Winter Is Coming(凜冬將至) ——《冰與火之歌》
你是否曾經(jīng)疑惑過:
Mozi僵尸網(wǎng)絡(luò)現(xiàn)在的感染規(guī)模有多大?
全球有多少臺(tái)設(shè)備已經(jīng)被感染?
是否有手段可以完全觸摸到Mozi的邊界?
……
自Mozi僵尸網(wǎng)絡(luò)(以下簡(jiǎn)稱Mozi)2019年被首次發(fā)現(xiàn)以來,它的受關(guān)注度日益提升。知微實(shí)驗(yàn)室自2020年9月份開始持續(xù)追蹤Mozi僵尸網(wǎng)絡(luò),通過對(duì)Mozi通信原理和DHT協(xié)議的深度分析,提出了多種主動(dòng)式探測(cè)方法,運(yùn)用多種探測(cè)手段進(jìn)行數(shù)據(jù)交叉驗(yàn)證,不斷觸及Mozi網(wǎng)絡(luò)邊界。我們基于已收集的探測(cè)數(shù)據(jù),在Mozi的節(jié)點(diǎn)規(guī)模、全球及國(guó)內(nèi)的地域分布、24小時(shí)全球活躍態(tài)勢(shì)等方面給出自己的統(tǒng)計(jì)結(jié)論。
針對(duì)以上疑問,我們即將推出一系列Mozi專題文章詳細(xì)介紹。作為該專題的首發(fā)之作,本文將概述我們目前對(duì)Mozi的研究成果。此外,我們還會(huì)在后續(xù)文章中分享對(duì)此類涉及物聯(lián)網(wǎng)安全的P2P僵尸網(wǎng)絡(luò)的主動(dòng)探測(cè)技術(shù),希望與各位追蹤和研究新型P2P僵尸網(wǎng)絡(luò)的同行一起交流合作!
一、Mozi的前世今生
新冠疫情加速了企業(yè)數(shù)字化轉(zhuǎn)型趨勢(shì),據(jù)GSMA預(yù)測(cè),2025年全球物聯(lián)網(wǎng)設(shè)備(包括蜂窩及非蜂窩)聯(lián)網(wǎng)數(shù)量將達(dá)到約246億個(gè)。龐大的數(shù)量、快速的增長(zhǎng)趨勢(shì)必然牽動(dòng)了巨大的利益鏈條,也吸引了大量不法分子試圖從中謀取暴利——IBM發(fā)現(xiàn),2019年10月至2020年6月間的物聯(lián)網(wǎng)攻擊比前兩年增加了400%。
2019年360發(fā)布報(bào)告命名了新的P2P僵尸網(wǎng)絡(luò)Mozi,綠盟、知道創(chuàng)宇等公司也隨后發(fā)布觀測(cè)結(jié)果,IBM更是指出2019年10月至 2020年6月Mozi 僵尸網(wǎng)絡(luò)占了 IoT 網(wǎng)絡(luò)流量的 90%,但都還處于初期觀測(cè)階段,捕獲到的Mozi樣本數(shù)量遠(yuǎn)遠(yuǎn)不夠。
360的分析報(bào)告根據(jù)Mozi傳播樣本文件名為“Mozi.m”、“Mozi.a”等特征將它命名為“Mozi botnet”,其發(fā)音很容易聯(lián)想到中文的“墨子”,因此也有人稱其為“墨子”僵尸網(wǎng)絡(luò)。截止目前已公布的分析報(bào)告,業(yè)內(nèi)部分安全研究團(tuán)隊(duì)?wèi)岩纱私┦W(wǎng)絡(luò)的幕后黑手是國(guó)人,推測(cè)的蛛絲馬跡如下:
- “Mozi”一詞未發(fā)現(xiàn)在西方有實(shí)際含義;
- 被感染節(jié)點(diǎn)基于Mozi.v2版本更新得到的config信息解密后顯示免費(fèi)通信量統(tǒng)計(jì)平臺(tái)由www.51.la變?yōu)?a >http://ia.51.la/go1?id=17675125&pu=http%3a%2f%2fv.baidu.com,變化前后皆是國(guó)內(nèi)域名;
