安全设备不定期地发现Mozi僵尸网络的扫描探测行为。事件返回参数显示其基本行为是从 http://192.168.1.1:8088 这个地址下载名为 Mozi.m 的文件，并保存到 /tmp/gpon80 目录下执行。那么，什么是Mozi僵尸病毒？为什么会使用 192.168.1.1 这个地址呢？

Mozi僵尸网络简介

Mozi病毒在2019年12月第一次被发现，Mozi 僵尸网络依靠 DHT 协议构建 P2P 网络，并使用 ECDSA384 和 xor 算法来保证其组件和 P2P 网络的完整性和安全性。该样本通过 Telnet 传播，其中包含弱密码和一些已知的漏洞

传播方式与行为模式

Mozi 通过弱 telnet 密码和漏洞利用来感染新设备。感染过程如下：

• 当前 Bot 节点随机使用本地端口启动 http 服务提供样本下载，或者接收 Botnet Master 下发的 Config 文件中的样本下载地址，为将来的感染目标提供样本下载地址。

• 当前 Bot 节点使用弱口令登录目标设备，以 echo 模式写入并运行下载器文件，并从当前 Bot 节点提供的示例下载地址下载示例文件。或者利用漏洞利用目标，然后从当前 Bot 节点提供的示例下载地址获取样本文件。

• 当前 Bot 节点使用弱口令登录目标设备，以 echo 模式写入并运行下载器文件，并从当前 Bot 节点提供的示例下载地址下载示例文件。或者利用漏洞利用目标，然后从当前 Bot 节点提供的示例下载地址获取样本文件。

终止开关事件

在21年8月27号，360披露Mozi作者已被执法机关处理，尽管Mozi作者不再发布新的更新，它仍然会存活一段时间，残余的节点仍然会去感染其它存在漏洞的设备，所以我们现在仍然能看到Mozi在传播

然而在2023年11月份，ESET Research揭露了一个重要的转折点——Mozi的终止开关。该机制能够禁用恶意软件，剥夺Mozi机器人的功能，包括杀死父进程、禁用部分系统服务（如SSHD和DropBear）、限制对特定端口的访问等措施。ESET研究人员在2023年9月27日发现了控制载荷（配置文件）位于缺少典型封装的UDP消息中，幕后人发送了8次控制载荷，每次都指示机器人通过HTTP下载并安装自身的更新。

不过，关于该行为幕后主导者目前没有明确的消息，ESET Research猜测是最初的 Mozi 僵尸网络创建者或国内执法部门，但国内没有查到相关正面新闻报道。

结合上述背景信息，特别是考虑到192.168.1.1这一下载地址，推测目前观察到的行为可能是由于僵尸网络的残留节点试图执行某种形式的自我销毁指令，而非积极扩展网络。在僵尸网络的残余机器中，部分节点可能仍在遵循某种既定的指令或出现异常的更新逻辑，尝试从这个特定的内网地址下载文件，而这个过程可能与 “自杀开关” 触发的自我破坏或更新机制相关。

参考链接：

https://blog.netlab.360.com/the_death_of_mozi_cn/

https://blog.netlab.360.com/mozi-another-botnet-using-dht/

https://www.eset.com/int/about/newsroom/press-releases/research/eset-research-infamous-iot-botnet-mozi-taken-down-via-a-kill-switch/

https://www.welivesecurity.com/en/eset-research/who-killed-mozi-finally-putting-the-iot-zombie-botnet-in-its-grave/

如果觉得我的分享有用

[点赞+分享+关注]

原文始发于微信公众号（网络个人修炼）：Mozi僵尸网络复活疑云