សម្រាប់ Distributed Hash Table (DHT) protocol ថ្មីដែលផ្អែកនៅលើ botnet ដែលមានឈ្មោះហៅថា Mozi បានធ្វើការវាយប្រហារទៅលើ Routers ជាច្រើនដែលប្រើប្រាស់នូវលេខសម្ងាត់ខ្សោយ។ សម្រាប់មេរោគ botnet នេះគឺដំណើរការយ៉ាងហោចណាស់ចាប់តាំងបីថ្ងៃទី ៣ ខែកញ្ញា ឆ្នាំ ២០១៩ មកម្ល៉េះ។
DHT គឺជាការចែកចាយមេរោគតាមរយៈការមើលទៅលើសេវាកម្មដែលស្រដៀងគ្នាទៅនឹង key pair ដែលត្រូវរក្សាទុកនៅក្នុង DHT នឹងការទទួលបាននូវតម្លៃ value ដែលផ្អែកនៅលើ associated key ។ សម្រាប់ protocol នេះគឺប្រើប្រាស់នៅលើ torrent clients និង peer-to-peer file-sharing platforms ជាច្រើនទៀត។មេរោគ Mozi Botnet នេះប្រើប្រាស់នូវ DHT protocol ក្នុងការឆ្លងចូលទៅក្នុង Network យ៉ាងឆាប់រហ័ស ហើយវាក៏ធ្វើការលាក់នូវមេរោគ Payload នៅក្នុងបរិមាណនៃការដំណើរការ DHT ធម្មតា។
ក្រុមអ្នកស្រាវជ្រាវនៅ 360 Netlab រកឃើញនូវ File ដែលគួរអោយសង្ស័យដែលប្រើប្រាស់នូវ Gafgyt malware code ហើយបន្ទាប់ពីការវិភាគទៅគឺនេះគឺជាមេរោគ “P2P botnet ដែលផ្អែកនៅលើ DHT protocol ហើយក្រុមអ្នកស្រាវជ្រាវក៏ហៅឈ្មោះថា Mozi ។ មេរោគ botnet គឺផ្អែកនៅលើ P2P network និងប្រើប្រាស់នូវ ECDSA384 និង xor algorithm ក្នុងការធានាទៅលើសុច្ចរិតភាព និងសុវត្ថិភាព។ មេរោគនេះអាចដំណើរការមុខងារដូចជា៖
- ការវាយប្រហារ DDoS attack
- ការប្រមូលព័ត៌មាន Bot Information
- កាដំណើរការនូវ payload សម្រាប់ URL ជាក់លាក់
- ការ Update ចេញពី URL ជាក់លាក់
- ការដំណើរការនូវ system ឬការបញ្ជាទៅលើ commands
| VULNERABILITY | AFFECTED DEVICE |
| Eir D1000 Wireless Router RCI | Eir D1000 Router |
| Vacron NVR RCE | Vacron NVR devices |
| CVE-2014-8361 | Devices using the Realtek SDK |
| Netgear cig-bin Command Injection | Netgear R7000 and R6400 |
| Netgear setup.cgi unauthenticated RCE | DGN1000 Netgear routers |
| JAWS Webserver unauthenticated shell command execution | MVPower DVR |
| CVE-2017-17215 | Huawei Router HG532 |
| HNAP SoapAction-Header Command Execution | D-Link Devices |
| CVE-2018-10561, CVE-2018-10562 | GPON Routers |
| UPnP SOAP TelnetD Command Execution | D-Link Devices |
| CCTV/DVR Remote Code Execution | CCTV DVR |
មេរោគ botnet នេះចាប់ផ្តើមឆ្លងដោយប្រើប្រាស់នូវ random local port ក្នុងការចាប់ផ្តើមដំណើរការនូវ local HTTP service ដើម្បីផ្តល់នូវ malware samples សម្រាប់ធ្វើការដោនឡូត ឬការទទួលនូវ Samples ចេញពី config file ។ វាប្រើប្រាស់នូវលេខសម្ងាត់ដែលខ្សោយ ឬវាស្ថិតនៅក្នុង Mozi P2P network ហើយឧបករណ៍នេះក៏ក្លាយជា Mozi Bot node ។ អ្នកប្រើប្រាស់ត្រូវធ្វើការ Patch ទោលើបញ្ហានេះ និងធ្វើការដាក់នូវលេខសម្ងាត់ដែលខ្លាំងនៅលើឧបករណ៍របស់ពួកគេ៕