- 目前已知Mozi節(jié)點(diǎn)hash的前綴為88888888,表明Mozi節(jié)點(diǎn)具有群聚性,并且IBM 研究人員稱Mozi 僵尸網(wǎng)絡(luò)使用的基礎(chǔ)設(shè)施主要位于中國(guó)(宣稱占 84%,我們對(duì)數(shù)據(jù)的精確度存疑,下文會(huì)詳細(xì)闡述)。
于是我們大開腦洞將“Mozi”與歷史上的“墨子”聯(lián)系起來對(duì)比,發(fā)現(xiàn)了很有意思的巧合:
言歸正傳!寄生于正常P2P網(wǎng)絡(luò)的Mozi僵尸網(wǎng)絡(luò)已經(jīng)感染海量物聯(lián)網(wǎng)節(jié)點(diǎn),對(duì)全球網(wǎng)絡(luò)基礎(chǔ)設(shè)施而言威脅極高,因此開展對(duì)此類新型P2P型僵尸網(wǎng)絡(luò)的深度追蹤迫在眉睫。
二、感染節(jié)點(diǎn)走勢(shì)
不同于通過被動(dòng)式流量特征匹配的僵尸網(wǎng)絡(luò)節(jié)點(diǎn)追蹤方法,我們結(jié)合Mozi僵尸網(wǎng)絡(luò)和P2P網(wǎng)絡(luò)的特點(diǎn),采用了兩種更加激進(jìn)的主動(dòng)式探測(cè)方法,實(shí)現(xiàn)了對(duì)整個(gè)Mozi僵尸網(wǎng)絡(luò)的邊界探測(cè),并交叉比對(duì)2種探測(cè)方法的結(jié)果驗(yàn)證了邊界有效性(后續(xù)將有一篇文章對(duì)此詳細(xì)介紹)。
截止4月25日,我們探測(cè)到135萬(wàn)個(gè)歷史感染節(jié)點(diǎn),其中有73萬(wàn)個(gè)節(jié)點(diǎn)來自中國(guó),占比約為54%,(但是在去年IBM公布的數(shù)據(jù)中,中國(guó)感染節(jié)點(diǎn)數(shù)量占比84%。是IBM并未精確統(tǒng)計(jì),還是其他國(guó)家的被感染節(jié)點(diǎn)在這一年中迅猛增長(zhǎng),我們尚對(duì)此存疑)。圖1和圖2展示了我們統(tǒng)計(jì)數(shù)據(jù)中感染排名前十位的國(guó)家,可以看到中國(guó)受感染的物聯(lián)網(wǎng)設(shè)備數(shù)量最多,其次是印度、俄羅斯,這三個(gè)國(guó)家感染數(shù)量占總量的92%。
圖1. 感染國(guó)家排名前十分布
圖2. 感染國(guó)家排名前十位
我們繪制了感染節(jié)點(diǎn)每天的增量統(tǒng)計(jì)圖(見圖3),可以清晰看到每天新增的增量感染節(jié)點(diǎn)都是數(shù)千的量級(jí)(以千為單位,甚至達(dá)到萬(wàn)級(jí)),這表明Mozi的感染速度和范圍擴(kuò)張極快。
圖3. 日感染增量走勢(shì)
自去年9月份至今,以國(guó)家為單位的每日活躍的感染節(jié)點(diǎn)的ip分布走勢(shì)見圖4。印度在觀測(cè)初期數(shù)量最多,隨后中國(guó)躍居第一。
圖4. 去年9月份至今以國(guó)家為單位的每日活躍的感染IP走勢(shì)
截止4月25日的前七日中活躍24小時(shí)與活躍72小時(shí)的Mozi總數(shù)走勢(shì)見圖5,可以看到活躍的節(jié)點(diǎn)總數(shù)大致呈上升趨勢(shì),與圖3展示的日感染增量增長(zhǎng)趨勢(shì)一致。
圖5. 24小時(shí)和72小時(shí)活躍感染節(jié)點(diǎn)走勢(shì)
如果IBM的數(shù)據(jù)準(zhǔn)確,由此看來,經(jīng)過不到一年時(shí)間,Mozi僵尸網(wǎng)絡(luò)已在世界飛速蔓延,形勢(shì)嚴(yán)峻。Winter is coming!
