitli işlevler gösterdiği ortaya çıktı. .
Finansal hizmetler sektörünü hedef alan son siber saldırı dalgasıyla Siber Dayanıklılığınızı sağlayın. Katılımcıların neredeyse %60’ı bir siber saldırının ardından tamamen iyileşebileceklerinden emin değil.
Yerinizi Kaydedin
Öldürme anahtarı, botnet’in kaynak kodu ile en son kullanılan ikili dosyalar arasında güçlü bir bağlantı olduğunu gösterdi. Ek olarak, kontrol yükünü imzalamak için doğru özel anahtarların kullanımını da gösterir.
Öldürme Anahtarını Kim Başlattı?
Mozi Botnet’i kimin çökerttiğine dair doğrulanmış bir rapor yok. Ancak ESET raporuna göre bazı hipotezler, kill switch’in Mozi botnet yaratıcıları veya Çin yasa uygulayıcıları tarafından yaratıcıların işbirliğini zorlayarak başlatılmış olabileceğini öne sürüyor.
Bununla birlikte, en kötü şöhrete sahip botnet’lerden birinin çöküşü, botnet’lerin doğada oluşturulması, çalıştırılması ve sonlandırılması hakkında birçok bilgi sağlar.
Uzlaşma Göstergeleri
Dosyalar
SHA-1 | Dosya adı | Tespit etme | Tanım |
758BA1AB22DD37F0F9D6FD09419BFEF44F810345 | sinema.m | Linux/Mozi.A | Orijinal Sinema çubuğu. |
9DEF707F156DD4B0147FF3F5D1065AA7D9F058AA | ud.7 | Linux/Mozi.C | Mozi bot öldürme anahtarı. |
Ağ
IP | İhtisas | Barındırma sağlayıcısı | İlk görüş | Detaylar |
157.119.75[.]16 | Yok | AS135373 EFLYPRO-AS-AP EFLY AĞ SINIRLI | 2023-09-20 | Anahtar barındırma sunucusunu sonlandır |
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.