សម្រាប់ Distributed Hash Table (DHT) protocol ថ្មីដែលផ្អែកនៅលើ botnet ដែលមានឈ្មោះហៅថា Mozi បានធ្វើការវាយប្រហារទៅលើ Routers ជាច្រើនដែលប្រើប្រាស់នូវលេខសម្ងាត់ខ្សោយ។ សម្រាប់មេរោគ botnet នេះគឺដំណើរការយ៉ាងហោចណាស់ចាប់តាំងបីថ្ងៃទី ៣ ខែកញ្ញា ឆ្នាំ ២០១៩ មកម្ល៉េះ។ DHT គឺជាការចែកចាយមេរោគតាមរយៈការមើលទៅលើសេវាកម្មដែលស្រដៀងគ្នាទៅនឹង key pair ដែលត្រូវរក្សាទុកនៅក្នុង DHT នឹងការទទួលបាននូវតម្លៃ value ដែលផ្អែកនៅលើ associated key ។ សម្រាប់ protocol នេះគឺប្រើប្រាស់នៅលើ torrent clients និង peer-to-peer file-sharing platforms ជាច្រើនទៀត។មេរោគ Mozi Botnet នេះប្រើប្រាស់នូវ DHT protocol ក្នុងការឆ្លងចូលទៅក្នុង Network យ៉ាងឆាប់រហ័ស ហើយវាក៏ធ្វើការលាក់នូវមេរោគ Payload នៅក្នុងបរិមាណនៃការដំណើរការ DHT ធម្មតា។
ក្រុមអ្នកស្រាវជ្រាវនៅ 360 Netlab រកឃើញនូវ File ដែលគួរអោយសង្ស័យដែលប្រើប្រាស់នូវ Gafgyt malware code ហើយបន្ទាប់ពីការវិភាគទៅគឺនេះគឺជាមេរោគ “P2P botnet ដែលផ្អែកនៅលើ DHT protocol ហើយក្រុមអ្នកស្រាវជ្រាវក៏ហៅឈ្មោះថា Mozi ។ មេរោគ botnet គឺផ្អែកនៅលើ P2P network និងប្រើប្រាស់នូវ ECDSA384 និង xor algorithm ក្នុងការធានាទៅលើសុច្ចរិតភាព និងសុវត្ថិភាព។
មេរោគនេះអាចដំណើរការមុខងារដូចជា៖
ការវាយប្រហារ DDoS attack
ការប្រមូលព័ត៌មាន Bot Information
កាដំណើរការនូវ payload សម្រាប់ URL ជាក់លាក់
ការ Update ចេញពី URL ជាក់លាក់
ការដំណើរការនូវ system ឬការបញ្ជាទៅលើ commands
VULNERABILITY | AFFECTED DEVICE |
Eir D1000 Router | |
Vacron NVR devices | |
Devices using the Realtek SDK | |
Netgear R7000 and R6400 | |
DGN1000 Netgear routers | |
MVPower DVR | |
Huawei Router HG532 | |
D-Link Devices | |
GPON Routers | |
D-Link Devices | |
CCTV DVR |
មេរោគ botnet នេះចាប់ផ្តើមឆ្លងដោយប្រើប្រាស់នូវ random local port ក្នុងការចាប់ផ្តើមដំណើរការនូវ local HTTP service ដើម្បីផ្តល់នូវ malware samples សម្រាប់ធ្វើការដោនឡូត ឬការទទួលនូវ Samples ចេញពី config file ។ វាប្រើប្រាស់នូវលេខសម្ងាត់ដែលខ្សោយ ឬវាស្ថិតនៅក្នុង Mozi P2P network ហើយឧបករណ៍នេះក៏ក្លាយជា Mozi Bot node ។ អ្នកប្រើប្រាស់ត្រូវធ្វើការ Patch ទោលើបញ្ហានេះ និងធ្វើការដាក់នូវលេខសម្ងាត់ដែលខ្លាំងនៅលើឧបករណ៍របស់ពួកគេ៕