三、感染節(jié)點(diǎn)分布
截至4月25日,根據(jù)我們觀測(cè)所得的數(shù)據(jù)繪制深淺圖(我們統(tǒng)計(jì)了所有被感染Mozi節(jié)點(diǎn)所在ip的地理位置并繪制了地圖)(見圖6),可以看到,除非洲等互聯(lián)網(wǎng)發(fā)展較落后的地區(qū)外,其余各洲都或多或少曾感染過Mozi,再一次表明,Mozi已席卷全球。
圖6. 存量Mozi節(jié)點(diǎn)世界分布
針對(duì)被感染數(shù)量最多的中國(guó),我們繪制了熱力圖(見圖7)以便于更加直觀地展示國(guó)內(nèi)各省市感染設(shè)備分布情況。通過對(duì)感染數(shù)量排序,可以看到前十個(gè)省份(見圖8)的被感染數(shù)量差距明顯,排名第一的河南尤為突出,接近全國(guó)總量的50%。這引起了我們的注意,后續(xù)將會(huì)針對(duì)此問題的展開詳細(xì)分析。
圖7. 中國(guó)存量Mozi節(jié)點(diǎn)分布熱力圖
圖8. 國(guó)內(nèi)感染省份排名前十位分布
由于Mozi節(jié)點(diǎn)并不是固定不變的,而是不斷有新節(jié)點(diǎn)加入、舊節(jié)點(diǎn)退出的狀態(tài),因此我們對(duì)最近24小時(shí)活躍的Mozi樣本進(jìn)行分析,并繪制世界態(tài)勢(shì)熱力圖(見圖9)及國(guó)內(nèi)省份的分布圖(見圖10),可以發(fā)現(xiàn)與存量(所有被感染過的)Mozi分布類似,這說明Mozi在全球范圍內(nèi)同步擴(kuò)張,極具威脅。
圖9. 24小時(shí)活躍感染節(jié)點(diǎn)全球態(tài)勢(shì)
圖10. 24小時(shí)國(guó)內(nèi)感染省份分布
從世界范圍看,被感染Mozi的物聯(lián)網(wǎng)設(shè)備主要分布在亞歐,而國(guó)內(nèi)的被感染物聯(lián)網(wǎng)設(shè)備主要分布在經(jīng)濟(jì)發(fā)達(dá)的東部及南部沿海地區(qū)。而根據(jù)2020年GDP排行,排名前十的廣東、江蘇、山東、浙江、河南、四川、福建、湖北、湖南、上海等省市,與Mozi感染排行,呈現(xiàn)出驚人的相似 。相關(guān)數(shù)據(jù)顯示,廣東省5G基站建站需求最多,江蘇、山東緊隨其后。同時(shí),在綠盟2019年發(fā)布的物聯(lián)網(wǎng)安全年報(bào)中對(duì)暴露的物聯(lián)網(wǎng)資產(chǎn)地區(qū)分布的分析中,大陸地區(qū)排名前三的是河南、山東和江蘇,這也具有一定的參考價(jià)值。由此推斷,越是經(jīng)濟(jì)發(fā)達(dá)、互聯(lián)網(wǎng)發(fā)展迅速的地區(qū),物聯(lián)網(wǎng)設(shè)備越多,使不法分子能夠趁虛而入。
四、樣本統(tǒng)計(jì)
在我們抓取的Mozi樣本中,Mips架構(gòu)占比最高,其次是Mipsel,Arm6/Arm7,占比最低的是Arm4/Arm5。具體數(shù)據(jù)見表1和圖11。
表1. Mozi樣本各架構(gòu)數(shù)量及占比
圖11. Mozi樣本架構(gòu)種類統(tǒng)計(jì)
Mozi每感染一個(gè)節(jié)點(diǎn)會(huì)自動(dòng)下載樣本以便自己繼續(xù)擴(kuò)張感染更多節(jié)點(diǎn)。表2展示了被下載的次數(shù)排名前十的樣本及下載節(jié)點(diǎn)歷史總量。圖12展示了下載樣本種類排名前十的ip及其下載數(shù)量。后續(xù)會(huì)有系列文章對(duì)樣本進(jìn)行詳細(xì)分析。
樣本MD5
樣本下載節(jié)點(diǎn)歷史總量
a73ddd6ec22462db955439f665cad4e6
163096
fbe51695e97a45dc61967dc3241a37dc
154958
dbc520ea1518748fec9fcfcf29755c30
92317
eec5c6c219535fba3a0492ea8118b397
67887
4dde761681684d7edad4e5e1ffdb940b
26210
59ce0baba11893f90527fc951ac69912
21388
9a111588a7db15b796421bd13a949cd4
18024
3849f30b51a5c49e8d1546960cc206c7
11839
635d926cace851bef7df910d8cb5f647
8029
3313e9cc72e7cf75851dc62b84ca932c
7418
表2. 被下載樣本數(shù)量排名前十
圖12. 下載樣本種類最多的IP排名前十
來源:安全客