Manuel Statik Analiz — Mozi P2P IoT Botnet | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | cb5c5d9258952910199736b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | bin.sh (Linux shell script kisvesi altında ELF binary) |
| Platform | Linux ELF (ARM/MIPS — IoT cihaz mimarisi) |
| Boyut | 199.736 byte (UPX ile sıkıştırılmış) |
| String Sayisi | 996 |
Gömülü Konfigürasyon
[cnc] -- C2 (Command & Control) konfigürasyon bloğu botv2 -- Mozi botnet versiyonu v2 -- DHT (Distributed Hash Table) P2P ağı üzerinden C2 -- Merkezi C2 yok — her bot eş (peer) olarak çalışır
Mozi Hakkında
Mozi, 2019'da keşfedilen ve Mirai'nin mirasını devralan DHT P2P tabanlı IoT botnet'idir. Router, DVR ve IP kamera gibi zayıf şifreli/güncellenmemiş IoT cihazlarını hedefler. 2020-2021'de en büyük P2P IoT botnet olarak kaydedildi. Eylül 2023'te sönümlenme komutları gönderildi — bazı araştırmacılar Çin makamlarının müdahalesine bağladı.
IOC
| SHA256 | cb5c5d9258952910199736b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Config | [cnc] botv2 (DHT P2P) |
| Hedef | IoT — Router, DVR, IP Kamera |
MoziBotnet — Malware Profili
Mozi P2P DHT IoT botnet. Mirai successor. Router/DVR hedefi. [cnc] config. 2023 kapatildi.
Malware Tipi
Botnet
Programlama Dili
C
C2 Protokolü
DHT P2P
Hedef Sistemler
IoT Cihazlari
Yetenekler ve Davranış
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC Listesi (1 gösterge)
IOC — MoziBotnet
# SHA256
cb5c5d9258952910199736b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Tür | Değer | Not |
|---|---|---|
| sha256 | cb5c5d9258952910199736b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=62 |